我目前有一个运行Ubuntu Linux和Apache 2.0的网站,它使用GoDaddy发布的SSL证书。 由于我一直对GoDaddy不以为然,我决定从另一个供应商处获得一个SSL证书,但是我遇到了一些问题,试图改变我的Apacheconfiguration来使用新的证书。 我的原始Apacheconfiguration的SSL设置如下所示: SSLEngine on SSLProtocol all SSLCertificateFile /etc/apache2/ssl/store.fatcatsoftware.com.crt SSLCertificateKeyFile /etc/apache2/ssl/fatcatstore.key SSLCertificateChainFile /etc/apache2/ssl/gd_intermediate_bundle.crt SSLProxyEngine on 我安装了新的SSL证书,并将Apache更改为以下内容: SSLEngine on SSLProtocol all SSLCertificateFile /etc/apache2/ssl_geotrust/store.fatcatsoftware.com.crt SSLCertificateKeyFile /etc/apache2/ssl_geotrust/store.fatcatsoftware.com.key SSLProxyEngine on 我把所有的path都加倍和三倍,而且都是正确的。 但是,当我重新启动Apache并尝试加载网站时,从Web浏览器收到错误消息,说明证书是由未知权威机构签署的。 然而,真正奇怪的是,它也说,证书是由GoDaddy发布的,所以就像Apache甚至没有使用新的证书,即使configuration文件指向它。 我甚至使用openssl x509 -noout -text -in server.crt检查了cert文件,并validation该path上的证书确实是新安装的证书。 作为一个进一步的testing,我尝试了使用相同的证书/密钥文件,并将其安装在运行OS X的机器上。我像在实际服务器上那样设置了Apacheconfiguration文件,并编辑了/ etc / hosts,在我的域名将redirect到本地,以避免在加载网站时有一个域名不匹配。 当我尝试设置时,一切正常! 所以看起来证书本身并不存在错误。 这两个设置之间唯一的主要区别是a)OS X框中有Apache 2.2而不是2.0,b)在网站上,Apache充当在后台运行Rails应用程序的杂种群集的代理,没有任何设置在我的OS X机器上。 我已经通过了所有可以find的mongrel / Rails设置,但没有发现任何似乎与SSL有关的东西。 据我所知,只有Apache负责处理SSL部分的事情。 在这一点上,我完全难住。 我能想到的唯一的事情就是在某个层次上有某种东西被caching了,但是如果我能find它,就会发生。 我甚至尝试closuresApache中的SSLSessionCache,但是没有任何区别。 […]
我试图设置一个SSL SVN服务器,当我尝试远程结帐,我得到错误Server certificate was missing commonName attribute in subject name 我做了一些Googlesearch,从我可以告诉我需要添加我正在访问openss.cnf与下面的commonName属性的URL的IP地址。 我这样做,但我仍然得到错误。 commonName = xx.xxx.xx.xx commonName_max = 64
如果我为一个域购买通配符SSL证书,如:domain.com,我有40个站点,如apples.domain.com和pears.domain.com 所有的站点都在同一个 IIS 7服务器上 每个站点是否需要一个唯一的IP地址? 如果是的话,反正有吗?
什么阻止了MITM的人 – 攻击证书颁发机构的请求来validation证书? 浏览器是否预装了可信authentication中心的公钥(从而提供authentication)? 每当我想到MITM攻击时,我认为任何防御都需要build立一个“安全”的连接来build立authentication,而任何“安全”连接的初始build立似乎总是受到MITM攻击本身的影响。 例如,如果上述可信authentication机构的公钥确实分配给浏览器,则浏览器的分发将受到MITM攻击。 据我所知,即使你把一个公钥/证书/任何东西交给某人,你最好从别处知道,否则他们可能是一个MITM。 我理解正确吗? 谢谢!
比方说,我想我的箱子上打开端口12345,但我只想通过一个安全套接字(SSL)的连接。 有没有可以添加到以下命令的标志: /sbin/iptables -A INPUT -p tcp –dport 12345 -j ACCEPT 谢谢!
SSL通信期间,服务器将其证书发送到客户端进行身份validation。 可选地,客户端也可以发送其证书以进行客户端authentication。 我的问题是,服务器(或客户端)是否将整个链发送到客户端(即签名证书)或只有自己的证书? 我注意到,通常只有自己的证书被发送,但是我想知道它是可configuration的,还是把整个链发送给另一方是没有意义的。 谢谢
我的问题是什么会阻止一个人拿到证书,并用它来使他们的假冒网站看起来合法。 假设你login亚马逊,你的浏览器抓取证书。 然后,这个人build立一个欺骗网站,并使用相同的证书,使浏览器认为这是点击链接的人是合法的。 或者,如果证书对于特定的计算机是唯一的,那么拦截该证书和使用该证书作为网站的中间人是什么? 提前致谢。
我正在使用Virtualmin(GPL)来pipe理我的服务器。 我有多个站点托pipe在绑定到单个IP地址。 我想为托pipe在其上的多个服务器启用SSL。 我可以通过单一IP绑定所有此类服务器的SSL吗?还是需要为每台服务器购买IP? 任何指导的链接,教程将是非常有帮助的。 我已经通过http://www.virtualmin.com/documentation/tutorial/how-to-add-multidomain-ssl-certificate ,这有助于我为多个服务器绑定SSL,但与个人IP。 感谢您阅读的问题,在此等待帮助 纳文
尝试curl安装了rapidssl证书的域时,出现着名的“SSL例程:SSL3_GET_SERVER_CERTIFICATE:证书validation失败”问题。 我正在运行的Ubuntu 10.10,我已经安装了一个巨大的/ etc / ssl / certs目录openssl。 我试过使用–cacert和–capath参数。 似乎没有什么工作与这个特定的域名,即使当我用我的网页浏览器访问该网站authentication证书。 但是,当我蜷缩https://google.com时 ,它没有问题。 我究竟做错了什么?
是否可以使用由comodo提供的即时SSL提供的免费SSL证书 。 该网站说: 我们对您的承诺: 您的SSL证书绝对没有成本或承诺。 您将获得免费的SSL完整的httpsfunction和90天的免费金色挂锁 我想用它来进行testing。 可以使用一个吗? 有什么收获吗? 我以后可以转移到其他证书提供者吗? StartCom提供的证书有多好? 正弦他们是自由的,有没有捕捉?