我着手将Active Directory与Dell服务器的iDRAC LOM集成在一起。 其中一个先决条件是域控制器为ldap通信启用SSL。 iDRAC中的安装过程说Upload Active Directory CA Certificate 。 所以我login到我们的一个DC,去个人证书商店,而且是空的。 直到今天,我一直认为我们的域名服务使用SSL(我不是那个设置域名的人)。 我从来没有在自己的设置之前,我不太熟悉,所以我知道检查我们是否使用SSL的唯一方法是在DC上使用wireshark并捕获数据包。 在港口636捕获什么也没有,而在389捕获给我的各种数据。 所以在这一点上,我很确定我们没有使用SSL。 所以我的问题是,来回传输的目录信息被encryption有多重要? 我假设,如果没有encryption的话,无论你的域名是什么样子(无论公司是大还是小,安全规则等级不同),都会立即面临风险,那么微软就会强迫SSL。 很显然,我希望将AD与Dell服务器上的LOM集成,但在实施之前我还有一些工作要做。 我想要回答的几个问题是: 我应该知道我们面临的风险是不使用SSL 如果我按照互联网上的百万个指南之一启用SSL,会中断当前的服务吗? 或者我将能够做到这一点,客户端机器将如何被通知自动使用SSL? 我有两个DCs作为domain.local运行一个域。 既然是“内部”顶级域名(TLD),我猜我需要使用内部authentication机构而不是第三方进行设置? 根据#1的答案,你会说离开SSL是安全的吗? 你会感觉到转换为ssl所带来的好处与努力的比例是什么?
我试图强制sslredirect,但我的域有一个像这样的domain.com:8888端口 以下似乎没有工作,现在我甚至无法访问该网站,如果我添加rewrite server { listen 8888; server_name sy-system.net; rewrite ^ https://$server_name:8888$request_uri? permanent; ssl on; ssl_certificate /path/to/certs/domain.pem; ssl_certificate_key /path/to/certs/domain.key; }
我可以为使用同一个IP地址的同一个VPS托pipe的两个域使用单个证书吗?
我有兴趣在下面引用的文章中构build这个架构。 我目前有一个价格适中的第4层负载平衡器,我的应用程序服务器是SSL端点。 我想在我的负载平衡器和我的应用程序服务器之间放置一个SSL服务器场。 然后,我将在SSL场和我的应用程序服务器之间放置另一个廉价的负载平衡器,以执行第7层路由。 我的Web应用程序有相当高的消费者stream量,6台服务器可以处理大约50%的容量。 另外,我的基础设施stream量比我的消费者stream量还要高出几个数量级。 这是来自世界各地的数据,必须实时与我的networking应用程序集成。 总共我有18个应用程序服务器来处理所有的stream量,再加上6个数据库服务器。 我将在接下来的2周内再添加6个应用程序服务器,在此之后的2周内再增加6个应用程序服务器。 保守地说,我估计到今年年底,我需要扩展到120台服务器。 我现在的动机是将消费者stream量与基础设施stream量分开。 消费者stream量的优先级高于基础设施stream量,我不能让基础设施方面的踩踏力量取消我的面向消费者的服务器。 有一个永远在线的网站是重中之重。 但是,如果某个客户端应用程序服务器出现故障,则需要将该通信路由到指定用于基础设施通信的服务器。 复杂的是,所有的stream量都使用相同的主机名来解决,并且几乎是100%https。 在我的情况下区分基础设施和消费者stream量的唯一方法是通过URL(我inheritance的差的体系结构),所以我需要一个第7层负载均衡器能够路由。 但是,为了工作,我需要一个花哨的基于硬件的SSL终止符或SSL服务器场,如上所述。 因为我的用户基础正在快速扩展,所以我担心如果我走下硬件path,它将变得非常快,特别是因为我需要4个高可用性(2个设施中的2个相同的设置)。 同时,上面的图表看起来非常灵活,可以横向扩展。 有没有人build立过这个? 是否有预build的configuration? 我应该做什么考虑和我应该使用什么软件(我听说有人用mod-ssl,nginx和stunnel使用apache)? 另外,什么时候购买昂贵的负载均衡器vs构buildSSL服务器场是否合理? http://1wt.eu/articles/2006_lb/index_05.html
假设我有一个网站,我希望用户能够login到客户端证书。 据我了解,客户正在向公众展示一个密钥对的一半,并certificate他们有相应的私人一半。 那是对的吗? 如果是这样,那么是不检查客户端是否提供足以知道它是已知用户的已知(先前授权的)公钥,而没有证书已经由可信CA签名?
