我们目前遇到了在Ubuntu AWS群集上validationComodo SSL证书的问题。 浏览器正在显示网站/内容的罚款,并显示所有相关的证书信息(至less,我们已经检查),但某些networking代理和在线SSL检查器显示我们有一个不完整的链。 我们尝试了以下尝试解决此问题: 升级haproxy到最新的1.5.3 创build一个包含所有证书(站点,中间,w /和w / out根)的连接“.pem” 在我们的haproxy.cfg文件的“绑定”行中添加了一个显式的“ca-file”属性。 “.pem”文件使用opensslvalidationOK。 各种中间和根证书已安装并显示在/ etc / ssl / certs中。 但是检查仍然会以不完整的链条返回。 任何人都可以build议我们可以检查的任何其他事情,或者我们可以尝试解决这个问题的其他更改吗? 提前谢谢了… 更新 :从haproxy.cfg唯一相关的行(我相信),是这样的: bind *:443 ssl crt /etc/ssl/domainaname.com.pem 更新2 :从openssl s_client输出 CONNECTED(00000003) depth=0 OU = Domain Control Validated, OU = COMODO SSL, CN = www.domainname.com verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 […]
我有CloudFlare的通用SSL。 我想在我的Ghost博客上build立一个永久SSLredirect。 这是我的原始configuration。 它可以单独使用http://example.com和https://example.com server { listen 80 default_server; listen [::]:80 default_server ipv6only=on; server_name example.com; # Replace with your domain root /usr/share/nginx/html; index index.html index.htm; client_max_body_size 10G; location / { proxy_pass http://localhost:2368; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Forwarded-Proto $scheme; proxy_buffering off; } } 这是我尝试configuration为从HTTPredirect到HTTPS,但它导致redirect循环 server { listen 80 default_server; server_name example.com; return 301 […]
我从一个生产网站服务器生成一个请求,然后把它发给我的老板,然后把它发回给我,然后把他收到的4个.crt文件的电子邮件发回给我。 在另一台服务器上(我们的临时服务器),我使用mmc安装了3个root证书和1个中间证书。 现在我需要添加一个使用SSL证书的https绑定,但我不知道如何让它在下拉菜单中显示。 从我所知道的很less,在我看来,我需要在生产服务器上完成证书请求,并从那里导出证书作为pfx文件,然后导入到登台服务器上的IIS中。 我被告知,我不应该这样做。 什么是正确的方法来做到这一点?
我正在解决错误,build立到EPP服务器的安全连接。 我发出下面的命令,看到所有的服务器证书都已经过validation,但仍然出现错误(以粗体突出显示)。 validation服务器的证书是否还存在问题? 如果是这样,那会是什么? 编辑:我削减了“可接受的客户端证书CA名称”,因为垃圾邮件检测器不喜欢他们。 $ openssl s_client -connect otessl.verisign-grs.com:700 -key /home/ubuntu/foo.key -cert /home/ubuntu/foo.crt -CAfile /home/ubuntu/foo-cert-chain.pem -CApath /etc/ssl/certs CONNECTED(00000003) depth=3 C = US, O = "VeriSign, Inc.", OU = Class 3 Public Primary Certification Authority verify return:1 depth=2 C = US, O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = "(c) 2006 VeriSign, […]
谷歌浏览器将在以下情况下开始警告用户他们的SSL连接不安全 : 该证书使用SHA1哈希algorithm, 和 证书在2016-01-01 (或不同来源2017-01-01)或之后到期 因此,我正在尝试编写一个方法来确定证书是否受到影响。 下面是我维护的另一台服务器上的SHA1证书示例,该证书在“安全”时间范围内到期: $ curl -v –silent https://example.com/ 2>&1 | grep "expire\|SSL connection using" * SSL connection using DHE-RSA-AES256-GCM-SHA384 * expire date: 2015-07-20 00:00:00 GMT 我怎么能确定这个证书是来自stringDHE-RSA-AES256-GCM-SHA384 SHA1? 256中的string使它看起来像是使用256位algorithm,即使我知道这不是因为我自己用$ openssl req -new -newkey rsa:2048 -nodes做了证书请求。 Googlesearch我发现这个资源或支持密码,但我不知道如何才能确定该文件的密码强度。 我怎么能通过curl来确定密码的强度,以便我可以编写它?
