我们要replace自己的服务器中托pipe的子域的过期证书,例如: department.area.city.gov 我们只能控制该服务器和子域。 由于安全原因(最近更改),没有*@city.gov电子邮件帐户(通常的validation方式,如webmaster @ city.gov),我们无法说服他们添加文件或修改DNS设置为了validation(COMODO的替代品)。 这个问题怎么解决? 任何人都有这种情况下的经验?
我试图在CentOS主机上用Puppet插入一段文本到我的CA证书文件中。 之前我问过这个问题,看来CentOS在证书pipe理function方面非常缺乏 。 我需要做的是将相当大的文本代表我的CA证书(通过openssl的info命令通过无论何种原因传递)到我的/etc/ssl/certs/ca-bundle.crt文件中,并确保它始终存在即使主机稍后从回购站更新其CA文件。 我不想用Puppetpipe理整个ca-bundle文件。 这已经被服务器所指向的yum库所处理。 难度:Puppet没有正式的方法来pipe理文本块,只有行,使用file_line资源。 不过,我试图变得聪明,认为你可以使用一个换行符的“文本行”并对其进行pipe理。 那么,有点。 它的工作原理是,文本在文件中结束,但是问题在于,在每个puppet运行之后,它会一直重新添加,就像代码不能说明它已经存在一样。 有关详细信息,大块的文本看起来很像这样(截断显然的原因:3) $cacert = "Certificate:\n Data:\n Version: 3 (0x2)\n Serial Number:\n 10:d8:83:91:-redacted-" 我的Puppet模块中的行如下所示: class em_cacerts::centos inherits em_cacerts{ file_line { 'ca-certificate': path => '/etc/ssl/certs/ca-bundle.crt', line => $cacert, #match => "(see below)", ensure => present, } 我已经尝试了所有types的match线(包括使用inline_template将匹配正则expression式设置为$cacertvariables的完整内容,在IRB中完美地工作,但在Puppet中却不行),试图使认识到文本块已经存在,但它不断重新添加,每次只是堆叠在自己的顶部.. 我可能在这里咆哮错误的树,但无论如何,这是问题的一部分。 有没有更好的方法来实现这个目标? 如果没有,我怎样才能让Puppet实现文本块已经存在? 谢谢!
我有* .example.com的通配符SSL证书。 我正在使用nginx,并将http的所有stream量redirect到https,还重写了不带尾随www的URL(如果有的话)。 所以呢, http://subdomain.example.com —> https://subdomain.example.com http://www.subdomain.example.com —> https://subdomain.example.com https://www.subdomain.example.com —> https://subdomain.example.com https://subdomain.example.com —> https://subdomain.example.com 但是,由于我的证书是* .example.com,案件3在chrome('这可能不是您正在查找的网站!')中获取SSL错误,但是如果您点击它,则会被redirect,一切都很好。 我明白了为什么,因为最初的连接是用于https的www(2级子域),它与通配符证书上的内容不匹配。 我认为解决scheme是获得*.*.example.com的附加证书来覆盖www.*.example.com 。 但似乎是行不通的。 我和来自namecheap和comodo的代理交谈过,并且都说*.*.example.com是不可能的。 我也遇到了这篇文章 有针对这个的解决方法吗? 为了能够覆盖www.*.example.com ?
如果URI以“admin-”模式启动,或者包含“admin / user / login”redirect到同一个uri的https,我该如何强制Apache 。 例如: 如果URI是: http://examplesite.com/admin-2dns24dw redirect到: https://examplesite.com/admin-2dns24dw 如果URI是: http://examplesite.com/en/admin/user/login/msg redirect到: https://examplesite.com/en/admin/user/login/msg 如果任何没有任何这种模式的https URI应该redirect到同一个URL http。 例如: 如果URI是: https://examplesite.com/fa/dashboard redirect到: http://examplesite.com/fa/dashboard **更新** 我试过了: RewriteCond %{HTTPS} !=on RewriteCond %{THE_REQUEST} admin-|admin/users/login [NC] RewriteRule ^(my) https://%{HTTP_HOST}%{REQUEST_URI} [NC,R=301,L] 但它没有奏效。 有什么问题?
