我正在尝试将几个Linux Web服务器与当前的SSLbuild议结合起来,特别是允许iOS9连接。 一个服务器是CentOS 7,另一个是CentOS 6.4。 我现在已经configuration好了CentOS 7机器,在ssllabs.com上有一个很好的绿色A. 然而,在CentOS 6.4盒子(使用相同的ssl_protocols,ssl_ciphers和ssl_dhparm),我得到一个A-的消息“服务器不支持参考浏览器的前向保密”。 在ssllabs报告的握手模拟部分,Apple ATS 9 / iOS 9正在失败。 ssllabs列出了iOS9的UAfunction: TLS_EMPTY_RENEGOTIATION_INFO_SCSV (0xff) – TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c) Forward Secrecy 256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy 128 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024) Forward Secrecy 256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) Forward Secrecy 256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023) Forward Secrecy 128 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Forward Secrecy 128 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Forward Secrecy 256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 […]
您刚刚获得了新的HTTPS(SSL / TLS)证书,您希望获得正确的中间证书。 这是在Apache中设置的: SSLCertificateKeyFile /etc/ssl/www.example.com.key SSLCertificateChainFile /etc/ssl/www.example.com.chn SSLCertificateFile /etc/ssl/www.example.com.crt 或者在Nginx中用: ssl_certificate_key /etc/apache2/ssl/www.example.com.key; ssl_certificate /etc/apache2/ssl/www.example.com.pem; 记住apachectl configtest只检查这些文件是否存在; 和nginx -t “将失败,如果网站证书不是第一个在crt文件中,并且如果密钥错误”(感谢Drifter104 )。 那么,在重新启动之前如何检查一切? 可能的问题 您有错误的中间体(例如, GeoTrust在一个页面上列出了所有的中间体 )。 您不小心混合了中级证书文件和您的网站证书文件。 你包括根证书(影响性能,因为这发送不必要的数据)。 您缺less一个或多个中间证书。 证书是错误的密钥。 您已经将这些文件留在服务器上的任何人可读(如chmod 644 )。 您正在使用错误的证书(域不在CN或SAN中 ) 一些起点 提取有关密钥,CSR或证书文件的信息: openssl rsa -check -in "www.example.com.key"; openssl req -text -noout -verify -in "www.example.com.csr"; openssl x509 -text -noout -in "www.example.com.crt"; […]
当我从Eclipse中创buildEclipse – >文件 – >导入 – >项目 – >项目 – >克隆URI – >从Gitlabinputrepository HTTPS URI时,出现错误: 可能的原因: url不正确 没有networking连接(例如错误的代理设置) SSL主机无法validation(在Gitconfiguration中设置http.sslVerify = false) 我在Eclipseconfiguration中添加了http.sslVerify false ,但它仍然不起作用。 如果我在cmd中使git clone https://my.example.com/gitlab/root/repository.git ,我得到: 克隆到“存储库”… 致命:无法访问“ https://my.example.com/gitlab/root/repository.git ”:请求的URL返回错误:500 Gitlab生产日志显示: 按项目处理:: GitHttpController#info_refs为HTML 参数:{“service”=>“git-upload-pack”,“namespace_id”=>“java”,“project_id”=>“project.git”} 在102ms内完成500个内部服务器错误(ActiveRecord:2.5ms) JWT :: DecodeError(无JSON Web令牌): lib / gitlab / workhorse.rb:120:在'verify_api_request!'中 app / controllers / projects / git_http_client_controller.rb:154:在'verify_workhorse_api!'中 lib / […]
我一直在努力在我的木偶集群上设置MCollective。 不pipe我做什么,我似乎都无法连接到MCollective服务器。 MCollective服务器主要运行在Ubnutu Xenial上。 ActiveMQ代理(5.14.3)在Debian Stretch上运行。 我在所有节点上运行木偶4.x。 我已经使用了每个传输连接器,如果它们都无法连接。 让我转储一些日志文件给你。 在mcollective.log我得到Connection reset by peer : I, [2017-01-27T15:43:59.869501 #18729] INFO — : activemq.rb:139:in `on_ssl_connecting' Establishing SSL session with stomp+ssl://[email protected]:61614 E, [2017-01-27T15:44:00.070995 #18729] ERROR — : activemq.rb:149:in `on_ssl_connectfail' SSL session creation with stomp+ssl://[email protected]:61614 failed: Connection reset by peer – SSL_connect I, [2017-01-27T15:44:00.071371 #18729] INFO — : activemq.rb:129:in `on_connectfail' […]
