服务器 Gind.cn

Articles of ssl

在Amazon EC2上使用nginx安装SSL证书

我终于从一个权威机构获得了证书,并且正在努力工作。 我创build了合适的组合证书(个人+中间+根),nginx指向它。 我有一个弹性的IP,并将其连接到我的EC2实例。 我的DNSlogging指向该IP。 但是当我把浏览器指向主机名时,我得到了标准的“连接不可信”位,和ssl_error_bad_cert_domain。 端口443是开放的 – 我可以通过https访问该网站,如果我忽略警告。 奇怪的是,在技术细节下,它列出了我试图访问的域有效! 当我尝试用ssltesting网站进行诊断时,他们甚至没有检测到证书! 我在这里错过了什么? 域名是yanlj.coinculture.info。 注意我在家庭服务器上运行了一个没有专用IP地址的文件,同样的问题,但是一旦我想到这个问题,我会把它移动到同一个EC2实例上。 我以为弹性知识产权可以解决问题,但事实并非如此 Nginxconfiguration: server { listen 443; server_name localhost; ssl on; ssl_certificate /home/ubuntu/certs/startssl/ssl-unified.crt; ssl_certificate_key /home/ubuntu/certs/startssl/ssl.key; keepalive_timeout 70; #ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 TLSv1; #ssl_ciphers HIGH:!aNULL:!MD5; #ssl_prefer_server_ciphers on; root /home/ubuntu/programming/YanlJ; index index.php index.html; location / { #try_files $uri $uri/ /index.php; # this line was […]

客户端SSL在GlusterFS 3.5中失败

我在Ubuntu 12.04上运行官方Ubuntu软件包中的GlusterFS 3.5,当启用client.ssl时,安装开始失败。 我得到的错误是: [2014-06-13 10:33:52.690770] E [socket.c:297:ssl_setup_connection] 0-public_uploads-client-0: SSL connect error 我启用了SSL遵循本指南: http ://www.gluster.org/author/zbyszek/除了我有钥匙和证书在gluster和glusterfs文件,因为指南似乎使用一开始和另一个之后: # ls /etc/ssl/gluster* /etc/ssl/gluster.ca /etc/ssl/glusterfs.ca /etc/ssl/glusterfs.key /etc/ssl/glusterfs.pem /etc/ssl/gluster.key /etc/ssl/gluster.pem 音量看起来像这样: Volume Name: public_uploads Type: Distribute Volume ID: 52aa6d85-f4ea-4c39-a2b3-d20d34ab5916 Status: Started Number of Bricks: 1 Transport-type: tcp Bricks: Brick1: koraga.int.example.com:/var/lib/glusterfs/brick01/public_uploads Options Reconfigured: auth.allow: 127.0.0.1 client.ssl: on server.ssl: on nfs.disable: on 如果我设置client.sslclosures然后它工作得很好。 […]

路由53裸/根域别名logging

路线53支持使用Amazon S3静态网站的Aliaslogging,使用301redirectdynamic地将裸域parsing到其www域。 我想知道别名logging是否会支持SSL: http:// example.com – > http:// www.example.com(这将工作) https:// example.com – > https:// www.example.com(这会工作吗?) 我意识到SSL与DNS没有任何关系,但Route 53的Aliaslogging(使用S3静态网站)的实现与我有关。 看起来dnsimple的ALIASlogging确实支持SSL: http : //support.dnsimple.com/articles/domain-apex-heroku/ 如果确实Route 53不支持SSL和dnsimple,那么dnsimple的ALIASlogging的实现如何呢?