有没有人有任何禁用Windowsregistry弱密码的经验? 服务器没有安装IIS。 下面是我的安全扫描的结果,但不是100%应该添加什么registry项,我已经通过registry禁用整个协议,但从来没有个人密码。 猜测registry项将在这里创build。 HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\ 以下是远程服务器支持的弱SSL密码列表: Low Strength Ciphers (< 56-bit key) TLSv1 EXP-EDH-RSA-DES-CBC-SHA Kx=DH(512) Au=RSA Enc=DES-CBC(40) Mac=SHA1 export EXP-DES-CBC-SHA Kx=RSA(512) Au=RSA Enc=DES-CBC(40) Mac=SHA1 export EXP-RC4-MD5 Kx=RSA(512) Au=RSA Enc=RC4(40) Mac=MD5 export The fields above are : {OpenSSL ciphername} Kx={key exchange} Au={authentication} Enc={symmetric encryption method} Mac={message authentication code} {export flag}
上传证书到iam后,当我访问https://www.mywebsite.com我得到这个错误 The identity of this website has not been verified. • Server's certificate does not match the URL. • Server's certificate is not trusted. 如果我点击证书信息,一切都是错误的 www.example.com Self-signed root certificate Expires: Friday 27 September 2024 …….. 如果我查询我上传的证书 aws iam get-server-certificate –server-certificate-name certificate_mycertificate 我明白了 "ServerCertificateMetadata": { "ServerCertificateId": "XXX", "ServerCertificateName": "certificate_mycertificate", "Expiration": "2015-11-21T23:59:59Z", "Path": "/", "Arn": "arn:aws:iam::XXX:server-certificate/certificate_mycertificate", "UploadDate": […]
我试图让我们的域名 – https://sendsonar.com – 去https://www.sendsonar.com但由于某种原因,这是失败的。 这里是curl输出: yo@ubuntu-i386:~/Sonar$ curl -kvI https://sendsonar.com * Rebuilt URL to: https://sendsonar.com/ * Hostname was NOT found in DNS cache * Trying 50.63.202.28… * Connected to sendsonar.com (50.63.202.28) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs * SSLv3, TLS handshake, Client hello (1): * Unknown SSL […]
我正在尝试在Windows 2k12服务器上设置Microsoft远程桌面Web服务。 这是完全的function,但是我想(需要)把一个反向代理(Nginx)的前面。 我只有一个外部IP(固定),我在它后面承载多个网站,不是在同一个虚拟机上。 我设法让Nginx作为HTTPSstream量和vhost的反向代理。 但是,对于远程桌面服务,启动应用程序时,SSL卸载会给我带来问题。 所以我想通过Nginx服务器传输stream量,没有SSL卸载,并让Windows服务器做所有的SSL的东西。 似乎即使没有input“ssl on” Nginx将另一个虚拟主机的证书放在RD Web的服务器部分。 我没有像我的configuration中任何地方的“ 默认 ”块。 这里有一个关于如何设置的小图: — |server 1 HTTP| |internet user| — |Nginx Rev Proxy listening on port 443| — |windows server| — |server 2 HTTP| 下面是我的configuration文件(对于RD Web): server { listen 443; server_name host.domain.com; access_log /var/log/nginx/host.domain.com.access.log; location / { proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; […]
我的公司正在使用* .example.com的通配符SSL证书在同一台服务器上托pipeexample.com和sub.example.com。 现在是更新我们的证书的时候了,我们不知道我们是如何获得证书的。 我的老板不认为我们付了200美元,他们似乎付出代价。 我的老经理(几天前离开公司)是安装它的人,他不记得他做了什么,但他认为他必须生成一些东西,而不是仅仅使用CA提供的文件。 apacheconfiguration有这些行,没有其他未注释的SSL *文件行: SSLCertificateFile /usr/local/ssl/cert/example.com.crt SSLCACertificateFile /usr/local/ssl/cert/intermediate.crt SSLCertificateKeyFile /usr/local/ssl/private/example.com-wild.key 当我检查intermediate.crt( openssl x509 -in intermediate.crt -text -noout )时,它根本没有提及我们的组织或网站,它在2010-2020年有效。 Data: Version: 3 (0x2) Serial Number: 145105 (0x236d1) Signature Algorithm: sha1WithRSAEncryption Issuer: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA Validity Not Before: Feb 19 22:45:05 2010 GMT Not After : Feb 18 22:45:05 2020 GMT […]