我主要开发使用MySQL作为我的数据库的PHP应用程序。 通常,运行应用程序的服务器与MySQL服务器位于同一个框中,但并不总是如此。 我正在阅读有关SSL支持的PHP文档http://php.net/manual/en/ref.pdo-mysql.php,并留下了这些问题: 当应用程序和数据库服务器在同一个(本地主机)环境中时,是否需要使用SSL连接到MySQL? 当您访问两台服务器(应用程序服务器和数据库服务器)之间的信息时,这样做的好处是什么? 什么是使用PDO-SSL连接的“最佳实践”? 假设为客户端/服务器连接使用SSL证书与PDO的SSL连接无关吗?
我正尝试使用XCA软件创build自己的证书颁发机构。 我已成功创build了根CA( Fisir Technologies CA )和中间CA( Fisir Technologies Intermediate CA X1 )。 但是,我希望在第一个中间CA( Fisir Technologies Intermediate CA X1 )下有另一个中间CA( Fisir Technologies Endpoint CA WWW )。 第二个中间CA应该发布最终实体证书。 我已经完成了这一切,并导入我的根CA作为受信任的根证书颁发机构(在Windows上)。 然后,我创build了一个由第二个中间CA签名的新HTTPS证书。 我试图用Windows上的默authentication书查看器打开它,但它告诉我,它没有足够的信息来validation证书。 这是我所期望的,因为我只安装了根CA. 所以我创build了一个证书链,包括根CA,两个中间CA和HTTPS证书。 我把它上传到我的VPS上,在nginx中设置了HTTPS服务器并尝试访问它。 但谷歌浏览器欢迎我的NET::ERR_CERT_INVALID错误。 我点击了地址栏中的红色锁,表示证书无效。 所以我select查看证书,并在Windows默authentication书查看器中再次打开证书。 但是没有显示任何错误。 我查看了证书path,显示正确: 证书path 还说这个证书是有效的。 此外,我所能find的每个在线HTTPS检查器都没有显示任何设置问题(当然,除了不受信任的根CA之外)。 我试图修改证书的各种属性,但它永远不会工作。 然后我尝试了第一次发出完全相同的证书,但是这次我用第一个中间CA签名。 我刷新页面,它的工作。 但是我想使用第二个中间CA来颁发证书。 任何人都知道问题可能是什么? 您可以通过https://php.technologies.fisir.net查看自己的问题。 谢谢。
我试图通过CURL / PHP主要连接到第三方,但由于它不起作用,我正在诉诸更详细的工具来诊断问题。 如果我尝试以下,在Ubuntu 14.04 LTS上: openssl s_client -showcerts -connect secure.thirdpartyhost.com:443 -cert production_client.pem -key production_key.pem -CApath /etc/ssl/certs 它失败,出现这个错误: CONNECTED(00000003) depth=2 C = US, O = "Entrust, Inc.", OU = See www.entrust.net/legal-terms, OU = "(c) 2009 Entrust, Inc. – for authorized use only", CN = Entrust Root Certification Authority – G2 verify return:1 depth=1 C = […]
我有一个Amazon ELB,它监听http和httpsstream量。 它后面的实例在端口80上有nginx。仅Http。 所以ELB将https和http转发给nginx的http。 当我向https://example.com/folder等文件夹发送https请求时,会自动将其redirect到斜杠版本http://example.com/folder/,但协议将变为http。 文件夹包含index.html文件。 我认为这是它的工作原理。 有没有什么办法解决这一问题? 即使redirect到https而不是http。 我无法在全球执行https。 我的configuration: http { map $http_x_forwarded_proto $thescheme { default $scheme; https https; } server { listen 80; server_name example.com; location / { root /var/www/html; add_header X1 $scheme; add_header X2 $thescheme; index index.html; } } } 我已经添加了X1和X2头来检查nginx认为使用什么协议,以及ELB是否添加了X-Forwarded-Proto头。 X1是http,X2是示例请求的https。 我发现添加 if (-d $request_filename) { rewrite [^/]$ $thescheme://$http_host$uri/ permanent; […]
[从https://stackoverflow.com/questions/39937837/复制] 我有我的DNS设置指向local.example.com到127.0.0.1。 这样我就可以在现场和我的开发环境之间共享cookie。 在现场网站上激活HSTS,我的浏览器会自动尝试访问本地网站https://local.example.com/ ,因为我的开发服务器不支持SSL(我尝试在端口服务443)。 有没有办法指示我的浏览器(Chromium)忽略HSTS? (从我读到的, includeSubDomains是非常重要的,以避免cookie劫持攻击 – 基本上我只想包括自己的子域例外)。
我们使用2009年1月7日的Postfix 2.9.4和OpenSSL 0.9.8j-fips(SLES11 SP4)。 发送邮件到特定的收件人时收到此错误消息: error:1408D13A:SSL routines:SSL3_GET_KEY_EXCHANGE:unable to find ecdh parameters:s3_clnt.c:1336 在s3_clnt.c中读取我们的OpenSSL版本的代码,它在评论中说 现在我们只支持命名(不是通用)曲线,在这种情况下ECParameters只有三个字节。 分析代码时,这可能不是指定的曲线types,或者参数超出范围。 我的问题是:我如何教我们的SMTP客户端(或接收服务器)忽略此密码/密码套件或参数设置?