子域redirect到HTTPS,尽pipe缺less重写规则

我在staging.example.com上有一个域,我想在没有HTTPS的情况下运行它来进行testing。 主域(example.com)确实使用SSL。 我试图find一个重写规则,将转发到主域的HTTPS,但不是子域名(除www。)。 目前,我已经通过删除所有可以从我的虚拟主机文件find的重写规则进行了testing,并访问了域和子域。 尽pipe为两个虚拟主机文件再次运行a2ensite并运行sudo服务apache2重新加载和sudo服务apache2重新启动,浏览器仍然被redirect到子域和主域上的HTTPS。 这个redirect可能发生在其他地方吗? 这是我的虚拟主机: <VirtualHost *:80> ServerAdmin [email protected] ServerName example.com ServerAlias www.example.com DocumentRoot /srv/www/example.com/public_html/example/example-production/current/public Options Indexes FollowSymLinks Includes ExecCGI <Directory /srv/www/example.com/public_html/example/example-production/current/public> Allow from all Options -MultiViews -Indexes </Directory> ErrorLog /srv/www/example.com/public_html/example/example-production/current/log/error.log CustomLog /srv/www/example.com/public_html/example/example-production/current/log/access.log combined <Location /> </Location> </VirtualHost> <VirtualHost *:443> ServerName example.com ServerAlias www.example.com DocumentRoot /srv/www/example.com/public_html/example/example-production/current/public ErrorLog /srv/www/example.com/public_html/example/example-production/current/log/error.log SSLEngine On SSLCertificateFile /etc/apache2/ssl/certs/example.com.crt SSLCertificateKeyFile […]

Curl和Python SSL lib使用的SSL版本存在问题

TL; DR我想要达到一个只需要SSLv3的URI。 如果我尝试使用curl或Python请求(使用ssl模块)来访问它,它不起作用(不同的错误)。 一些更长的解释 这个API有这个URI: https : //api.mercadolibre.com/sites/MLA/search? q = ipod 如果我尝试使用浏览器访问该URI,它可以正常工作(Chrome和FF)。 如果我尝试curl它: curl -Iv https://api.mercadolibre.com/sites/MLA/search?q=ipod它不起作用。 返回的错误是: curl: (35) Unknown SSL protocol error in connection to api.mercadolibre.com:443 强制curl使用SSLv3正常工作: curl –sslv3 -Iv https://api.mercadolibre.com/sites/MLA/search?q=ipod openssl s_client -connect api.mercadolibre.com:443 回答: CONNECTED(00000003) write:errno=104 — no peer certificate available — No client certificate CA names sent — SSL handshake has […]

是否可以使用mod_gnutls和Apache 2configurationECDHE-ECDSA?

我正在尝试使用mod_gnutls实现(为了SNI)configuration我的Debian盒子,以在TLSv1.0/1.1/1.2 (忽略TLSv1.0/1.1/1.2和SSL3)中实现最佳的结果。 但是在我看来,在mod_gnutls使用ECDHE-ECDSA / ECDHE-RSA是不可能的,而在gnutls-cli +ECDHE-RSA:+ECDHE-ECDSA在GnuTLSPriorities触发错误Syntax error parsing priorities string at … 我目前的configuration线: GnuTLSPriorities NONE:+SHA512:+SHA384:+SHA256:+DHE-RSA:+DHE-PSK: +DHE-DSS:+AES-256-CBC:+AES-128-CBC:+3DES-CBC:+VERS-TLS1.2: +VERS-TLS1.1:+VERS-TLS1.0:+COMP-NULL:+SHA1:+SIGN-ALL 哪里输出nmap > nmap –script ssl-enum-ciphers -p 443 www.mydomain.tld Starting Nmap 6.47 ( http://nmap.org ) at 2014-10-27 00:55 CET Nmap scan report for www.mydomain.tld (46.249.37.143) Host is up (0.046s latency). rDNS record for 46.249.37.143: lampicka.cz PORT STATE SERVICE 443/tcp […]

