我已经将openssl从源代码版本升级到安装在/ usr / local / ssl / bin / openssl下的Apache OpenSSL 1.0.1s版本,并更改符号链接将其指向新的安装目录并运行以下命令。 $openssl version OpenSSL 1.0.1s 1 Mar 2016 它显示了新的升级版本,但使用php或检查phpinfo()时,它仍然显示旧版本。 phpinfo()函数: OpenSSL support enabled OpenSSL Library Version OpenSSL 1.0.1k-fips 8 Jan 2015 OpenSSL Header Version OpenSSL 1.0.1k-fips 8 Jan 2015 Openssl default config /etc/pki/tls/openssl.cnf 请build议我如何使这个新版本在所有地方都有效,我也在我的网站上安装了ssl,我还需要重新生成CSR和私钥,并重新颁发ssl证书。 提前致谢。
我有两个容器,其中一个运行NGINX作为其他容器的反向代理。 其中一个容器正在运行Apache,启用并configuration了SSL。 我已经看到了几个configuration示例,据我所知,NGINX处理的是证书而不是Apache,而且只是通过其他所有的东西传递给一些非SSL的Apache。 现在,我宁愿让Apache处理它自己的证书,尤其是因为它使我的生活更轻松(使用dockerized letsencrypt,它从相关的Apache容器安装卷并将证书放在所有正确的位置)。 问题是,我找不到任何configurationNGINX只是透明地代理一切到Apache容器。
我试图通过下一个命令来更新我的letsencrypt证书: ./letsencrype-auto renew 但我收到此错误消息: configuration file /etc/letsencrypt/renewal/domain.conf produced an unexpected error: Namespace object has no attribute 'standalone_supported_challenges'. 我如果尝试使用我创build我的证书的命令: ./letsencrypt-auto certonly –standalone-supported-challenges tls-sni-01 -d domain 我得到这个错误: unrecognized arguments: –standalone-supported-challenges tls-sni-01 如果我尝试这个: ./letsencrypt-auto certonly –standalone -d domain 它说: The requested standalone plugin does not appear to be installed. 我不知道现在如何更新我的证书。
请注意,这也已发布在http://thread.gmane.org/gmane.comp.web.haproxy/27737 我们正在尝试configuration这个架构: ELB使用预先configuration的证书终止SSL。 (这是一个要求,因为只有受限制的人才能访问最终用户证书) ELB使用SSL连接到HAproxy后端(也是要求) ELB按照http://amzn.to/1YajEG3中的说明发送代理标头 HAproxy在443中侦听SSL HAProxy用于做一些HTTP转换(修改标题等)。 一旦ELBconfiguration为SSL +代理协议,我们尝试通过在HTTPS前端的绑定中添加accept-proxy来configurationHAProxy: frontend https-in mode http # Note, I truncated this line because the maillist 80 chars limitations bind :443 accept-proxy ssl crt \ /var/vcap/jobs/haproxy/config/cert.pem \ no-sslv3 ciphers … … 但它失败了: Received something which does not look like a PROXY protocol header 。 疑难解答我发现ELB发送SSLstream的PROXY头INSIDE。 例如,我运行openssl作为服务器: $ openssl […]
