Articles of ssl

我试图让Squid3.4用服务器优先的方法做SSL Bumping。 我在alpinelinux中遵循了这个指南 。 我正在明确的模式（浏览器configuration转到代理），工作正常。 我生成了我的密钥，我的CSR，以及使用–enable-sel和–enable-sel-crtd选项重build了squid3，当我拿回我的证书时（我select了一个testing，用1个月的时间来完成POC）从COMODDO，我把它放在我的鱿鱼configuration。 然后我得到以下错误： Dec 08 08:15:12 proxy squid3[2166]: No valid signing SSL certificate configured for http_port 192.168.10.4:3128 Dec 08 08:15:12 proxy squid3[2136]: Starting Squid HTTP Proxy 3.x: squid3FATAL: No valid signing SSL certificate configured for http_port 192.168.10.4:3128 这里我的squid3configuration # Subnet defs in ACL acl wifi_lan src 192.168.11.0/24 acl dmz_lan dst 192.168.10.0/24 […]

我有多个域名和多个使用SSL证书运行在Nginx下的域名。 所有的域基本上都使用完全相同的configuration，取代当然的名字，除了我有SSL设置指定的启用HTTPS的域。 在这两个域之间，configuration对于SSL来说也是一样的，除了密钥等的文件名之外。 每个网站也运行在自己的专用IP上。 （他们全部） 我所有的非SSL网站都工作得很好。 我可以访问他们没有任何问题。 我的所有SSL站点都从CloudFlare获得521错误。 （严格的SSL开启，只是fyi） 我之前build立的一个领域工作得很好。 即使我删除了另一个启用了SSL的域，它现在仍然不起作用。 我所做的唯一configuration更改是添加一个也使用SSL证书的新域。 当我用nginxtestingconfiguration时，它表示一切正常。 当我检查netstat时，我可以看到443的监听IP。我在/ var / log / syslog或nginx的访问和错误日​​志中看不到任何错误。 主要是nginx.conf user nginx; worker_processes 1; error_log /var/log/nginx/error.log warn; pid /var/run/nginx.pid; events { worker_connections 1024; } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr – $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log […]

我需要代理一些远程API https://example.com/api/ 可以在本地访问http://localhost/api/ 我试图把这一行放在httpd.conf ： ProxyPass /api/ https://example.com/api/ 我已经检查了这些模块是否启用： ssl_module, proxy_module, proxy_http_module 当我试图达到http://localhost/api/ ，我得到500内部服务器错误，而我在error_log看到的是： [Wed Jan 14 16:42:04.788401 2015] [proxy:warn] [pid 21916] [client ::1:59260] AH01144: No protocol handler was valid for the URL /api/v1/ads. If you are using a DSO version of mod_proxy, make sure the proxy submodules are included in the configuration using LoadModule. […]

所以在用SHA512configuration一个离线的根CA和在线的AD subordiante CA之后不久就可以进行validation了。 我们发现一个瘦客户端供应商（Teradici零客户端与视图6）只支持SHA1和SHA256。 我无法find任何方式configuration模板以使用SHA256与任何CSP。 我尝试了“certutil -setreg ca \ csp \ CNGHashAlgorithm 256”，但是这会使生成的每个新证书的签名无效。 除了重做整个PKI之外，有没有人有任何想法或path可以追求？ 谢谢。

我有一个使用CAC客户端证书的网站，它的function应该是这样。 问题是，有一个要求，网站反弹一个消息，警告说这是一个美国政府系统（等），它必须显示在人login之前。 目前，服务器不会对你说什么，直到你authentication或authentication失败。 在询问用户的CAC PIN并尝试authentication之前，是否有人知道如何提供信息？ 我已经search了networking，并没有find解决这个问题，这让我感到惊讶，因为我确信人们需要这样做…searchIIS和login横幅获取有关如何添加横幅广告等我试过的search术语的每个其他组合似乎倾向于客户端CACconfiguration。 任何援助将非常感激！

