Articles of ssl

我有两个Apache 2.4.9 Linux服务器有一个有趣的问题：我试图禁用SSL v3和RC4，以阻止POODLE，并保持SSL实验室的快乐。 但是，每当我closuresSSL v3，我也失去了TLS 1.1和1.2（只保留TLS 1.0）。 这是我的Apache版本： $ apachectl -v Server version: Apache/2.4.9 (Unix) Server built: Mar 24 2014 10:51:20 和OpenSSL： $ openssl version OpenSSL 1.0.1e-fips 11 Feb 2013 和Linux： $ cat /proc/version Linux version 2.6.32-279.11.1.el6.x86_64 ([email protected]) (gcc version 4.4.6 20120305 (Red Hat 4.4.6-4) (GCC) ) #1 SMP Sat Sep 22 07:10:26 EDT […]

我使用Apache在EC2实例上托pipe了我的网站。 SSL也被正确设置，在HTTPS，端口443上运行。 目前，我只是使用Node.js + socket.io添加聊天应用程序到网站。 Node.js服务器在端口3333上侦听。 如何在SSL安全的情况下在同一个实例上运行两台服务器（Apache和Node.js）？ Amazon EC2不允许我为HTTPS打开另一个端口。 它只允许443的HTTPS。

通常使用Apache作为反向代理完成SSL卸载，所以Apache处理所有SSL的东西，后端服务器只是pipe理普通的http。 但是有可能做相反的事情吗？ 我不是在说Apache和后端通过https进行通信的SSLProxy。 我希望我的后端与客户端协商SSL。 有点为什么我需要这样的： 我正在使用客户端证书身份validation，当身份validation失败时，用户可以获得浏览器特定的非用户友好错误页面。 所以我们正在创build一个诊断页面，向用户显示authentication失败的原因。 这个页面应该允许任何证书，所以我们可以检查我们的自我，找出错误。 起初，我们尝试了Apache上的optional_no_ca设置，但它仍然会执行一些检查，例如到期date。 我们能够使它与Tomcat一起工作（在Java中使用它也很方便）。 现在唯一可行的解​​决scheme似乎设置了第二台服务器（物理）与tomcat作为前面。 但是，渲染一个页面似乎很重。

我处于以下情况。 我需要build立一个与外部系统的双向集成。 外部系统的pipe理员要求我发送两个CSR，一个用于生成客户端证书，另一个生成服务器证书。 他们给了我相应的证书。 我设置了频道我 – >他们成功（即：我可以调用他们的服务提供我的客户端证书），但我不能正确设置反向频道（即：我不能让我的Apache接受他们的客户端证书没有抱怨）。 再加上我的服务器证书（我们称之为my-server.pem），他们也给我发送了自己的客户端证书（我们称之为“客户端.pem”）。 这个证书（their-client.pem）是由一个“自签名的”CA发出的，这个CA是不在我的Linux系统中已经可用的那些知名的CA之中的。 我没有这个证书，我还没有从外部系统pipe理员那里得到它（他们不愿意…让我们搁置这个请求…> – |） 这是我如何在Apache中设置我的VirtualHost： SSLEngine on SSLCertificateFile /path/to/my-server.pem SSLCertificateKeyFile /path/to/my-server-secret-key.key SSLVerifyClient require SSLCACertificateFile /path/to/their-client.pem SSLVerifyDepth 0 由于我没有CA证书，因为我完全可以说“只要信任客户证书，别人就可以！”，我把客户证书本身作为SSLCACertificateFile ，正如答案中的build议： https：/ / /security.stackexchange.com/questions/36069/use-client-certificate-using-self-signed-ca-while-using-web-certificate-of-a-pub 但是，这似乎并不奏效。 他们看到的错误是： javax.net.ssl.SSLException: Received fatal alert: unknown_ca 启用S​​SL日志并将其设置为debugging后，我在我身边看到的是： [ssl:debug] [pid 3396] ssl_engine_kernel.c(1381): [client <their-ip>:41474] AH02275: Certificate Verification, depth 1, CRL checking mode: none [subject: CN=Test […]

我将我的整个网站从http移动到https由于我有几个域，我需要redirect到我的网站的https版本。 问题是，当我尝试将原始域从httpredirect到https时，nginx给了我一个无限循环。 你们能帮我吗？ 这里是我的configuration server { listen 80; server_name www.domain.com.br domain.com.br w.domain.com.br ww.domain.com.br wwww.domain.com.br domain1.com.br www.domain1.com.br domain.com www.domain.com domain.net.br www.domain.net.br; return 301 https://www.domain.com.br$request_uri; } server { listen 443; server_name domain.com.br w.domain.com.br ww.domain.com.br wwww.domain.com.br domain1.com.br www.domain1.com.br domain.com www.domain.com domain.net.br www.domain.net.br; ssl on; ssl_certificate /home/ssl/ssl-bundle.crt; ssl_certificate_key /home/ssl/myserver.key; return 301 https://www.domain.com.br$request_uri; } server { listen 443; ssl on; […]

我有一个漫游用户连接到公共WiFi的情况，并获得了证书警告。 用户看到错误，并在连接之前打电话给我。 原来WiFi正在进行SSL检查。 我能够通过这个问题与用户交谈，没有任何东西被泄露。 但是，用户很容易点击“是”并绕过警告。 我担心一个不太明智的用户会忽视提示，导致安全漏洞。 如果存在证书问题，是否有阻止Outlook（和其他Office客户端，如OneDrive for Business）连接的方法？ 我查看组策略，但没有find任何东西。 也许我错过了它。 请注意，我们正在使用Office 365进行电子邮件，但我认为这也适用于本地Exchange。