我需要在我的apache2 ubuntu上安装一个ssl,不知道我错了什么,但事实是,我没有得到…我有相关的文件:一个.key文件和两个.crt文件。 起初在编辑apache2configuration文件的时候添加对应的ssl虚拟主机; 重新启动Apache,我返回错误:键值不匹配。 因此,我运行以下命令来检查密钥: openssl x509 -in -noout -modulus your_domain_com.crt | openssl md5 openssl rsa -in -noout -modulus your_domain_com.key | openssl md5 我的错误是,我没有采取正确的.crt文件。 解决这个错误之后,现在证书似乎安装正确,但是当我去的url: https://midominio.com 浏览器告诉我,证书是错误的:地址错误。 我看到了证书的详细信息,事实certificate,颁发证书的域名是不同的域名! …而不是我的域名…所以我检查我的Windows系统(我的笔记本电脑)的证书,它说证书颁发的域是正确的域… 这是怎么回事? 任何帮助? 非常感谢你提前。
我有一个示例.pem文件放置在/etc/pki/ca-trust/source/anchors ,并且我运行了update-ca-trust ,但我不确定如何检查命令是否可以正常工作。 我试图猫/etc/pki/tls/certs/ca-bundle.crt为我的示例.pem的内容,但没有运气。 我怎样才能确保我的证书已经更新? 对于落后者,请您提出一些build议,以便我可以详细阐述如何改进我的问题? 编辑 检查/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt也没有显示任何东西,所以我会假设我的样本证书没有实际添加。
我目前第一次用nginx设置了一个(半认真的)服务器。 我有几个域名和子域名,并希望尽可能使用SSL,以保持来自我的网站的stream量合理安全。 最近遇到的一个问题是,我发现自己无法正确处理SSL请求到不存在通配符证书的不存在的子域。 基本上,我的设置非常接近这个 (nginx,redirect到https,多个子域名,让我们encryption所有有效的子域名的证书,全无形的域名)。 这是真正的NotNice™,错误input一个子域名的用户将会遇到“这个连接不可信任”的错误(或者更糟,取决于浏览器)。 这可能会破坏我的网站的信任。 例如https://www.my-domain.com作品,但https://ww.my-domain.com会告诉用户我的网站不被信任。 由于我期望有相当数量的读者不是精通技术,所以我不能指望他们自己理解或诊断。 所以我想要的是,当有人访问一个不存在的子域名时,基本上只是中止连接,这样他们会得到一个“连接被拒绝”的错误,而不是“这个网站是邪恶的,你可能会被黑客攻击”的错误。 这不仅更接近事实(这个网站是可以信任的,那里什么也没有),也可能帮助他们发现错误,因为它指出地址是错的,而不是证书。 事实上,这就是我为非SSL连接所做的。 我在nginx中有一个catchall服务器伪指令,它只返回404端口80上的任何内容,并且与已知的子域不匹配。 那么我怎么才能在nginx中拒绝ssl连接呢? 我知道我不能使用HTTP返回码,因为在这种情况下,首先没有连接。 这是ssl的重点。 我不能使用通配符证书,因为它们太昂贵了。 我想避免接触iptables,因为当我更改子域名时,这很难保持。 但是,如果这是最好的解决scheme,我可以研究它。 有没有聪明的DNS条目可以帮助?
一个相当基本的SSL问题,如果你不介意的话: 比方说,我有一个客户端到Web服务器的stream量,如下所示: [client] – > [public SLB:80] – > [reverse proxy:80] – > [internal SLB:80] – > [webserver:443] 在通过这个拓扑的时候,部分stream量是不会被encryption的,或者当一个请求最终到达Web服务器时SSL握手会成功吗? 我试图确定是否需要在链中的每个设备上安装SSL证书。
我们运行一项服务,让我们的客户运行他们自己的CMS。 我们的客户希望使用自己的SSL证书,是自签名的,还是由其他公司签署的。 我们的应用程序运行PHP 我正在考虑一个反向代理技术,但是我们有太多的手动重新加载nginx 。 我们在gcloud运行,所以我们有能力拥有一桶SSL证书。 我们准备使用SNI ,从而放弃对WinXP支持。 我们需要接受SSL证书,并以非常less的基础设施交互(重新加载守护进程等)来实现它们。 我们愿意使用您推荐的任何networking服务器或反向代理技术。 我们不想使用UCC ,因为我们想让客户自带SSL。 IPv4很稀缺,因此我们想要限制我们select的IP地址。 我怎么会继续这样做呢? 编辑:我尝试OpenResty与他们的SSL插件,虽然性能不足。 如果有人有更好的主意,分享!
我正在尝试为我的所有内部应用程序设置一个内部ev ssl服务器,例如显示我公司名称的绿色小栏和chrome。 它在IE浏览器显示绿色栏以及公司名称的情况下工作正常,但铬显示它,就像它是一个正常的SSL证书。 是否有可能添加一些属性,使铬信任它或铬只信任来自Digicert公司的ev证书。