我一直在尝试从我们的服务器上安装Godaddy的UCC SSL证书。 我已经能够在主服务器(IIS6)上成功创buildCSR,并获得了Godaddy的批准。 然后出于testing目的,我将另一个域添加到证书并将其导出到我们的testing服务器上。 testing服务器是新的,有IIS7,但获得证书安装和工作是一个相对简单的过程时遵循Godaddy网站上提供的说明。 这是我开始遇到问题的地方。 我的下一步是试图让我们的另一个testing网站上的HTTPS上我们的主要服务器。 我遵循相同的过程,并将新域添加到证书并获得批准。 然后我回到服务器上,按照Godaddy提供的iis6安装说明进行操作。 唯一的问题是,这是行不通的。 如果我尝试使用HTTPS浏览网站,Firefox会提供无法连接的错误(Fiddler说这是一个502错误)。 我试过netstat,我可以看到localhost正在侦听端口443。 我已经检查过防火墙,可以看到这个端口存在exception。 我可以从本地机器telnet到该端口上的服务器。 我试过使用特定的IP和使用*所有未分配*。 我尝试过使用不同的端口(在防火墙上添加了一个exception,并把端口放在url中)。 我试着从命令行运行这个:cscript.exe adsutil.vbs set / w3svc // SecureBindings“:443:” 我已经检查过证书是否有私钥。 我已经找了日志,但我发现的那些没有告诉我为什么页面加载失败。 到目前为止没有任何工作。 为什么iis7中“正常工作”的东西在iis6中看起来如此令人沮丧地困难呢? 所以我想我的问题是,还有什么我可以尝试和/或如何debugging呢?
我在configurationJBoss的安全环境方面遇到麻烦。 这是我们的环境: 我们有一个F5负载均衡器,它具有我们域名的通配符证书。 我有几个应用程序运行在一个名为花生的服务器上的JBoss。 从我们的防火墙内,我可以运行应用程序为http://peanut.mydomain.com:8080 从防火墙的另一端,只能通过https://pule.mydomain.com:8080下的HTTPS访问服务器 Loadbalancer有证书。 因此, https: //pule.mydomain.com的任何请求都可以安全地到达Loadbalancer。 在负载均衡器和花生之间,请求是http。 现在这个应用程序使用AJAX调用和Web服务。 从Loadbalancer外部,我调用https://pule.mydomain.com:8080 – 但由于Loadbalancer和花生之间的通信是http,网页返回了引用http://pule.mydomain.com:8080 。 http://pule.mydomain.com无法在任何地方访问,并且AJAX调用失败。 我的问题是,如何configurationJBoss使用HTTPS,但不需要它自己的证书? 这就是我所拥有的,而且不起作用。 我不认为我需要redirect到端口8443,因为防火墙和jboss服务器之间没有安全的连接。 <Connector port="8080" address="${jboss.bind.address}" maxThreads="250" maxHttpHeaderSize="8192" emptySessionPath="true" protocol="HTTP/1.1" enableLookups="false" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" scheme="https" />
我在本地服务器上运行apache实例,并且不需要用户名和相应的证书来validation/授权用户的Subversion存储库。 这是我目前的服务器conf:我需要什么指令要求用户名? <VirtualHost *:443> ServerAdmin webmaster@localhost DocumentRoot /var/www ServerSignature On SSLEngine on SSLCertificateFile /opt/ssl/ServerCA/server/certs/ServerWeb.crt SSLCertificateKeyFile /opt/ssl/ServerCA/server/keys/ServerWeb.key SSLCACertificateFile /opt/ssl/ServerCA/CA/ServerCA.crt SSLCertificateChainFile /opt/ssl/ServerCA/CA/ServerCA.crt SSLVerifyClient optional SSLVerifyDepth 2 <Location /repo> DAV svn SVNPath /srv/repos/svn/insec SSLRequireSSL AuthzSVNAccessFile /srv/repos/svn/insec/conf/authz AuthType Basic AuthName "Subversion repository" Require valid-user </Location> </VirtualHost> 编辑:添加SSLCertificateChainFile,以便客户端获得CA证书,如果它尚未安装。 编辑2:所以最后一件事:我如何将特定证书与用户名匹配?
