我想使用NGINx作为反向代理服务器,所以我可以从中国大陆打开我的GAE(谷歌应用程序引擎)网站,因为大部分谷歌IP被GFW阻止。 DNS:我有这些DNSlogging: – A mydomain.com ==> xxxx CNAME www ==> ghs.google.com CNAME * ==> ghs.google.com 我打算使用地理DNS指向我的反向代理,以防万一来自中国大陆的请求,目前我通过将主机logging点mydomain.com本地进行本地testing。 我在Ubuntu 12.04上有nginx 1.1.19。 我的网站configuration文件是: server { #listen 80; listen 443 ssl; server_name mydomain.com; ssl on; ssl_certificate /home/user/Desktop/ssl/mydomain.com.pem; ssl_certificate_key /home/user/Desktop/ssl/mydomain.com.key; ssl_session_timeout 5m; ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers on; large_client_header_buffers 4 16k; access_log /var/log/nginx/access.log; error_log /var/log/nginx/error.log; # keepalive_timeout 70; location […]
我正在寻找一个远程pipe理大约100个工作站的解决scheme。 我将连接到这些系统来完成几个本地系统任务。 (第三方更新,安全审计,事件响应) 基于SSL的远程PowerShell似乎是理想的。 要在每个工作站上启用WinRM HTTPS侦听器 – 是否需要在每个工作站上安装本地证书? 我相信这是正确的,我只是想确定一下。 有没有更好的方法来实现这样的解决scheme? 或者我将不得不实际访问每个我希望远程访问的工作站 – 安装证书? 我也欢迎任何不使用powershell或winrm的build议! 谢谢!
CentOs 6 64bit运行apache 2.2.15-29.el6.centos。 当我尝试停止/启动或重新启动httpd时,出现错误,说明它失败了。 错误日志的尾部在下面。 我还注意到,即使在主要的conf文件中configuration了httpd.pid文件,它也不会被创build。 如果我将selinux设置为宽容,那么它工作得很好。 我不想在禁用selinux的情况下运行它。 如果我删除SSL_Mutex文件,它将启动。 HTTPD运行良好,直到我试图添加sslconfiguration。 我将ssl.conf文件从工作服务器复制到conf.d文件夹中。 我也复制了一个sslcert文件夹到conf文件夹。 它包含证书,密钥,csr和密码文件。 我认为这个问题与sslcert文件夹的selinux上下文有关,但我不确定如何解决这个问题。 执行restorecon -R sslcert之后,下面是sslcert文件夹的安全上下文 ls -Z -rw-r–r–. root root system_u:object_r:httpd_config_t:s0 httpd.conf -rw-r–r–. root root system_u:object_r:httpd_config_t:s0 magic **drwxr-xr-x. root root system_u:object_r:httpd_config_t:s0 sslcert** tail -f /var/log/httpd/error_log [Thu Oct 17 13:33:19 2013] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) [Thu Oct 17 13:33:20 2013] [notice] […]
我正在尝试将Exchange / The Domainconfiguration为在启动Outlook时显示安全警告而接受SSL证书。 **Configuration:** 2012 Domain Controller 2013 Exchange server (one) Outlook 2010 External FQDN to exchange : exchange.n****e.com Internal FQDN to exchange : exchangevault.lincoln.n****e.limited SSL Cert purchased which covers: DNS Name=exchange.n****e.com DNS Name=www.exchange.n****e.com DNS Name=AutoDiscover.n****e.com DNS Name=n****e.com 我通过GP将证书添加到受信任的根。 我已经在2012年ECP中更改了内部和外部URL,以指向外部FQDN。 exchange.n **** e.com 我的testingoutlook客户端,outlookconfiguration没有问题。 在启动configuration后,我收到安全警告,告知我证书有问题。 “安全证书上的名称无效或与网站名称不符” 事实上,它并不是,内部前景是引用内部FQDN,但使用外部FQDN的证书。 我只想让操作系统信任证书(它通过GP在客户端本地安装),但每次运行Outlook时都会出现此安全警报。 或使用外部FQDN,对于内部用户,我将redirect到交换服务器的内部IP,但这样做会导致邮件服务器字段切换到内部地址; 然后不允许我打开前景。 (无法打开您的默认电子邮件文件夹) 如果FQDN不同,没有安全警告,我怎样才能在内部和外部进行交换?