Ubuntu 12.04 OpenSSL 1.0.1 14 Wget 1.13.4 我的设置： 创build我们自己的CA（ our_own_ca.crt ） 生成一个用上面的CA签名的证书（ graphite.local.crt ） 将该证书和CA证书连接成一个捆绑文件 Nginxconfiguration： ssl_certificate /etc/ssl/certs/graphite.local.crt; ssl_certificate_key /etc/ssl/certs/graphite.local.key; ssl_client_certificate /etc/ssl/certs/our_own_ca_chained.crt; 有： our_own_ca_chained.crt = graphite.local.crt + own_own_ca.crt 根据/usr/share/doc/ca-certificates/README.Debian ，将此CA安装到可信存储中，我只需将其复制到/usr/local/share/ca-certificates/ ，然后运行update-ca-certificates 。 这是输出： Updating certificates in /etc/ssl/certs… 1 added, 0 removed; done. Running hooks in /etc/ca-certificates/update.d…. Warning: there was a problem reading the certificate file […]

我为新的服务器设置了SSL，并closures了如何在之前的服务器上进行configuration。 我注意到我有SSLCertificateFile ， SSLCertificateKeyFile和SSLCertificateChainFile指定在两个不同的地方。 我把它放在我的ssl.conf文件里（这个文件包含在httpd.conf文件中），而且我也在httpd.conf文件中的<VirtualHost *:443>块中。 我是否需要这两个地方的这三个设置，或者只是一个足够的？ 对一个和另一个有什么性能影响？

我正在尝试在OpsWorks HAProxy实例中使用客户端证书validation。 我遇到的问题，这可能是一个noob问题，我该如何部署我的SSL私钥到实例，而不会过度曝光？ 私钥可以在Elastic Load Balancer实例中设置，但不支持设置客户端证书。 也可以在OpsWorks App定义中设置密钥，但对于HAProxy实例来说这似乎不是一个选项。 OpsWorks中的SSL密钥的负责部署如何正常完成？

我希望有人能帮我解决这个问题 我在我的Ubuntu 14.04盒子上运行了一个Apache 2.4.7服务器，有一些面向公众的站点。 对于其中一些网站，我使用自签名证书实施了客户端证书身份validation。 我试图改变我的configuration，当客户端连接到与服务器在同一networking上的网站时，完全绕过validation。 这是我的configuration文件的片段： SSLEngine On SSLProtocol -all +TLSv1 +SSLv3 SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM SSLCertificateFile /etc/ssl/ca/certs/server.crt SSLCertificateKeyFile /etc/ssl/ca/private/server.key SSLCACertificateFile /etc/ssl/ca/certs/serverCA.crt SSLVerifyClient require SSLProxyEngine Off ProxyRequests Off 我已经尝试通过将SSLVerifyClient require移动到Location块来修改此configuration，如下所示： <Location /> Order deny,allow Deny from all Allow from 192.168.1.0/24 SSLVerifyClient require Satisfy any </Location> 不幸的是，这不起作用，我仍然会被要求提供证书，或者我的网站可以从互联网免费获得。 非常感谢您的帮助

有谁有SSL客户端身份validation与OpenLDAP（在CentOS7上 – 使用moznss）？ 我已经search了最近2天试图让这个工作，无论是与certutil数据库和直接的PEMconfiguration，并沮丧，它不工作。 我最初虽然是客户端不发送SSL证书进行validation，我已经certificate了这一点，当使用PEM身份validation和strace（并没有打开（）的crt文件或密钥）。 首先，这是RHEL7，客户端和服务器都安装了相同版本的openldap： 服务器： openldap-servers-2.4.39-6.el7.x86_64 openldap-2.4.39-6.el7.x86_64 客户： openldap-clients-2.4.39-6.el7.x86_64 openldap-2.4.39-6.el7.x86_64 SSL：我自己的CA. 使用PEMauthentication： 服务器（cn = config.ldif）： olcTLSCACertificateFile: /etc/openldap/tls/ldap-ca.crts olcTLSCertificateFile: /etc/openldap/tls/ldap-server.crt olcTLSCertificateKeyFile: /etc/openldap/tls/ldap-server.key olcTLSVerifyClient: hard 服务器（/ usr / sbin / slapd -u ldap -h“ldapi：/// ldap：/// ldaps：///”-d 1）： 55935ff8 slap_listener_activate(10): 55935ff8 >>> slap_listener(ldaps:///) 55935ff8 connection_get(18): got connid=1000 55935ff8 connection_read(18): checking for input on id=1000 TLS: loaded […]