从今天(或最近几天)开始,我尝试连接到github.com时遇到了SSL错误(例如克隆存储库)。 这是运行Red Hat 4.1.2-33的传统服务器。 下面是我尝试连接时的样子: $ curl https://www.github.com –verbose * About to connect() to www.github.com port 443 (#0) * Trying 192.30.252.130… connected * Connected to www.github.com (192.30.252.130) port 443 (#0) * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none * NSS error -12286 * Closing connection #0 * SSL connect error curl: (35) SSL connect error 我可以从这个页面看到NSS错误代码是: “无法与对等安全地进行通信:没有通用的encryptionalgorithm”。 本地和远程系统不共享密码套件。 […]
我有一个Godaddy域指向aws负载均衡器SSL证书。 现在我想添加另一个域B指向相同的负载平衡器。 我可以使用相同的SSL证书还是与域名关联? 我必须购买UCC的ssl证书吗? 这是什么呢? 我应该如何处理这个? 谢谢
我想创build一个不同的(唯一的),自签名的证书来分发给一些客户端。 这样一来,我认为如果一个人注定了,我只需要删除他的证书而不打扰其他人 我遵循这个不错的文章: http : //www.eclectica.ca/howto/ssl-cert-howto.php 现在,我似乎每次想要为不同的客户端生成一个唯一的证书时,我都有义务创build一个根证书。 我真的有义务每次创build一个独特的根CA +签署authentication证书吗? 有没有更简单的方法? (比如每次都要避免重新创build根ca)?
我有一个证书到期,今天需要得到一个从GoDaddy重新发行。 在过去,我使用ELB SSL接口生成的pem编码没有任何问题。 但是,当我尝试在证书链文本区域中包含SHA-2包(证书链中的pem编码证书列表)时,出现“无效公钥证书”错误。 如果我不包含证书链,我可以configuration证书(但是它不在iOS和Android上validation)。 一年前当我这样做的时候,我没有任何问题。 另外,我应该注意到,这个捆绑文件在两个不在负载均衡器后面的Apache服务器上工作得很好。
我创build了自己的CA,并在我的设备上导入了它的根证书。 我使用签名的SSL证书来提供自己的远程访问我的NAS。 当我通过正确的URL(例如mynas.example.com)访问我的NAS时,我得到一个铬合金的绿色锁,所以我为我工作。 问题出在我的局域网上:目前,当我通过局域网的IP地址访问我的NAS时,我收到一个安全警告,表示这个名字并不是证书上的名字。 我试图把NAS IP放到X509v3的“主题替代名称”部分,但无济于事。 内容是这样的: DNS:mynas.example.com, DNS:192.168.1.42 它使用dynDNS名称完美工作,但与局域网IP不兼容。 我最好的猜测是,这部分没有真正评估,因为我键入的IP和DNS是不需要的。 我错过了什么? 我怎样才能启用我的局域网内的“绿色locking”-TLS? openssl.cnf文件中的部分如下所示: [alt_names] DNS.1 = mynas.example.com DNS.2 = 192.168.1.42 IP.1 = 192.168.1.42 而所有的工作完全通过广域网和我的局域网内:-) IP.1是必要的Chrome,但Opera(我认为IE浏览器以及)需要IP作为DNS条目。
我有一个需要支持自定义SSL域的SaaS项目。 我看了看SNI ,看起来很完美。 如果我决定(或需要)支持Windows XP。 我还可以使用其他什么技术? 我知道我可以创build虚拟IP地址,但不认为这将与我们目前的托pipe服务提供商(他们将收取我们的每个IP,他们必须为我们的防火墙和负载平衡器工作)。 还有其他的常用技巧吗? 我已经研究了反向代理(或者像CloudFlare),但没有看到任何明确的。 我使用nginx代理Apache2的PHP执行。
这是一个令人讨厌的问题,我希望有人能帮助我。 首先,我运行自己的CA,所以我正在做自签名的证书; 我可以用openssl来做任何我需要的东西。 我有一个域,example.com和一个运行nginx的networking服务器,我试图设置一个这样的情况,我redirect: http://example.com -> http://www.example.com 和 httpS://example.com -> httpS://www.example.com 我的问题不在于让nginx做我需要的东西; 它可以重写或redirect。 目前,我有一个简单的(如果是邪恶的,我知道! 我的问题是SSL证书。 如果我为“example.com”生成一个正常的单域证书,则会在“www.example.com”中收到证书错误。 好的,我会为“* .example.com”制作一个通配符! 除了现在我得到一个裸露的域名证书错误。 这对我来说是有道理的,但是如果可能的话,我仍然想把它们合并成一个证书,一个nginx服务器块。 所以我尝试制作一个名为“DNS:example.com,DNS:*。example.com”的subjectAltName的CSR。 但是,这似乎也没有工作:裸露的域名作品和redirect,但后来一刷新,我得到一个奇怪的证书错误,说“证书只对example.com有效”,而在检查CN是“* .example.com”。 任何人都可以提供一些build议,如何解决这个问题,并尽可能简单地创build这套redirect? 是的,我知道我可以完全忽略https://example.com ,只能在www.example.com上听SSL,但我的完美主义者却不允许; 我希望本网站的所有内容对SSL都是完全不可知的,并且使用完全相同的方式,即使是最初的redirect也是如此。 编辑:nginxconfiguration: server { listen 80; listen [::]:80; listen 443 ssl; listen [::]:443 ssl; root /var/www/example.com; index index.html index.htm; server_name www.example.com example.com; ssl_certificate /etc/ssl/sites/example.com.crt; ssl_certificate_key /etc/ssl/sites/example.com.key; ssl_session_timeout 5m; ssl_protocols […]
我们正在代理后端,我们不控制后端在https上连接时请求客户端证书。 当我们通过代理请求这些页面时,连接超时而后端没有响应,但是如果我们绕过代理,页面就可以正常工作。 这是处理客户端证书的nginx问题,还是应该在其他地方看? Nginxconfiguration: server { listen 443 ssl; ssl on; ssl_certificate /etc/nginx/ssl/webserver.pem; ssl_certificate_key /etc/nginx/ssl/webserver.key; location / { proxy_pass https://www.backendsite.com; proxy_set_header X-Forwarded-For $http_x_forwarded_for; } }
HTTP(S)是无状态的,对吗? 但是,如果我通过HTTPS访问某个站点,我认为我不需要每个页面请求的SSL握手。 它是SSL会话caching和Cookie的组合吗?
我有两个站点需要不同的域,但都必须使用运行Apache httpd的同一台服务器,并使用SSL。 这是一个例子: www.example.com传统应用程序接收高stream量 beta.example.com新网站具有向后不兼容的url结构更改 每个域都有不同的文档根path。 SNI不是一种select,但我有* .example.com的通配符SSL证书。 分配第二个IP不是一个选项。 如何将Apacheconfiguration为使用端口443上的任何通信的通配符SSL证书,然后在SSL握手之后继续使用基于名称的虚拟主机? 在nginx中,它可能是一个基于域名的if-block,并且具有SSL之外的configuration。 有没有相当于Apache 2.2的工作? 编辑: SNI不是由我的客户请求的选项,由于减less浏览器支持相比,替代。 我正在寻找一些方法来使用旧标准来提供证书,然后像在端口80上应用一样,在ssl端口上应用经典的VHost定义。