我的目标是编写Jasmine(一个JavaScript BDDtesting框架)testing,这个testing是由一个单独的团队构build的后端API。 我有一个运行在端口9000上的Jasmine服务器。该代码发出一个以/ web /开头的相对path的AJAX请求。 我希望这些请求被引导到后端。 到目前为止,我已经得到了一个逆向代理,像这样: upstream backend { server api-dev.example.com; } server { … location / { proxy_pass http://localhost:9000; … } location /web/ { proxy_pass https://backend/web/; … } } stream量到“/”工作正常,但AJAX请求(例如,到 http://localhost:50000/web/internal?action=network-statistics )502。 我相信这是正确的端点,但有一个SSL错误。 Nginx的错误日志似乎证实了我的怀疑: 2013/12/13 16:55:28 [error] 1885#0: *257 SSL_do_handshake() failed (SSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol) while SSL handshaking to upstream, client: 127.0.0.1, server: […]
背景 我已经看到Comodo有一个椭圆曲线根(“COMODO ECCauthentication机构”),但是在他们的网站上我没有看到EC证书的提及。 Certicom是否拥有阻止其他发行人提供EC证书的知识产权? 广泛使用的浏览器是否无法支持ECC? ECC不适合传统的PKI使用,如Web服务器authentication? 还是只是没有需求呢? 由于NSA Suite B的build议,我有兴趣切换到椭圆曲线。 但对于许多应用程序来说这似乎并不实际。 赏金标准 要索取奖金,答案必须提供一个链接到知名CA网站上的一个或多个页面,描述他们提供的ECC证书选项,价格以及如何购买。 在这种情况下,“众所周知”意味着在Firefox 3.5和IE 8中必须默认包含正确的根证书。如果提供了多个合格的答案(人们可以希望!),那么来自无处不在的CA将赢得赏金。 如果这还没有消除任何联系(仍然希望!),我将不得不酌情select一个答案。 记住,有人总是声称至less有一半的赏金,所以即使你没有全部的答案,请给它一个镜头。
我只是尝试通过https进行SVN服务器的SSLauthentication。 我希望客户证书允许授权人员检查他们的存储库。 <VirtualHost 37.187.96.147:443> ServerName toto.com:443 DocumentRoot /var/www/html/ SSLEngine on SSLProtocol all SSLCipherSuite HIGH:MEDIUM SSLStrictSNIVHostCheck on SSLCertificateFile /etc/ssl/certificate-authority/certs/svn-webserver.crt SSLCertificateKeyFile /etc/ssl/certificate-authority/private/svn-webserver.key ErrorLog /var/log/httpd/svn-error_log CustomLog logs/svn-access "%t %u %{SVN-ACTION}e" env=SVN-ACTION SSLCACertificateFile /etc/ssl/certificate-authority/certs/ca.crt SSLVerifyDepth 5 SSLVerifyClient require SSLVerifyDepth 1 LogLevel debug <Location /svn/> DAV svn SSLOptions +FakeBasicAuth +StrictRequire SSLRequireSSL AuthName "Depot SVN namek" AuthType Basic AuthBasicProvider file AuthUserFile […]
我试图让启用SSL的JMX访问ActiveMQ(运行在java 1.6.0下的5.8.0或5.9.0),但我没有任何运气。 过去我已经处理了启用SSL的JMX访问,所以我对设置密钥库,信任库等方面非常熟悉。我们的服务器都位于AWS,所以我们还必须通过防火墙来处理漏洞。 通过在activemq.xml文件中指定以下内容,我可以将未encryption的JMX工作到我们的ActiveMQ服务器: <managementContext> <managementContext connectorPort="1099" rmiServerPort="1098" connectorHost="<local IP of AWS instance>" /> </managementContext> 通过在启动ActiveMQ时还指定以下Java参数: -Dcom.sun.management.jmxremote -Dcom.sun.management.jmxremote.password.file=/path/to/jmx.passwd -Dcom.sun.management.jmxremote.access.file=/path/to/jmx.access -Djava.rmi.server.hostname=<public IP of AWS instance> 显然,managementContext没有支持SSL的参数,所以我试图在我的Java命令行中包含以下内容(这与我们的其他Java应用程序可以很好地通过SSL访问JMX): -Dcom.sun.management.jmxremote.ssl=true -Djavax.net.ssl.keyStore=/path/to/keystore -Djavax.net.ssl.trustStore=/path/to/truststore -Djavax.net.ssl.keyStorePassword=<password> -Djavax.net.ssl.trustStorePassword=<password> -Dcom.sun.management.jmxremote.ssl.need.client.auth=false 看来,ActiveMQ只是忽略这些设置。 如果使用命令“openssl s_client -connect:”查询JMX / SSL正在工作的Java进程的RMI服务器端口,则会显示有关正在使用的证书的所有详细信息。 但是,如果我针对ActiveMQ RMI服务器端口运行该命令,则会收到一条消息,指出没有对等证书可用。 是否有可能SSLencryptionJMX访问到ActiveMQ,或者我运气不好,因为它似乎其managementContext不支持它?