我想保护许多服务器,如test.blah.foo.com , dev.blah.foo.com等 如果我购买了Comodo PositiveSSL通配符证书,我可以保护*.blah.foo.com ? (当然, blah和foo和com是我自己的第三,第二和顶级域名的占位符) 我不确定这个问题是否特定于Comodo的PositiveSSL证书或通用证书。 这是http://community.namecheap.com/forums/viewtopic.php?f=18&t=4760的交叉点
我正在运行以下命令: svn info –non-interactive –trust-server-cert –no-auth-cache –xml "https://ommited/svn/YAMS" 不幸的是,我收到以下错误: ?xml version="1.0" encoding="UTF-8"?> <info> svn: E175002: Unable to connect to a repository at URL 'https://ommited/svn/YAMS' svn: E175002: OPTIONS of 'https://ommited/svn/YAMS': Server certificat e verification failed: certificate issued for a different hostname, issuer is no t trusted (https://ommited) 我想如果我把–non-interactive –trust-server-cert ,它会忽略自签名证书问题。 我在这里做错了什么?
我有一个SSL证书有效的www. 和. 子域名上的子域名。 这很好,工作很好。 http上的所有stream量都redirect到https ,所有裸露的域名stream量都redirect到www. 版。 总之,一切都以https://www. 到现在为止还挺好。 不过,我也有。 com 。 目前有一个Apache级redirect(目前不能更改DNS) 目前去https://www.***.com地址显示证书是无效的,这当然是正确的 – 这只是为了www和. 在.co.uk 。 题 如何在没有有效的.com证书SSL证书的情况下将https://www.***.comredirect到https://www.***.co.uk而不更改DNS? 技术细节 所有域指向相同的服务器。 虚拟主机是为ssl版本和非ssl版本build立的,既有www的别名也没有.co.uk和.com的www。 重写规则如下: RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 将所有内容推送到https。
从一个星期前开始,我开始注意到我的web应用程序的糟糕performance。 我的应用程序在Amazon EC2 m1.large实例上提供。 只有4-5kb的静态文件通常需要超过10秒才能收到。 这会间歇性地发生,但是对于每一个页面加载,我可以预期至less有一两个特定资源的等待时间。 从检查Firebug很显然,抢劫处于请求的“等待”部分。 (DNS /连接/发送和接收总是很好) 不幸的是,我还没有发布图片所需的信誉,或者我会。 更糟糕的是,当一个页面请求大量的静态资源,比如Images时,几乎每一个请求都会出现这个问题。 玩过我的NGINX和PHP-FPMconfiguration后,在上个星期左右,我才发现只有在通过HTTPS访问服务器时,问题才出现。 使用ab命令testing性能时可以看到这一点。 HTTPS: ab -c 100 -n 3000 https://www.mydomain.com/ Server Port: 443 SSL/TLS Protocol: TLSv1,RC4-SHA,2048,128 Document Path: / Document Length: 13367 bytes Concurrency Level: 100 Time taken for tests: 12.122 seconds Complete requests: 3000 Failed requests: 0 Write errors: 0 Total transferred: 41205000 bytes […]
我最近安装了monit(在debian上),一切正常。 现在我想启用ssl支持。 我做了我在文档中find的内容: set httpd port 2812 ssl enable pemfile /etc/ssl/certs/ssl-cert-snakeoil.pem 现在,我不但不能通过https://myserver.com:2812通过web访问服务器,而且monit守护进程和monit命令之间的通信也失败: $# monit status monit: Openssl read timeout error! monit: error connecting to the monit daemon