我最近一直在努力找出在我们的环境中的performance是瓶颈的地方。 环境(每台服务器是Linux VM,8核,32 GB RAM): 负载平衡:50 Web服务器(rsync):51,52,54 DB(MySQL 5.6 master master):56,58 我build立了一个负载平衡的环境,HAProxy负载均衡,Nginx的SSL终止在..50。 HAProxy侦听端口80,并将stream量指向.. .51,52或54.它还侦听端口3306,并在.._。56和58之间引导stream量以实现数据库负载平衡。 Nginx监听端口443,并处理SSL握手,同时将实际stream量转发到同一台机器上的端口80,由HAProxy处理。 该设置以〜1000 /秒处理非SSL连接,但SSL连接以〜300 /秒处理。 我最近通过将我们的HAProxy版本升级到可以处理SSL终止的版本来改变环境。 HAProxy现在侦听端口80和端口443,在后者处理SSL握手,并将stream量转发到Web服务器:51,52和54.性能保持大致相同,但configuration更简单。 我已经看到了负载平衡器的顶部,在这两种情况下,服务器上几乎没有任何负载。 端口80或443的stream量。 如我所料,Web服务器在我的端口80testing期间受到敲击,但是在我的443testing中它们显示的负载非常小。 是否有任何你知道的事情可以做,以增加我们的SSL连接的响应时间? 任何和所有的提示或build议是受欢迎的,我想获得尽可能多的performance,我可以。 谢谢大家!
这是一个新手问题,但是在阅读关于CA如何工作的各种不同的文章之后,我的脑袋就被炸了。 大多数证书是由一个“中间CA”发行的,而这个链最终会导致根CA? 例如,如果我要求VeriSign颁发的证书,他们是否将任务委托给中级CA来“分配”颁发证书? 我的证书将通过中间证书进行validation,中间证书又将由根CA进行validation,完成validation链? 如果是这样的话,是否曾经有过一种情况,即根CA会直接向已经申请证书的公司/组织颁发证书?
当我为内部CA构build自签名证书时,是否应该使发布者DN与请求中的DN匹配,是否应该不同,还是没有任何约定?
我已经安装了Postfix并启用了SSL / TLS,刚刚testing过,我可以从端口25,578发送邮件,但不能从端口465发送邮件,日志是: May 26 17:24:06 mail postfix/smtpd[28721]: SSL_accept:SSLv3 write server hello A May 26 17:24:06 mail postfix/smtpd[28721]: SSL_accept:SSLv3 write certificate A May 26 17:24:06 mail postfix/smtpd[28721]: SSL_accept:SSLv3 write server done A May 26 17:24:06 mail postfix/smtpd[28721]: SSL_accept:SSLv3 flush data May 26 17:24:06 mail postfix/smtpd[28721]: SSL3 alert read:fatal:certificate unknown May 26 17:24:06 mail postfix/smtpd[28721]: SSL_accept:failed […]
重要提示:我在stackoverflow上有这个问题,但有人告诉我这个问题更相关的地方。 谢谢 我configuration了squid(3.4.2)作为ssl bumped代理。 我设置代理在Firefox(29)使用SSH / HTTPS。 现在,它适用于大多数网站,但支持旧的SSL协议(sslv3)rest的一些网站,我看到鱿鱼没有采用任何解决方法,如浏览器做的。 应该工作的网站: https : //usc-excel.officeapps.live.com/,https : //www.mahaconnect.in 作为解决方法,我已经设置sslproxy_version = 3,这强制SSLv3和以上的网站工作。 我的问题是:有没有更好的方法来做到这一点,而不涉及为支持TLS1或更好的服务器实施SSLv3。 现在我知道openssl不会自动处理。 但我想象鱿鱼会。 我的鱿鱼conf snipper: http_port 3128 ssl-bump generate-host-certificates = on dynamic_cert_mem_cache_size = 4MB cert = / usr / local / squid / certs / SquidCA.pem always_direct允许所有ssl_bump服务器优先所有sslcrtd_program / usr / local / squid / libexec / ssl_crtd -s […]
