我一直在尝试使用HAProxy实现一个负载均衡的安全代理传递。 基本上我想要做的是这样的: request —-> haproxy passthrough —–> multiple proxy servers —–> target 现在,我不希望这只是向公众开放,所以我添加HTTP基本身份validation的HTTP请求。 它工作正常,未经授权的请求被拒绝。 但是,对于HTTPS请求,我无法做到这一点,所有这些请求都没有任何安全性或限制。 请注意,使用源IP限制是不可能的,因为请求可能来自各种来源。 这是我的haproxy.cfg文件: global log /dev/log local0 log 127.0.0.1 local1 notice maxconn 4096 user haproxy group haproxy daemon defaults log global mode http option dontlognull retries 3 option redispatch maxconn 2000 contimeout 5000 clitimeout 50000 srvtimeout 50000 userlist L1 user john […]
我有一个支持以下types的域的多域名证书 abc.myComany.com 123.myCompany.com xyz.myCompany.com 我现在需要它来支持mysubdomain.myComany.com从阅读各种网上post,似乎我需要一个通配符证书为"*.myComapny.com"但如果这不是一个可能性,我可以添加mysubdomain.myCompany.com作为另一个支持的域到多域名证书? 这会工作吗?
我在/etc/apache2/sites-available/有一个xxx-ssl.confconfiguration,其中包含以下SSL选项: SSLEngine on SSLCertificateFile /var/www/ssl/webserver_cert.der SSLCertificateKeyFile /var/www/ssl/webserver.key SSLCipherSuite NULL-SHA 密钥文件和证书文件已到位。 虚拟主机(xxx-ssl.conf)使用a2ensite命令启用。 Apache服务器重新加载。 不幸的是它无法启动 – 错误日志显示如下: [debug] ssl_engine_init.c(608): Configuring permitted SSL ciphers [!aNULL:!eNULL:!EXP:NULL-SHA] [error] Unable to configure permitted SSL ciphers [error] SSL Library Error: 151441516 error:0906D06C:PEM routines:PEM_read_bio:no start line Bad file contents or format – or even just a forgotten SSLCertificateKeyFile? [error] SSL Library Error: 151441516 […]
我有多个使用Microsoft PEAP和自签名证书的NPSnetworking策略。 当我们的内部CA自动更新证书时,所有的networking策略将切换到安装在NPS服务器上的另一个(看起来是随机的)证书。 发生这种情况时,无线客户端无法进行身份validation,给我们的基础设施造成严重破坏。 自签名证书所基于的证书模板会在到期前6周自动更新证书。 为了缓解这个问题,我为自己设置了一个提醒来编辑NPS策略并select更新的证书。 但是我是一名IT消防员,有时候火灾让我无法进行日常任务,甚至是重要的任务。 有没有办法告诉NPS使用更新的证书,而不是随机select一些证书?
我试图通过CLI(使用heroku的Toolbelt)连接到heroku,我无法这样做。 当我input我的凭据,heroku回复: Post https://api.heroku.com/login: x509: certificate signed by unknown authority 我在公司的防火墙内,阻止大多数连接,我必须使用证书进行导航。 我能通过clilogin到heroku吗?
有两个服务器,一个用于网页(服务器A),一个用于networking应用(服务器B)。 在服务器中,每个网页都有自己的文件夹,域和ssl证书。 在服务器B中,每个Web应用都有自己的文件夹。 Q1。 可以设置网站domain_abc.com和他们各自的web应用程序在app.domain_abc.com? Q2。 如果以上是可能的,它可以在同一个SSL证书下工作?
我有一个IIS 8(赢得2012 R2)服务器,我想绑定到2个不同的域和2个不同的证书相同的网站。 由于域是不同的FQDN,我不能使用通配符。 如果我为https和端口443添加2个绑定,我不能select2个不同的证书(当我改变一个绑定它改变另一个)。 有没有办法解决这个问题,而不使用不同的端口或拆分到2个不同的网站? 谢谢!
我正在运行在Ubuntu 16.04.1 LTS下运行的Apache 2.4.18服务器,只安装了PHP 7和Exim 4。 在清晨,SSL握手非常快,大约200毫秒,但随着时间的推移它增加了(约1小时后),8秒左右。 如果我重新启动Apache,SSL会再次变快,但过了一段时间后又会变慢,返回到8秒,有时会达到30秒。 我configuration了Apache ssh.conf(etc / apache2 / mods-enabled)如下: SSLRandomSeed startup builtin SSLRandomSeed startup file:/dev/urandom 512 SSLRandomSeed connect builtin SSLRandomSeed connect file:/dev/urandom 512 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLPassPhraseDialog exec:/usr/share/apache2/ask-for-passphrase SSLSessionCache shmcb:${APACHE_RUN_DIR}/ssl_scache(512000) SSLSessionCacheTimeout 300 SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS SSLHonorCipherOrder on SSLProtocol all -SSLv3 SSLCompression off SSLSessionTickets off SSLUseStapling on SSLStaplingResponderTimeout 5 […]
我只需要启用客户端证书validation,仅用于来自我们内部网之外的请求,而不validation来自例如192.168.0.0/24的请求。 我试图使用geo模块来定义内部子网的variables。 在http上下文中: geo $intranet { default 0; 192.168.0.0/24 1; } 在server环境中 if ($intranet != 1) { ssl_verify_client on; } 但是在if语句中使用ssl_verify_client指令是不可能的。 我收到一个错误: “ssl_verify_client”指令在这里是不允许的 有没有其他的方法来做到这一点?
我的nginxconfiguration有两个redirect规则: HTTP到HTTPS if ($http_x_forwarded_proto = "http") { return 301 https://$server_name$request_uri; } WWW到非WWW server_name www.alphainvesting.co.il; return 301 https://alphainvesting.co.il$request_uri; 除非用户访问http://www.alphainvesting.co.il ,否则一切都很好。 然后他们被redirect到https://alphainvesting.co.il/ *(当然返回404错误)。 值得一提的是我正在使用Cloudflare,但是我没有页面规则。