请注意,我将此Q发布到StackExchange信息安全网站,但不是像ServerFault那样填充,这更多的是在networking服务的networking收集技术方面。 我开始考虑如何分析我的networkingstream量,以获取有关Web服务器场的SSL和浏览器使用情况的信息。 我也怀疑在我们的networking上运行着一些影子(遗留的,未知的)networking服务器,我也想尝试捕捉它们的连接。 基本上我正在寻找一个便宜的解决scheme,可以: logging所有连接及其协议,类似于Wireshark如何loggingsrc / dst和协议,但不收集数据本身。 只是头和协议types信息。 (例如源/目标IP地址,协议和任何协议版本/细节,如SSL / TLS版本等) 对于HTTP连接,logging浏览器的“用户代理”属性。 (所以我可以被动地构build一些浏览器版本/兼容性图片) 能够为非标准端口这样做是一个加号。 限制收集只有具体的协议将是想法。 例如只收集HTTP,SSL和TLS。 我将最终将专门收集此信息的服务器插入到我控制的每个交换机上的镜像端口中。 这将有助于跟进以下活动: 找出哪些Web服务允许弱SSL / TLS版本。 例如,如果我看到任何SSLv2 / 3,我会考虑查找和重新configuration这些Web服务器到最低TLS v1.1。 获取最终用户Web浏览器的版本和版本情况的图片,以便我可以决定安全地进行最小的安全更改。 例如,如果15%的浏览器是不支持TLSv1.1 +的Vista(!)上的IE8,我就会提前知道。 另外,我可以查看这些IP,并确定它们中的任何一个是应该被调查的传统networking资源,而不仅仅是具有过时软件的一些最终用户。 确定哪些Web服务IP地址不是已知的,所以我可以跟踪这些服务。 我所要求的,而不是仅仅尝试使用tcpdump和OpenDPI的原因是性能上的担忧。 我不确定在镜像千兆端口时是否会发生什么情况。 捕获这些信息可能很困难(记住我不想要一个数据包转储,只需要头信息,它可以被折叠logging,我不需要知道每一个连接,只需要src / dst /协议独特的),但要确定是否捕获不成功。 例如,我怎么知道50%的连接被忽略? 我可能会运行一个星期,让用户configuration文件build立起来。 如果有人有任何的build议或意见,我是全部耳朵。 谢谢。
我正在Heroku上运行一个网站,我的客户通过Network Solutions注册了一个自定义域名。 该网站运行在普通的HTTP和SSL上。 由于其分布式特性,Heroku要求自定义域名指向其服务器使用CNAME DNSlogging,针对www.example.com,而不是顶点Alogging,指向一个特定的IP地址。 因此,站点需要将apex域redirect到www子域; http://example.com成为http://www.example.com 。 而且, https://example.com需要redirect到https://www.example.com 。 一切似乎根据他们的文档( https://devcenter.heroku.com/articles/ssl-endpoint )在Heroku方面正确设置。 在configuration了DNS的networking解决scheme一侧,有一个CNAME通配符logging,指向所有子域到Heroku的SSL端点地址: CNAME * example-1234.herokussl.com 要使redirect工作从apex域到www子域,我按照networking解决scheme提供的方向: http : //www.networksolutions.com/support/how-to-forward-your-network-solutions-domain-name免费博客服务/ 。 这导致以下Alogging: @ none 205.178.189.129 作为这一切的结果, http://example.com正确地redirect到http://www.example.com 。 但是, https://example.com不仅不redirect,而且超时: % curl -kvI https://example.com * About to connect() to example.com port 443 (#0) * Trying 205.178.189.129… Operation timed out * couldn't connect to […]