我正在使用这个Apacheconfiguration来设置一个反向代理,以运行在同一台机器上的进程,在端口8443, <Directory "/var/www/html"> Options +FollowSymLinks RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*) https://%{HTTP_HOST}/$1 </Directory> <IfModule mod_proxy.c> ProxyRequests Off <Proxy *> Order deny,allow Allow from all </Proxy> SSLProxyEngine On ProxyPass / https://127.0.0.1:8443/ ProxyPassReverse / https://127.0.0.1:8443/ </IfModule> 在8443上运行的进程已经build立了HTTPS / SSL证书。 这是一个有效/良好的configuration,或者我可以做得更好吗? 我注意到,目前甚至http://将代理https://没有重写踢我想这可能会危及SSL? 我宁愿只有443代理8443,只是使用URL重写来重写http://请求https://请求。 这可能使用Apache? 谢谢。 编辑 – 这是请求的虚拟主机信息, VirtualHost Configuration: wildcard NameVirtualHosts and _default_ servers: _default_:443 127.0.0.1 […]
我使用这个参考在CENTOS 6.3上用apache 2.2在同一个ip上设置多个ssl ceritificates <VirtualHost *:443> ServerAdmin webmaster @ localhost ServerName www.domain1.org ServerAlias domain1.org DocumentRoot /var/www/vhosts/domain1.org/ #SSL引擎开关: #启用/禁用此虚拟主机的SSL。 SSLEngine上 #可以通过安装创build一个自签名(snakeoil)证书 #ssl-cert包。 看到 #/usr/share/doc/apache2.2-common/README.Debian.gz了解更多信息。 #如果密钥和证书都存储在同一个文件中,则只有 #SSLCertificateFile指令是需要的。 SSLCertificateFile /home/tmp/ssl/domain1.crt SSLCertificateKeyFile /home/tmp/ssl/domain1.key </虚拟主机> <VirtualHost *:443> ServerAdmin webmaster @ localhost ServerName www.domain2.org ServerAlias domain2.org DocumentRoot /var/www/vhosts/domain2.org/ #SSL引擎开关: #启用/禁用此虚拟主机的SSL。 SSLEngine上 #可以通过安装创build一个自签名(snakeoil)证书 #ssl-cert包。 看到 #/usr/share/doc/apache2.2-common/README.Debian.gz了解更多信息。 #如果密钥和证书都存储在同一个文件中,则只有 #SSLCertificateFile指令是需要的。 SSLCertificateFile /home/tmp/ssl/domain2.crt SSLCertificateKeyFile /home/tmp/ssl/domain2.key […]
我有一些独立的Java Web应用程序,目前运行在不同的端口和URLS。 我想公开所有这些应用程序在一个单一的端口(443),并将不同的公共URL映射到单个内部URL /端口。 我认为客户端是Nginx的反向代理。 我还需要这些应用只能通过SSL进行访问,并且在AWS ELB上使用终止于AWS ELB的AWS VPC中的所有内容进行规划,然后再select反向代理。 这看起来像一个非常标准的堆栈。 有没有理由不这样做? 任何理由我应该终止反向代理(Nginx或其他)而不是AWS ELB的SSL? 谢谢
我试图在运行Windows Server 2008 R2和IIS 7.5的Windows Web服务器上禁用SSL3.0。 我input了以下registry项: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client] "DisabledByDefault"=dword:00000001 重新启动服务器之后,我使用nmap和openssl检查了我的站点的SSL协议。 NMAP命令: nmap –script ssl-enum-ciphers mysite.com NMAP输出: | ssl-enum-ciphers: | SSLv3: […]
我需要在服务器场或多个进程之间共享SSL终止任务。 在这个架构中,在这个ssl终止任务之前应该有一个负载平衡器。 在查找适当的软件负载平衡器之后,事实certificate,只有第4层(TCP)负载均衡器(haproxy)适用于此作业,而不是第7层(HTTP / HTTPS)作业。 我的问题是,为什么像nginx,perlbal这样的第7层负载均衡器不能仅仅通过ssl终止? 客户端IP地址应在第7层负载均衡器中可用。 他们只能转发请求,对吧? 该架构如下所示: HTTPS balancer (L4/TCP balancer) / | \ <— HTTPS traffic SSL server farm/processes \ | / <— HTTP traffic HTTP balancer (L7/HTTP balancer) / | \ HTTP server farm/processes 参考: http : //1wt.eu/articles/2006_lb/index_09.html