我有一个company.sv域名,最近购买了一个RapidSSL通配符证书,我安装了它,并用许多浏览器(Firefox,Chromium,Chrome,IE)和SSL检查工具进行了testing,它在每一个除了谷歌浏览器Windows,Linux和Android。 每次通过谷歌浏览器访问网站时,都会显示一条警告,说明我试图访问www.company.sv或whatever.company.sv,但服务器将自己标识为**。company.sv *。 如果我仍然继续发出警告并单击红色锁,它会告诉我已连接到仅在我的networking中有效且无法通过外部证书实体进行validation的服务器。 我联系了证书转售商的支持服务部门,但他们不能直接回答这个问题。 我一直在想,这是否与顶级域名.sv有关 。 我也检查过Chromium源代码,但是由于证书完美地运行在Chromium上,所以它看起来似乎毫无意义。 也许值得一提的是,我在Ubuntu 12.04服务器上使用NGINX,在购买通配符之前,我testing了Comodo的免费单域证书。
我最近分配的职责之一是跟踪我支持的应用程序服务器使用的SSL证书。 这些由外部组织主要pipe理,但在我们部门内部,我想有一些安全地存储他们的方式,而不仅仅是在服务器上,作为一个预防措施。 我也想跟踪他们何时到期等。 我已经考虑过一个密钥数据库(使用一些像IBM Key Manager这样的证书工具),或者把它们保存在一个encryption的驱动器上。 我想我们的build议,以处理SSL证书的最佳方式,不会冒险暴露给未经授权的个人?
在我的一台服务器上,我观察到SSL密码有以下问题:有些证书没有要求input密码,有些则不断要求input密码。 我已经在全球build立起来了: SSLPassPhraseDialog exec:/path/to/passphrase 但是当我重新启动apache ,它要求我在几个使用相同通配符证书的域上使用密码。 任何想法可能导致这个? 检查我运行的密码 (openssl x509 -noout -modulus -in server.pem | openssl md5 ; openssl rsa -noout -modulus -in server.key | openssl md5) | uniq 我得到一个散列,这意味着他们匹配,密码相同 [Wed Mar 05 17:13:23 2014] [error] Init: Pass phrase incorrect [Wed Mar 05 17:13:23 2014] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag [Wed […]
我有一个nginxbuild立与ssl certifivate。 最近我注意到,build立到该服务器的连接有时会花费太长时间(8+秒)。 在Chrome开发者工具中,我可以看到,所有的时间都进入了连接阶段。 dynamic内容(php)和静态(html,css)都存在问题。 与此同时,服务器对同样的非SSL请求做出完美的响应。 对于每个请求都不会发生这种情况,但是会导致很多ajax请求超时(其中一些对服务至关重要)。 我试图按照这个指南: http : //unhandledexpression.com/2013/01/25/5-easy-tips-to-accelerate-ssl/但它没有帮助。 任何想法我怎么能find问题的根源? 任何潜在的修复?
我想通过SSL保护一个带有自定义域的azure色网站。 根据需要,网站位于“标准”层。 我已经能够上传我的自签名通配符证书,但是当我想将其绑定到自定义域名时,它不会出现在“select证书”下拉列表中。 有人知道这是为什么吗? 编辑 为了完整起见,以下是我如何生成自签名证书: 生成一个根证书makecert -pe -n "CN=Mydomain Root" -ss my -a sha1 -sky exchange -r -len 2048 root.mydomain.com.cer 我导入了根证书(右键单击 – >安装证书),然后在“个人”证书存储区中结束 从根证书生成通配符证书: makecert -pe -n "CN=*.mydomain.com" -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.1 -is my -in "Mydomain Root" -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -ss Personal wildcard.mydomain.com.cer 我用这些设置导出了这个通配符证书的pfx文件 我将导出的pfx上传到azure,并试图将其绑定到我的网站的自定义域名。
我想为blog.domain.com和www.domain.com等几个子域名build立一个EV SSL证书。 我还需要为*.domain.com blog.domain.com设置通配符PositiveSSl证书,不包括blog.domain.com和www.domain.com 。 两张证书是否会互相干扰? 这甚至有可能吗?