在nginx反向代理背后的WordPress不工作在https

我试图在基于Docker的云上运行wordpress。 设置是: 有一台运行mysql数组的服务器,它使用运行在Nginx上的Wordpress提供容器。 该设置是从这个dockerfile复制的。 此设置的目标是实现高吞吐量并与我们的云安装兼容。 wordpress容器有一个本地ip,与mysql数组和Nginx反向代理位于同一个子网,并有一个运行http(不是https)的公共端口。 反向代理被configuration为为wordpress容器运行SSL。 导航对http和https都起作用,但是当我尝试使用HTTPSlogin仪表板时,出现以下错误: 您没有足够的权限访问此页面。 我在HTTP上的仪表板上login时发现了唯一有意义的错误: [04-Nov-2014 23:16:13 UTC] PHP注意:未定义索引:/usr/share/nginx/www/wp-config.php中的HTTP_X_FORWARDED_PROTO行86 但仪表板在http上正常工作。 在Wordpressconfiguration文件中,我不得不添加下面这行: / * SSL代理* / if($ _SERVER ['HTTP_X_FORWARDED_PROTO'] =='https')$ _SERVER ['HTTPS'] ='on'; 我认为这是罪魁祸首。 我在官方的wordpress文档中发现了这个技巧,如果没有它,HTTPS不会加载CSS,无论是logging还是不logging。 我想也许我应该修改这一行以适应我的configuration? 无论是这个,还是nginx反向代理configuration文件 ,我都不知道。 wordpress + nginx容器中的nginxconfiguration文件是相当标准的,而且是从这里复制的。 请帮助我:D

可能在Apache上混合使用SNI和专用IP SSL?

我已经达到了我的Apache Web服务器上可用IP地址的限制,但越来越需要站点在SSL下运行。 我对一些在SNI下运行的站点感到满意,但其中一些站点需要在专用IP上提供SSL的后向兼容性。 那么,是否有可能在同一台服务器上混合使用两者?

HAProxy 1.5 SSL和许多网站

其实我在Apache2上用一些HTTP和一些HTTPS托pipe百个网站,我正在准备一个新的托pipe基础​​架构,我正在使用HAProxy在我的apache / php-fpm集群上负载均衡我所有的HTTP和HTTPS查询。 我正在使用启用了SSL的HA-Proxy版本1.5.8 2014/10/31。 我想用一个简单的HAProxy使用我的apacheconfiguration和所有的证书来configuration这个configuration。 编辑:在TCP上的HTTPS正常工作 我想知道如果我可以使用HAProxy在我的apache服务器上redirect所有的HTTPSstream量,而无需configurationHAProxy上的所有证书,是否可以通过TCP? 我想得到一个简单的HAProxyconfiguration,我不想每次添加另一个网站后编辑haproxy.cfg。 如果我在我的HAProxy后面使用Apache,使用TCP而不是HTTP模式,那么最大的区别是什么? 我可以使用HTTP模式,而无需在haproxy.cfg上设置所有的SSL证书? 如果你有任何build议,我是免费的。

nginx和SSLredirect

我有一个我用作代理的nginx服务器。 我想要所有的请求作为正常的http请求转发,期望请求到api.mydomain.org,我希望与ssl / https运行的请求。 这与以下工作正常: server { listen 80; server_name api.mydomain.org; return 301 https://api.mydomain.org$request_uri; } server { listen 443; server_name api.mydomain.org; location / { proxy_pass http://backend; proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504; proxy_redirect off; proxy_buffering off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto https; } ssl on; ssl_certificate /etc/nginx/ssl/api.mydomain.org/server.crt; […]
Intereting Posts
Active Directory权限:删除与移动 在Docker容器中运行多个Nginx和MySQL实例 在NTFS中由Linux创build的文件的权限 在故障转移群集中使DB2资源联机 NameVirtualHosts的configuration Arch:通过iSCSI共享原始SCSI设备? Windows 2003 X64标准页面文件的使用情况 思科ASA外部到外部NAT(从一个公共IP转发到另一个公共IP) apache2将www附加到https url 两台GlassFish安装在一台计算机上 mget:filename.xlsx:文件已存在,xfer:clobber未设置 磁盘满了,杜告诉不同。 如何进一步调查? 目录安全与Chrome浏览器失败 ARP广播和路由器性能 停止nginx反向代理redirect