我有以下作为我的nodemailer脚本: 'use strict'; const nodemailer = require('nodemailer'); // create reusable transporter object using the default SMTP transport let transporter = nodemailer.createTransport({ host: 'localhost.com', port: 465, secure: true, auth: { user: 'user', pass: 'pass', } }); module.exports = (msg) => { let { from, to, subject, html } = msg; // setup email data with unicode […]
我有一台服务器(Windows Server 2012)上的Web应用程序(IIS 8)连接到另一台服务器(Windows Server 2008)上的SQL Server Reporting Services 2012,直到最近工作正常。 大约一个星期前,它停止工作,从那以后,我一直无法使系统再次工作。 前提是我的代码调用SSRS来检索报告,然后将其提供给用户(以便用户从不出于安全原因直接查看或访问报告)。 我的日志中的错误消息指出“请求已中止:无法创buildSSL / TLS安全通道”。 Web服务器正在报告“生成致命警报并发送到远程端点,这可能导致连接终止,TLS协议定义的致命错误代码是70,Windows SChannel错误状态是105。 其中说它正在试图谈判一个不受支持的协议。 修复尝试(和失败): 更新的代码强制TLS 1.2 完全修补两台服务器,以及不会自动修补的软件 在两台服务器上检查防火墙(已禁用) 使用IIS Crypto检查和更新允许的协议等,以禁用这两个服务器上的不安全选项。 而绝望(因为它出现在search结果和Windows Update笔记): 每个MS添加LdapEnforceChannelBindingregistry项在https://support.microsoft.com/en-us/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry。 按照https://community.spiceworks.com/topic/1794963-schannel-event-id-36888-microsoft-no-help-at-all重新安全检查免除的指示 从Windows Update中删除了最后一组修补程序 到目前为止没有任何工作,而我唯一的其他想法(但我不知道我想尝试,除了在最后的手段)是 删除最新的一组Windows修补程序 禁用或删除encryption密码(MSbuild议这几年前每http://searchsecurity.techtarget.com/news/2240234856/Microsofts-Schannel-security-patch-affecting-TLS-connections 禁用数据执行保护(多年来一直这样工作) 在我采取这些步骤之前,有没有人有任何其他的想法,我可以尝试让这两个服务器再次谈话?
我们托pipe一个多租户共享交换环境,一些客户打开outlook时会看到一个证书警告,因为他们的域名不包含在我们的SSL证书中作为主题替代名称。 我们有这个邮件服务器的通配符证书。 是否有可能抑制这个错误,或者基本上只是永远地说'是'? 所有用户都影响了terminal服务器上的访问前景,所以我希望我可以在registry中抛出一些东西,或者任何可以摆脱这种情况的东西,或只是压制它。 否则,如果有一种方法,使Outlook停止寻找autodiscover.companyname.co.uk而不是寻找anything.serverdomain.com,这也将工作。 任何帮助appriciated。
我一直负责设置在Ubuntu上运行的Postfix服务器。 电子邮件通过我的中继发送,除了我似乎无法让TLS与Gmail或其他邮件客户端一起工作之外,所有这一切似乎都很顺利。 例如,请参阅我的main.cf文件的TLS输出: # TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/company.com.crt smtpd_tls_key_file=/etc/ssl/private/company.com.key smtpd_tls_CAfile=/etc/ssl/certs/gd_bundle.crt smtp_tls_CApath=/etc/ssl/certs smtpd_use_tls=yes smtpd_tls_auth_only=yes smtpd_tls_security_level=may smtp_tls_security_level=may smtp_tls_loglevel=1 smtpd_tls_loglevel=1 smtp_tls_note_starttls_offer=yes smtpd_tls_session_cache_database=btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database=btree:${data_directory}/smtp_scache # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for # information on enabling SSL in the smtp client. 我通过Telnet完成了以下操作来validationSTARTTLS: Connected to localhost. Escape character is '^]'. 220 prod-email.company.local ESMTP Postfix (Ubuntu) EHLO localhost 250-prod-email.company.local 250-PIPELINING 250-SIZE 10240000 […]
我们有一个IIS服务器,它不是尝试使用SSL通过LDAP对用户进行身份validation的域的一部分。 LDAP位于Active Directory上。 似乎IIS服务器在LDAP服务器上遇到问题,因为它无法validation它的真实性。 我们如何去认可AD的证书? 编辑:我添加了CA作为一个受信任的根证书颁发机构,似乎没有任何区别。
我想find一个服务器在海外,运行鱿鱼作为我们的网站的反向代理。 说这个网站是: eu.website.com 这将指向 www.website.com 通过鱿鱼。 我的问题是SSL。 我知道我必须为eu.website.com购买证书,但是我可以通过SSL到www.site.com吗? 设置将如下所示 eu.website.com < – > Squid服务器< – > www.website.com 这整个交stream链需要安全。