我正在尝试使用Haproxy的通道来支持SSL。 SSL证书根据stunnelconfiguration进行定位。 我也能够获得https连接,但每次使用https时,会话都会丢失。 我不使用tomcat 8443端口来获取安全的内容。 只有使用stunnel和haproxy才有可能获得https连接? 而且我的要求是一旦用户login后有https连接。
网站已经启动。 我改变了我的configuration文件在启用网站,然后运行: apache2ctl configtest 得到了:语法OK 然后跑: apache2ctl graceful 已经返回到命令提示符。 没有消息。 网站closures了,没有重启。 另外,我没有被要求提供密码,因为我的密钥已经存在了。 所以我把旧的configuration(快速),并重新启动。 apache2ctl优雅不支持密码? error.log文件中没有错误消息。 只是“[通知]请求重启,重启”,然后什么都没有。 更新7/8:search其他错误日志(以前只是检查主要的)之后,我发现这个: SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
我有一个与https有关的svn的问题,但与http它的作品。 这是问题: 我可以在我们的SVN服务器签出一个回购,但我不能提交,我得到以下错误: 提交失败(详情如下):' https ://svn.example.com/svn/repo-name/trunk/dirname/'选项:无法读取状态行:连接被服务器closures( https:// svn .example.com ) 所以我设置了更高的Loglevel,我在apache日志中find以下消息: [Thu Aug 04 14:16:54 2011] [info] [client 123.456.789.10](70007)指定的超时已过期:SSLinputfilter读取失败。 [Thu Aug 04 14:16:54 2011] [info] [client 123.456.789.10]连接closures到标准关机(服务器svn.example.com:443)的子9 奇怪的是,有时它是有效的,最不是时间。 我使用svn-client乌龟。 有人知道问题出在哪里? 在谷歌我没有发现任何有用的。
我遇到了一个有趣的问题,我的一个Web服务器在网站的HTTPS部分发生404错误。 这里是我们如何设置,我们有一个单一的网站设置,没有主机头设置,并configuration为接受任何请求*。 我们刚刚在这个服务器上安装了第二个IP地址,因为我们要部署另一个网站,我们需要将新的SSL绑定到它,我们在服务器上安装了两个SSL证书,但只有一个绑定到IP因为它是当前运行的网站。 我们运行一个代码库,这样两个站点将运行在一个单独的.Net工作进程(我们把它设置为一个networking农场),应用程序处理加载哪个站点的url请求,这是一个附注有些我们是如何做事的。 因此,因为添加第二个IP地址,我现在从IIS HTTPAPI(它不会发生所有的时间间歇性)404错误,httperr日志显示这很清楚,我们的其他服务器没有这样做,因为他们只有1 IP地址在此刻。 我厌倦的一件事就是使用appcmd命令将URL绑定到SSL证书上,我认为这个命令可以解决问题,但是还没有,我还有一些其他的想法,但是我想把它放在那里看看是否有其他人跑过这个问题以及解决它的方法。 我得到第二个服务器设置与第二个IP地址,以查看是否也这样做,我将添加一个主机头到站点,并将其绑定到SSL的IP地址。 任何build议,这将是超级! 另外,为什么不花一些时间去听一首经典的歌曲呢:) http://grooveshark.com/s/Missing+Link/2GNh7?src=5
我有一个apache 2主机与商业(rapidssl)签署的证书运行,我需要生成客户端证书进行身份validation。 我创build了一个CA(根据http://www.cafesoft.com/products/cams/ps/docs30/admin/ConfiguringApache2ForSSLTLSMutualAuthentication.html )并相应地修改了我的apacheconfiguration文件。 <VirtualHost *:443> Servername SITEtest.XXX.com DocumentRoot /SITE/html CustomLog /SITE/html.log vhost_combined SSLEngine on SSLCertificateFile /etc/apache2/ssl/comercialcert.cer SSLCertificateChainFile /etc/apache2/ssl/comercialcert.int SSLCertificateKeyFile /etc/apache2/ssl/comercialcert.key <Directory /SITE> AllowOverride All SSLRequireSSL SSLCACertificateFile /etc/apache2/ssl/selfsignedcaCA.crt SSLVerifyClient require SSLVerifyDepth 1 SSLOptions +StrictRequire +StdEnvVars +ExportCertData +FakeBasicAuth </Directory> </VirtualHost> 我用相同的CA导入了一个pkcs12文件到我的浏览器。 每当我尝试访问我得到的错误“重新谈判握手失败:不被客户端接受!? 在Apache错误日志。 如果我在SSLCertificateFile中使用由我的CA生成的证书,但没有按预期工作,浏览器将Web服务器证书识别为自签名,则一切正常。 更多细节: Apache / 2.2.9(Debian Lenny)mod_ssl / 2.2.9 OpenSSL / 0.9.8g
我读过IFD Dynamics部署的最佳做法是使用ADFS2.0并使用通配符SSL证书进行locking。 我想用于Dynamics部署的域名与我的Active Directory林不一样。 我希望Dynamics能够使用我的公司.com地址,而不是使用Active Directory的.net。 这可能吗?
我有一个标准的Windows 7 Pro x64工作站,启用远程桌面,工作站是一个域(Samba3,所以NT4风格)的一部分。 我已经按照这些说明成功了,工作站现在正在为RDP客户端提供适当的证书,但是,尽pipe信任CA,RDP客户端仍然显示警告。 RDP证书由组织CA(位于RDP客户端和RDP服务器的受信任的根存储中)签署,当从RDP客户端警告窗口查看证书时,该链是有效的并且“OK”。 该链接表明,必须添加一个CRL,但是由于我们没有一个,因此我在两台机器上的相关CA证书上禁用了CRL,但是我没有成功。 为什么我的客户说证书不是来自有效的authentication机构? 这是客户端还是服务器端问题? 我该如何解决?