因此,我们公司希望将我们的云服务器分离到不同的环境中,例如www.example.com,test.example.com和dev.example.com。 [我们甚至可能想把我们的子域打破进一步的子域。]我的老板想知道公司需要多less证书(对于SSL)。 我已经深入到子域,看起来像一个DNS RR(域名服务器资源logging)的问题。 我已经看到关于Alogging和CNAMElogging的logging以及它们如何相互影响。 我在想,混合使用A和CNAMElogging就足以将我们的命名空间分离出来。 尽pipe如此,我们是否需要每个Alogging的SSL证书? 我的老板热衷于降低成本(就像所有的老板一样)。
我在Elastic Beanstalk上有一个工作的应用程序,并希望只通过HTTPS访问它。 因为我希望应用程序自动扩展,所以我需要在负载均衡器级别configurationHTTPS,而不是单个EC2实例级别。 我正在关注如何使用Elastic BeanstalkconfigurationHTTPS。 但是,当我完成教程时,我的域永远不会加载(在http或https上),并在浏览器中获得会话超时。 以下是我到目前为止: Elastic Beanstalk上的工作应用程序。 细节:在预configuration的Glassfish Docker容器上运行的Java EE应用程序。 来自路由53的有效域设置为我的Elastic Beanstalk应用程序。 GoDaddy签署的证书,根据我提供的教程链接创build并上传到IAM。 现在,这是我相信问题出现的部分。 本教程的第4步告诉我,我必须更新我的安全组(对于哪个安全组非常模糊)。 所以,我这样更新负载平衡器安全组(删除http请求,只支持https): 然后,在Elastic Beanstalk环境configuration设置中,我将其设置为: (如果我closures侦听器端口,那么域不会在http或https上加载)。 有了这些设置,如果我去我的域(例如:myapp.com)它将继续加载,直到浏览器显示超时exception。 如果我指定协议(例如: https : //myapp.com ),它将继续加载,直到浏览器显示超时exception。 如果我使用指定的HTTPS协议(例如: https : //myapp.com/login.xhtml )访问特定的链接,则会加载(注意:在尝试应用SSL之前,应用程序工作正常;欢迎页面是使用服务器)。 我究竟做错了什么? 总结了问题:如何configuration我的Elastic Beanstalk应用程序只通过HTTPS工作? 期望的结果:用户在他们的地址栏中键入应用程序域名(例如:myapp.com),并将它们带到我的应用程序(使用HTTPS保护)(例如: https ://myapp.com)。
我刚刚升级了一台服务器到Debian Jessie,其中包括Apache 2.4.10(2.2版本)和PHP 5.6。 现在,在某些情况下,SSL站点不会在IE11和iPad Safari(不确定桌面Safari)上提交表单。 Firefox和Chrome都可以。 当它失败时,在IE中产生IE错误页面“这个页面不能显示”。 只是强调:我可以到达网站,看到表单,这是表单提交,然后失败。 这在某种程度上与KeepAlive和SSL有关。 如果我在SSL VirtualHost中closuresKeepAlive,问题就会消失。 (这是使用SNI,虽然其中一个显示错误的网站是第一个SSL)。 我正在使用mpm-itk(并在升级之前)。 在IE11中(在Windows 7上),它发生在* SSL(HTTPS)* Apache KeepAlive On,KeepAliveTimeout 5(默认)*表格上传文件(所以enctype = multipart / form-data)*,只有当文件是实际提供(没有文件或与其他字段没关系,即使是一个1字节的文件导致它失败,而不是依赖于文件大小)。 *只有在显示表格的60秒内开始上传(也就是说,如果您在按提交之前保留60秒就可以) 有什么失败的线索没有线索。 服务器日志中没有任何内容显示它再次联系服务器。 错误是直接的。 除了在networking页面的结果栏中显示“(Aborted)”和“导航发生:File:dnserror.htm”,我认为它只是显示的页面之外,IEdebugging器中没有任何内容,名称没有dns错误,据我所知。 当我按提交button时,提琴手没有显示networkingstream量。 在Windows事件查看器中没有任何相关的东西。 这是最奇怪的事情 – 它似乎没有尝试。 对于Apache 2.4,我已经按照以下build议设置了SSL: https : //mozilla.github.io/server-side-tls/ssl-config-generator/?server= apache-2.4.10 &openssl=1.0.1k&hsts=no&profile =中等 。 CiperSuite与我的2.2版本没有任何区别,但OCSP装订已经开始。 2.4的主要变化是TLS1.2(但菲德勒降级,我相信,所以这是不可能的)。 HSTS已打开,但以前是。 SSLLabs为网站提供A +评分,并不表示任何错误。 我已经尝试将KeepAliveTimeout更改为60; 并且还回到旧的BrowserMatch中“ MSIE ”nokeepalive ssl -ieanan-shutdown […]