我已经在本文后面的Azure网站上成功configuration了一个扩展validation证书: http://www.windowsazure.com/en-us/documentation/articles/web-sites-configure-ssl-certificate/ networking应用程序的主要(非技术)利益相关者竭尽全力validation我们的网站是安全的。 他去了这个网站检查我们的SSL的有效性: http : //www.whynopadlock.com/ 该网站抛出以下错误:SSLvalidation问题(可能是不匹配的URL或错误的中间证书)。 详细信息:错误:没有证书使用者替代名称匹配 证书使用IP Based SSL而不是SNI 。 这样做是因为一些网站访问者仍然使用Windows XP上的Internet Explorer 8,它不支持SNI并引发安全警告。 我的证书是否正确安装? 我从我的SSL提供商处收到了三个.CRT文件: PrimaryIntermediate.crt SecondaryIntermediate.crt EndCertificate.crt 这就是我将证书作为.PFX文件导出到Azure的方式: openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.crt
我在访问一个网站时遇到了问题,这个网站在服务器端最近得到了SSL安全性。 像正常访问网站是不是一个问题,但是当我尝试打开托pipe它的服务器上的网站 – 它根本不会打开。 这不是这台服务器上的唯一网站,我可以访问它们,除了那些具有SSL安全性的网站 。 这会导致一个问题,因为有问题的网站包含一个API服务和其他一些网站需要连接到这个API。 但通过xmlHttpRequest (和其他这样的代码)连接到这个网站是行不通的。 当API中提供了所有的function时,我不希望重写这些其他站点的所有代码。 (这也意味着随着服务的发展和变化,在许多不同的地方进行改变。) 什么会导致这个问题,我该如何解决? 编辑:这台服务器上有另一个SSL安全的网站,我误解了它的地位。 这个其他网站可以在服务器端访问。 我将通过服务器上的IIS和防火墙的所有设置来查找为什么他们的行为不同。 编辑:我find了一个解决scheme,通过改变重写规则 – 强制使用https – 不适用于内部地址(127.0.0.1)。 我现在可以从服务器端访问网站。 这并没有解决问题,这只是一个暂时的解决scheme,以避免这个问题。
我试图通过FortiClient连接到远程服务器进行SSL VPN连接。 当我通过我的Windows 7 32位系统上的FortiClient(版本4.3.5.472)进行连接时,它显示已连接。 但是当我尝试ping服务器时,我无法连接它。 我search了一下,发现了我觉得最吸引人的地方,但是都是徒劳的。 http://www.tp-link.in/article/?faqid=14 https://askubuntu.com/questions/402733/forticlient-ssl–vpn-connected-but-cannot-access-ip 我还有一个观察,就是当我连接的时候,我可以看到“Bytes received”字段在一定程度上增加了,然后停止,但是“Bytes Sent”增加的幅度更大,如下图所示。 请帮我解决这个问题。 更新:我还想补充说,我能够成功地将其从我的家连接到相同版本的FortiClient和操作系统,但不是从我的工作地点。 在我的工作场所,我也可以看到,FortiClient没有互联网连接。 。 我怎样才能找出可能的问题并解决呢?
我正在使用squid的sslBump和dynamicSSL证书生成function,下面是我对sslBump的configuration sslcrtd_program / usr / lib64 / squid / ssl_crtd -s / usr / local / squid / var / lib / ssl_db -M 4MB sslcrtd_children 5 sslproxy_cert_error允许全部 always_direct全部允许 ssl_bump client-first all sslproxy_cert_error允许全部 sslproxy_flags DONT_VERIFY_PEER http_port 3128 ssl-bump generate-host-certificates = on dynamic_cert_mem_cache_size = 4MB cert = / etc / squid / ssl / myCA.pem 当我开始鱿鱼时,我正面临着错误。 […]