我的问题与此类似: Tomcat无法在密钥库中find密钥条目 我有一个CER文件,我使用下面的命令导入到JKS中: keytool -importcert -file codesign_Base64.cer -keystore imported_keystore.jks -alias my_alias 然后,我在jBoss的standalone.xml中有下面的configuration行。 <subsystem xmlns="urn:jboss:domain:web:1.1" native="false" default-virtual-server="default-host"> <connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http" redirect-port="8443"/> <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" enable-lookups="false" secure="true"> <ssl name="ssl" key-alias="my_alias " password="change_this" certificate-key-file="C:\Programs\Siemens\JBoss7.1.0\domain\configuration\imported_keystore.jks " protocol="TLSv1" verify-client="false"/> </connector> <virtual-server name="default-host" enable-welcome-root="false"> <alias name="localhost"/> <alias name="example.com"/> </virtual-server> </subsystem> 有了这个,当我尝试启动应用程序时,在jBoss日志文件中看到以下错误消息,描述了这种错误。 11:46:19,692 ERROR [org.apache.coyote.http11.Http11Protocol] (MSC service thread […]
我正在testing以下设置: RADIUS服务器使用EAP-TLS协议。 客户端和服务器有以下证书: 客户 公钥: clientcert_intermediatecert_chain.pem CA证书: rootcert.pem 服务器 公钥: servercert_intermediatecert_chain.pem CA证书: rootcert.pem 客户端证书( clientcert.pem )和服务器证书( clientcert.pem )都由相同的中间证书( intermediatecert.pem )签名,中间证书由根证书( rootcert.pem )签名。 这两个被设置为公钥的链都像这样放在一起(通过Shell命令): cat servercert.pem intermediatecert.pem > servercert_intermediatecert_chain.pem cat clientcert.pem intermediatecert.pem > clientcert_intermediatecert_chain.pem 现在,客户端尝试连接到服务器。 双方发送他们的公钥,并尝试使用rootcert.pemvalidation接收到的公钥 我知道“正常”的方式是,公钥只是服务器或客户端证书。 而CA证书将成为imcert-rootcert-chain,但我必须知道这是否也能起作用。 现在我的问题: 公钥是由服务器/客户端证书和中间证书组成的链是否合法? 如果是这样,这是否适用于双方(服务器和客户端)? 如果服务器(如FreeRADIUS)或客户端能够使用根证书validation这些链接,如果他们从柜台部分接收到这些链接? 根据我的经验,FreeRADIUS不validation这样的证书链权利。 如果我没有弄错FreeRADIUS使用OpenSSL库,并在上面的情况下执行以下命令: openssl verify -CAfile rootcert.pem clientcert_intermediatecert_chain.pem 我很确定这是行不通的。 OpenSSL无法使用根证书来validation这样的链。 尝试将信任链放在一起时失败了。 它是否正确? 顺便说一下,FreeRADIUS返回的错误与verify命令相同: error 20 […]
我已经安装了apache2和OpenSSL 我这样安装OpenSSL: sudo a2enmod ssl sudo mkdir /etc/apache2/ssl sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt sudo chmod 600 /etc/apache2/ssl/* sudo nano /etc/apache2/sites-enabled/***.ru.conf configuration完文件后 文件:/etc/apache2/sites-enabled/***.ru.conf <VirtualHost *:80> ServerAdmin office@***.eu ServerName ***.ru ServerAlias www.***.ru DocumentRoot /var/www/***.ru/public_html ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined </VirtualHost> <VirtualHost *:443> ServerAdmin office@***.eu ServerName ***.ru:443 ServerAlias www.***.ru DocumentRoot […]
这里有两个基本问题: 如果我想通过反向代理(P)从3个不同的服务器(A,B,C)提供SSL内容,SSL魔术会发生在哪里? 我猜测,每个服务器将负责处理SSL的东西,X只是路由的位,但我不知道。 据推测,在这种情况下,我会使用在每台机器A,B,C上为X签名的相同证书。或者X本身是否执行所有的SSL? 其次,什么是最好的Web服务器用于Windows Server 2008上的反向代理? IIS,Apache等。如果你有一个很好的例子来设置你的build议,额外的功劳。 谢谢你的帮助!