在Ubuntu 15.04上启动stunnel4服务时出现以下错误: root@scw-d91ec7:~# service stunnel4 start Job for stunnel4.service failed. See "systemctl status stunnel4.service" and "journalctl -xe" for details. root@scw-d91ec7:~# systemctl status stunnel4.service ● stunnel4.service – LSB: Start or stop stunnel 4.x (SSL tunnel for network daemons) Loaded: loaded (/etc/init.d/stunnel4) Active: failed (Result: exit-code) since Mon 2015-08-24 17:03:25 UTC; 11s ago Docs: man:systemd-sysv-generator(8) Process: 2869 […]
两周前,我使用Dovecot和Postfixbuild立了一个Mailserver。 这是一个每天大约有5000封邮件的组织的服务器。 一切工作正常,但今天我启用/etc/dovecot/conf.d/10-logging.conf verbose_ssl ,我几乎每个IMAPlogin得到这个错误消息: Aug 30 00:13:32 mail dovecot: imap-login: Debug: SSL: elliptic curve secp384r1 will be used for ECDH and ECDHE key exchanges Aug 30 00:13:32 mail dovecot: imap-login: Debug: SSL: elliptic curve secp384r1 will be used for ECDH and ECDHE key exchanges Aug 30 00:13:32 mail dovecot: auth: Debug: auth client connected […]
我有一个servlets,只侦听https:// localhost:41952,并检查源主机名(它必须是本地主机)。 我想连接上“listen:1988”,并用stunnel将请求redirect到“localhost:41952” https://192.168.1.10:1988 -> redirect https://localhost:41952 当前configuration: [myservice] cert = stunnel.pem accept = 0.0.0.0:1988 connect = localhost:41952 openssl_client日志: http://pastebin.com/7bg3sf7J 请注意,这个证书不同于localhost:41952。 curltesting: $ curl https://192.168.1.17:1988/DYMO/DLS/Printing/Check -vk * Trying 192.168.1.17… * Connected to 192.168.1.17 (192.168.1.17) port 1988 (#0) * TLS 1.2 connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * Server certificate: localhost > GET /DYMO/DLS/Printing/Check HTTP/1.1 > Host: 192.168.1.17:1988 > […]
我试图为less数用户设置S / MIME,这需要证书。 我没有使用智能卡,也没有使用自动注册这些证书。 服务器正在运行2012R2。 我创build了一个工作正常的模板,当我手动申请证书mmc All Tasks -> Request Certificate 但是对于一些用户来说,IT人员将不得不为他们创build证书并通过USB驱动器或其他东西传送。 所以我想也可以使用All Tasks -> Advanced Operations -> Enroll on Behalf of 。 我有适当的证书请求代理证书,所以我应该能够做到这一点。 但是我的S / MIME证书模板没有显示在可用模板列表中。 相反,它表示The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request" The certificate template […]
我在各地都看到了SSL经销商(比如他们的几个选项的namecheap)。 他们如何倒卖? 他们是什么倒卖? 他们有没有安全问题?
我的服务器上有许多SSL主机通过Nginx SNI提供服务。 但是,当我input该服务器的IP地址时,将看到第一个configuration了虚拟主机的证书警告。 是否有可能完全停用默认的SSL主机? 任何其他的想法,你们这样做呢?
我希望我的组织中的客户端机器能够从组织内的中央位置更新根证书。 这曾经与WSUS一起工作,但是我认为,微软在2014年之前就放弃了这种做法。 这个问题的关键是客户不能直接访问互联网,而是通过带有authentication门户的代理服务器(如在酒店中)。 此代理属于第三方/上级组织,8小时后自动注销客户端。 因此,当客户端尝试从Microsoft站点更新证书时,客户端无法访问Internet,则会logging错误事件。 这本身并不是什么大不了的事情。 但是,由于我们的客户端将错误事件转发给事件收集器,因此此服务器将充斥着这些错误。 排除这些错误并不是一个(期望的)select,因为我们可能会解雇那些真的没有更新证书的客户,即使访问互联网。 有任何想法吗?