Debian 6s从apt-get openssl仍然在0.9.8(2010),并不支持TLS 1.1和TLS 1.2。 有没有什么为什么我不应该更新到最新的稳定1.0.1e? 或者,您build议使用TLS 1.1 / 2支持哪个版本。
我试图在当前的Nginxconfiguration上启用SSL,这很好。 不过,我想知道是否有可能做到这一点与HTTP,所以我不需要另一个服务器部分,这将只是http部分的复制。 我认为下面的工作,但是我得到下面的时候访问http:// 400 Bad Request The plain HTTP request was sent to HTTPS port Nginxconfiguration: ssl_certificate /etc/nginx/ssl/domains.pem; ssl_certificate_key /etc/nginx/ssl/server.key; server { listen 80; listen 443; //other configuration }
我有一个Web应用程序A,用户必须通过用户名/传递方法( https://server.local/webappA )进行身份validation。 与服务器Abuild立安全连接(HTTPS)。 然后,这些家伙想要使用相同的身份validation用户打开一个不同的URL( https://server.local:8080 / webappB /?param1 = PID ),并确保身份validation不被破坏。 换句话说,他们不希望用户再次为webappBinput他的凭证。 另外,这个新的webappB不应该被非authentication用户访问。 WebappB在Tomcat中运行,可以在不同的端口号上的同一台服务器上运行。 如果webappA有一个众所周知的authentication系统,比如LDAP,但是他们没有,那么我们的工作可能会容易得多。 WebappA来自A公司,WebappB来自B公司。 有没有可能这可以工作? 我个人看不出来,所以我可能会和你们一起尝试。 我可以自由地安装任何我需要的apache mod或服务器。
在yum update之后,在/var/log/httpd/error_log启动apache时出现错误: [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) [error] SSL Library Error: -8181 Certificate has expired [error] Unable to verify certificate 'Server-Cert'. Add "NSSEnforceValidCerts off" to nss.conf so the server can start until the problem can be resolved. 现在我暂时把NSSEnforceValidCerts off中的nss.conf放到网站上运行。 我该如何解决这个错误?
我正在尝试设置一对经过SSL客户端证书authentication的rabbitmq服务器。 我已经生成了一组密钥和证书,但是当另一个服务器尝试作为客户端连接时,我在一台服务器上发生了这个错误: =ERROR REPORT==== 7-Mar-2014::16:22:29 === SSL: certify: ssl_connection.erl:1678:Fatal error: unknown ca 我可以使用与rabbitmq服务器configuration相同的CA证书,服务器证书和密钥运行openssl s_server… 当我这样做时,我可以通过openssl s_client…连接到它openssl s_client…使用与rabbitmq客户端configuration相同的CA证书,客户端证书和密钥。 这工作正常 – 我可以看到validation输出,并连接传输数据罚款。 当我连接rabbitmq客户端到正在运行的openssl s_server…进程时,后者输出这个错误: ACCEPT ERROR 139939008452264:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1256:SSL alert number 48 shutting down SSL CONNECTION CLOSED 如果我用一个空文件replace客户端的CA证书,我得到相同的错误。 这里是联邦参数: {"uri":"amqps://[HOSTNAME]/%2f?cacertfile=/srv/byteq/config/ca.crt&certfile=/srv/byteq/config/federation_client.crt&keyfile=/srv/byteq/config/federation_client.key&verify=verify_peer&fail_if_no_peer_cert=true","expires":3600000} 这一切都指向了联邦configuration的方向在某种程度上犯了CA证书的错误,但我很难从哪里看这里。 帮帮我?
我决定给我的网站IPv6,但我有问题让我的服务器通过IPv6响应请求。 我已经创build了一个AAAAlogging,并且已经很好地configurationNGINX来响应请求。 我的服务器在CentOS 6.4上运行NGINX。 以下是我的configuration的顶部部分: listen 443 ssl; listen [::]:443 ssl; server_name *.mydomain.net; access_log off; ssl on; ssl_certificate /etc/nginx/conf/ssl-unified.crt; ssl_certificate_key /etc/nginx/conf/ssl.key; 当我运行'netstat -nlp | grep nginx'我得到以下结果,就好像它实际上在监听: tcp 0 0 :::443 :::* LISTEN 14463/nginx 我已经尝试了很多testingIPv6连接的站点,比如这个和这个 ,但是他们都报告能够ping通这个地址,但是没有得到服务器响应。 所有的帮助,高度赞赏,谢谢!