更新 我已经能够使用一个简单的PHP脚本来尝试LDAP绑定的小规模重现问题。 从那个脚本我得到更多的debugging输出,让我确定实际的问题。 所以我正在重写这个问题。 脚本 我正在尝试在我的Debian Wheezy服务器上设置一个LDAP环境。 我想要使用有效的SSL证书来保护与服务器的通信(意思是,它不是自签名的)。 我正在使用自编译的OpenLDAP版本,因为Debian版本库中的最新版本不支持SHA2密码散列。 问题的细节 我可以使用这个简单的PHP脚本来尝试绑定到我的LDAP服务器。 <?php error_reporting(E_ALL); ini_set('display_errors', 'On'); /* if I remove this, it doesn't work */ putenv('LDAPTLS_CACERT=/path/to/my/root.ca'); $uri='ldaps://localhost'; if (!ldap_set_option(NULL, LDAP_OPT_DEBUG_LEVEL, 7) ) { die('log level option failed\n'); } $ldap = ldap_connect($uri) or die ('connect failed'); if ( !ldap_set_option($ldap, LDAP_OPT_PROTOCOL_VERSION, 3) ) { die('protocol version set failed\n'); […]
我试图在IIS 8上实现客户端证书身份validation。我已经在开发计算机上部署了我的configuration,并validation了它在那里按预期工作。 然而,在服务器上设置后,每当我导航到该网站,并提示客户端证书,我select它,并立即得到403.16错误。 失败的请求日志提供错误代码2148204809和消息“证书链已处理,但终止于不受信任提供程序信任的根证书”。 我有一个有效的客户证书和一个有效的CA证书。 CA证书安装在服务器和客户机的计算机帐户上的“受信任的根机构”中,客户机证书安装在客户机上“当前用户”帐户的“个人”区域中。 客户端证书由根CA直接签名,正如我所说的,两者都是有效的。 在链中没有其他证书,并且“受信任的根证书颁发机构”区域中没有中间证书。 IISconfiguration具有sslFlags = SslNegotiateCert,并启用了iisClientCertificateMappingAuthentication。 服务器没有configuration发送一个CTL,我们有SendTrustedIssuerList = 0。 我不明白为什么客户端证书不应该被信任。
我正在用Ubuntu 12.05.5 LTS和Apache 2.2.22运行一个小型Web服务器,最近遇到这个问题: 对于虚拟机上的IIS服务器,我有以下反向代理configuration: <VirtualHost *:443> SSLEngine on DocumentRoot /var/www/ <Directory /> Options FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from 127.0.0.1 allow from 192.168. allow from 10.8.0 </Directory> … ProxyRequests Off ProxyPreserveHost On ProxyVia On SSLProxyEngine on <Location /AutodeskDM> Order Deny,Allow Deny from all Allow from 192.168. ProxyPass https://10.8.0.131/AutodeskDM ProxyPassReverse https://10.8.0.131/AutodeskDM […]
我已经inheritance了一个lighttpd服务器,我对如何pipe理知之甚less。 我目前正在尝试为该服务器上的一个域安装SSL。 我一直在看这个conf: $SERVER["socket'] == ":443" { ssl.engine = "enable" ssl.pemfile = "/etc/ssl/private/domain.com.pem" ssl.ca-file = "/etc/ssl/private/chain.cer" } 据我所知,这适用于整个服务器,而不仅仅是我希望保护的域名。 在configuration中使用这个给我“服务器上的所有站点”(lighttpd将无法正确重启)“站点不可用”。 我已经看到了两个关于在单个虚拟主机上处理SSL的build议,其中一个表明你需要为虚拟主机分配一个唯一的IP,然后在:443之前使用它。 这需要我购买额外的IP。 我不想在没有得到lighttpd的确认的情况下做这个工作。 我见过的另一个build议: https :做一个单一的IP,但似乎说,你需要一个“默认”的PEM的服务器。 我不明白的是什么域默认PEM应该是为什么? 如果有人知道我的configuration应该看起来像处理一个特定的VHOST的SSL和我需要采取什么步骤,我将不胜感激的帮助!