让我开始说，我知道Python 2.7.9的更改来validationSSL证书。 我也知道有几种不同的方式来解决它。 我的问题是，为什么我零星地得到这个错误？ 我会想，如果出了什么问题，总是会失败，但这不是我所看到的。 我一直在研究一些使用urllib发出请求的代码，并且无处不在我开始出现以下错误： URLError: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)> 在写这个问题时，我隐藏并popup了我的更改（在git中），并且错误停止了。 为什么不一致？ 更新：这个错误也发生在Python 3中，但始终如一。

我有一个全新的WebSphere Application Server 8.5.5安装的服务器，我试图通过使用JDBC和Oracle Wallet for SSL的连接来configuration数据源。 WebSphere中的错误消息是“无法validationMAC” 。 我已确认configuration数据源的密码是Oracle钱包密钥库ewallet.p12的正确密码，所以我认为还有另外一个问题。 我的出发点是https://www.ibm.com/developerworks/community/blogs/aimsupport/entry/websphere_application_server_and_oracle_ssl_oracle_wallet?lang=en 。 这就是我使用以下configuration设置的地方。 我也尝试了http://bpm4everyone.blogspot.co.uk/2013/02/oracle-ssl-with-was.html的指示，但不能得到那个工作，并支持它。 我不熟悉WebSphere和Oracle Wallet，因此无法确定后者是否被弃用。 我正在configuration单元中另一个节点的Deployment Manager的数据源。 数据源的范围是其他节点，即具有将使用数据源的应用程序的节点。 JDBC提供程序的类path包括ojdbc6.jar和oraclepki.jar。 数据源被configuration为使用com.ibm.websphere.rsadapter.Oracle11gDataStoreHelper作为“数据存储助手类名称”。 我设置了一个J2Cauthentication别名，并由“组件pipe理的authentication别名”使用。 数据源的URL是jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=10.240.227.131)(PORT=2484))(CONNECT_DATA=(SERVICE_NAME=devdb))(SECURITY=(SSL_SERVER_CERT_DN='cn=devdbuser')))) 。 按照指示，我为数据源创build了一个名为“connectionProperties”的定制属性，其值为oracle.net.ssl_version=3.0;javax.net.ssl.trustStore=/opt/oracle/wallet/client.wallet/ewallet.p12;javax.net.ssl.trustStoreType=PKCS12;java.net.ssl.trustStorePassword=password 。 在部署pipe理器控制台中，当我单击数据源的“testing连接”时，就可以看到。 。 。 The test connection operation failed for data source vammisdevwas01-vadev on server nodeagent at node vammisdevwas01Node01 with the following exception: java.sql.SQLException: IO Error: The Network Adapter could […]

SVN Edge（版本4.0.10-3880.131）与域控制器无法正确validation。 当我使用LDAP安全级别NONE时，我有SVN边缘设置和完美工作。 但是，设置为SSL，TLS或STARTTLS时。 使用活动目录帐户login时，出现错误的用户名/密码错误。 见下面的configuration： 日志文件显示： 2015-11-10 10:17:07,113 [qtp1791392392-61] WARN security.CsvnAuthenticationProvider – Authentication against Apache failed docker日志： 127.0.0.1 – – [10/Nov/2015:10:16:58 -0700] "GET /csvn/login/auth HTTP/1.1" 200 6616 127.0.0.1 – – [10/Nov/2015:10:17:07 -0700] "POST /csvn/j_spring_security_check HTTP/1.1" 302 0 127.0.0.1 – – [10/Nov/2015:10:17:07 -0700] "GET /csvn/login/authfail?login_error=1 HTTP/1.1" 302 0 127.0.0.1 – – [10/Nov/2015:10:17:07 -0700] "GET /csvn/login/auth?login_error=1 […]

我不太清楚如何解释我的问题，但我会尝试。 在防火墙后面的Centos 6.4 64bit上有lighttpd 1.4.35。 其中一台虚拟主机正在使用带有SSL的不同端口（8800）。 我的设置是这样做的Vhost。 $SERVER["socket"] == "192.168.1.200:8800" { ssl.engine = "enable" ssl.ca-file = "/etc/lighttpd/myssl/ca-certs.crt" ssl.pemfile = "/etc/lighttpd/myssl/myssl.pem" server.errorlog = "/var/log/lighttpd/error.log" accesslog.filename = "/var/log/lighttpd/access.log" server.document-root = "/var/www/lighttpd/myapps" } 实际上没有什么特别的，它的工作，直到应用程序的页面之一。 当我点击那个页面时，它会打开popup窗口，并显示所有popup窗口 451 – 我不太确定它是什么。 我谷歌什么451 – 手段和所有的参考显示，它与发布某种非法文件的域有关。 WTH？ 这些应用程序是我们创build的仅供内部人员使用的所有内部应用程序。 这告诉我这个错误是不准确的。 但是，当我访问没有SSL的虚拟目录时，同一个页面打开就好了。 $HTTP["host"] =~ "lab.myserver.net$" { server.document-root = "/var/www/lighttpd/myapps" server.errorlog = "/var/log/lighttpd/error.log" accesslog.filename = "/var/log/lighttpd/access.log" […]