我没有设置一个rabbitmq铲amqps。 同一把铲子在amqp上工作得很好。 我的(编辑)uri: amqps://un:[email protected]:5679?cacertfile=/etc/ssl/certs/example.com.cacert.crt&certfile=/etc/ssl/certs/example.com.crt&keyfile=/etc/ssl/private/example.com.key&verify=verify_peer stunnel日志中的错误: SSL_accept: 14094410: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure 和铲状态是 {{badmatch,{error,{tls_alert,“handshake failure”}}} 通过openssl从shell中连接工程: openssl s_client -connect myhost.example.com:5679 -cert /etc/ssl/certs/example.com.crt -key /etc/ssl/private/example.com.key -CAfile /etc/ssl/certs/example.com.cacert.crt 回报 Negotiated TLSv1/SSLv3 ciphersuite: ECDHE-RSA-AES256-GCM-SHA384 (256-bit encryption) 我的rabbitmq.config: [ {kernel, [ ]}, {ssl, [{versions, ['tlsv1.2', 'tlsv1.1' ]}]}, {rabbit, [ {ssl_listeners, [5671]}, {ssl_options, [{cacertfile,"/etc/ssl/certs/example.com.cacert.crt"}, {certfile,"/etc/ssl/certs/example.com.crt"}, {keyfile,"/etc/ssl/private/example.com.key"}, {versions, ['tlsv1.2', 'tlsv1.1']}, {depth, […]
我最近用java 7升级了我的Weblogic服务器到10.3.6。因此,我通过setEnv.sh启用了TLS1.0 – TLS 1.2。 我使用的一些密码确保它们兼容(由Weblogic,FF37,Chrome 44等支持)如下: <ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite> <ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite> <ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite> <ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite> <ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite><ciphersuite>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite> 这是在SSL标签下的config.xml中。 我也有JSSE启用,以确保我可以得到一个TLS1.2连接。 Weblogic 10.3.6支持的encryption列表在这里find 我用SSL实验室看到的一个问题是,使用这些密码,我仍然可能容易受到POODLE的攻击。 Nmap扫描给了我这个密码是什么: | ssl-enum-ciphers: | SSLv3: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA – strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA – strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA – strong | TLS_RSA_WITH_AES_128_CBC_SHA – strong | compressors: | NULL | TLSv1.0: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA – strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA – […]
我试图访问一个合作伙伴的SOAP API,为了这个目标,我做了一个CSR并收到了一个CRT。 我用我的钥匙和CRT制作了一个PEM文件: cat mycert.crt mykey.key > mycertandkey.pem 当我尝试用curl来打这个服务时: curl –verbose –cert mycertandkey.pem https://partner/service?wsdl * Hostname was NOT found in DNS cache * Trying IP.IP.IP.IP… * Connected to PARTNER (IP.IP.IP.IP) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs * SSLv3, TLS handshake, Client hello (1): * SSLv3, TLS handshake, […]
这是我的用例。 我想学习如何设置Apache ,所以这只是为了学习。 随意build议更好的select。 我在RHEL5使用Apache 2.4 。 我想使用ProxyPassMatch代理到两个不同的站点 ProxyPassMatch "^/(a|b)/(*.jpg)$" https://$1.example.com/$2 但是a.example.com和b.example.com需要不同的客户端证书。 我补充说 SSLProxyEngine on SSLProxyMachineCertificateFile /path/certs/webs.pem 如果webs.pem的内容只有一对(证书和私钥),则可以很好地连接到正确的站点。 但是,如果我添加第二对(证书和私钥)它不起作用。
问题描述 我们有一个服务于静态资产的Web服务器。 我们遇到了一些问题,在浏览一些http请求后,会陷入“挂起”状态。 在铬检查器的响应头确实回来,但请求不超时,他们看起来像他们正在下载。 在时间轴上查看“Waiting(ttfb)”是最后填写的项目(例如400ms),然后会出现一个提示“注意:请求尚未完成! 这个问题似乎仅限于Chrome浏览器,并且该网站正在运行https。 我们不能在safari上复制,即,如果httpsclosures,我们不能复制。 摄制。 采取的步骤 打开Chrome浏览器隐身 打开检查器工具>networking选项卡 导航到网站 通常是第一页,所有的请求都完成了 浏览到另一个页面 意外的行为:页面的部分不加载; xhr通常需要.html文件和jpg图片。 当在铬的净选项卡检查他们说“待定” 奇注: 按照上面的步骤,如果您在新标签中打开“待处理”请求,则“旋转” 如果closures第一个选项卡,第二个选项卡上的“挂起”的url解决,这导致我们看着保持活着和超时,但无济于事。 这个完整的问题有时也可以在第一个请求(文档) 环境说明: 前端是angularjs,通过铬访问其他浏览器似乎没有这个问题 服务器运行的是https,通配符证书(* .domain.com) nginx版本1.9.3 # some variables we've tweaked worker_processes 4; worker_connections 4000; keepalive_timeout 15; client_body_timeout 12; gzip on nginx日志不会抱怨任何事情 当服务器负载的时候,cpu / ram从来没有接近最大值 响应标题包括; etag,gzip,content-type,date,last-modified,server,status(200),strict-transport-security:max-age = 604800 … 改变铬的“禁用caching”checkbox似乎没有影响的东西 我们已经在不同的计算机上使用Chrome浏览器。 我最大运行44.0 64位 基于这些问题,这个错误感觉就像是某种types的服务器configuration问题,我们不认为它是证书相关的,但是它只影响chrome的事实是很奇怪的。
由于这是一个关于安全问题的基于性能的问题,信息安全部门的一些人build议我在这里发帖: 我的物联网公司希望使用客户端证书身份validation来保护每个“事物”和中央服务器之间的通信。 我们每年部署大约3万个事物,而且他们有大约5年的生命周期,所以我们的服务器端解决scheme保守地需要能够一次支持150到200K个证书。 从阅读和提出其他问题来看,似乎最好的解决scheme是EJBCA ,这看起来很好,但我也看到haproxy(理论上)也有能力做到这一点。 我的问题是 :haproxy如何扩展以处理大量的客户端证书和连接?