我有一个使用Apache在Ubuntu 11.04上运行的Subversion服务器,我试图用LDAPS来挂接authentication。 我得到的Apacheconfiguration文件设置为LDAP(无s)就好,但安全的版本给我…问题。 显然这是一个证书问题。 不幸的是我是一个证书n00b。 我发现这个问题 ,这似乎是我得到的同样的问题。 我尝试将LDAPVerifyServerCert off放在我的httpd.conf中,并且工作正常 – 但是我不认为如果它出现问题,我只想忽略证书,是吗? 我认为我们的LDAP服务器有一个自签名的证书…也许你可以从确认或否认这一点开始。 这是我运行openssl s_client -connect myldap.xyz.edu:636 -showcerts时得到的openssl s_client -connect myldap.xyz.edu:636 -showcerts : CONNECTED(00000003) depth=0 /CN=myldap.xyz.edu verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 /CN=myldap.xyz.edu verify error:num=27:certificate not trusted verify return:1 depth=0 /CN=myldap.xyz.edu verify error:num=21:unable to verify the first certificate verify return:1 — Certificate […]
我有一个服务器2008 R2服务器上托pipe的mvc3网站,我已经安装了安全证书,似乎都工作正常。 但是,如果我使用Google Chrome连接到网站,并点击安全图标,我会收到以下消息: 连接使用SSL 3.0。 连接使用RC4_128encryption,SHA1用于消息authentication,RSA作为密钥交换机制。 连接没有被压缩。 连接必须使用SSL 3.0重试。 这通常意味着服务器正在使用非常旧的软件,并可能有其他安全问题。 最后一个说法是困扰我的那个。 我知道这只是Chrome的一个问题,希望不是一个实际的安全问题,但我去了其他几个https网站,他们都说The connection uses TLS 1.0. 并没有其他的错误/警告信息。 所以我想我的网站使用TLS。 我的理解是,IIS 7协议服务器和客户端都具有相同的协议,并按照以下优先顺序进行协商: 1:PCT 1.0 2:SSL 3.0 3:SSL 2.0 我将如何去添加TLS 1.0,并成为第一个select? 我已经看到了微软关于禁用协议的简要内容,但是我想支持这些协议,以防客户端无法访问。 也许“SSL 3.0”不是这个原因,但是这个连接必须重试,如果是的话,为什么它被重试,我该如何解决呢? mvc3站点在所有(大多数)控制器类上使用[RequireHttps] ,这可能与它有什么关系吗?
我们有一个在我们的Active Directory域中运行的Exchange 2010服务器,其内部主机server.example.local 。 服务器configuration为Exchange的任何地方,但目前有一个名为server.example.local安装的自签名证书。 在内部,客户端连接和工作正常,但在外部,我们有证书错误,如你所期望的。 我即将购买一个UCC SSL证书安装在服务器上与证书上的所有相关的SAN来纠正这一点,但由于明显的问题获得与.local作为替代名称的可信的证书,我期待configuration内部networking上的客户端,以便它们不使用任何对.local主机名的引用。 我为服务器configuration了外部DNS名称exchange.example.com ,并为autodiscover.example.com创build了一个CNAME,同时也正确地指向了exchange.example.com 。 我还为这两个主机名configuration了内部DNSlogging,这两个主机名指向同一个服务器的内部接口。 我不希望这里有任何问题。 我现在正尝试在内部重新configuration自动发现,以便Outlook尝试连接到exchange.example.com 。 我已经按照KB940726中的步骤为此做准备,而且这似乎工作正常。 没有产生错误,我能够使用ADSI编辑在AD中validationCAS名称。 我刚刚尝试使用新创build的testing用户帐户完成一个新的Exchange邮箱的testing,并且Outlook 2007在内部networking上连接正常,但在Exchangeconfiguration文件中查看更深,Outlook仍然将服务器名称parsing为server.example.local 。 它可能是自签名的证书,这是导致Outlook显示为server.example.local的服务器名称,还是仍然有什么问题,我的内部自动发现configuration? 编辑 我已经certificate它不是负责outlook返回server.example.local的证书,通过安装另一个名为test.example.com自authentication证书。 当创build一个新的Outlookconfiguration文件时,我得到了我正在显示的不匹配错误,但在接受证书并完成Outlookconfiguration文件的configuration后,它仍然显示server.example.local作为服务器名称。 这意味着,如果我现在购买UCC证书,那么外部客户端可以正常工作,但内部客户端会显示证书名称不匹配。 任何想法从哪里开始诊断?
我们试图执行LDAPS绑定到一个服务器阻止389防火墙,所以所有的stream量必须超过636。 在我们的testing实验室中,我们连接到一个没有防火墙的testingldap(位于同一台服务器上),因此两个端口都是暴露的。 在testing服务器上运行ldp.exe,我们生成了下面的trace,似乎表明它已经成功绑定了636.但是,如果我们使用wireshark监视stream量,则所有stream量都将被发送到389,而不会尝试连接636。 其他工具只能在636上绑定SSL或者在389上没有SSL绑定,似乎表明它的行为正确,但Wireshark显示为389。 只有我们使用RawCap的testing服务器来捕获本地环回stream量。 有任何想法吗? 0x0 = ldap_unbind(ld); ld = ldap_sslinit("WIN-GF49504Q77T.test.com", 636, 1); Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3); Error 0 = ldap_connect(hLdap, NULL); Error 0 = ldap_get_option(hLdap,LDAP_OPT_SSL,(void*)&lv); Host supports SSL, SSL cipher strength = 128 bits Established connection to WIN-GF49504Q77T.test.com. Retrieving base DSA information… Getting 1 entries: Dn: (RootDSE)
在使用Glassfish之前使用Apache http服务器的build议(检查问题 )之后,我使用了以下教程并使其工作,但仅在端口80上工作。 我的意思是现在我可以键入: www.mydomain.com 它运行。 但是,如果我运行一个需要https的应用程序,即在web.xml(一个J2EE应用程序) <transport-guarantee>CONFIDENTIAL</transport-guarantee> 当我键入: www.mydomain.com 它会自动加载: https://www.mydomain.com:8181 我不想显示端口8181,我只想: https : //www.mydomain.com 。 PS:我将只使用在“/”上下文中运行的一个应用程序 。 以下是我的configuration: * workers.properties文件: worker.list=ajp13unsecure, ajp13secure worker.ajp13unsecure.type=ajp13 worker.ajp13unsecure.host=localhost worker.ajp13unsecure.port=8009 worker.ajp13secure.type=ajp13 worker.ajp13secure.host=localhost worker.ajp13secure.port=8009 *我添加的httpd.conf文件: Listen 443 # Load mod_jk module # Update this path to match your modules location LoadModule jk_module modules/mod_jk.so # Where to find workers.properties # […]
我正在从nginx +乘客迁移到nginx +独angular兽,我已经达到了一点,我有点卡住了。 当我试图查看我的testing服务器时,除了404页面,我什么都没有。 我确定我的虚拟主机configuration有一些东西,但是我只是没有看到问题所在。 任何帮助,这是非常感谢。 这是我的vhost文件的当前版本 upstream unicorn-staging { server unix:/data/appname/staging/current/tmp/sockets/unicorn-staging.sock fail_timeout=0; } server { listen 80 deferred; listen 443; ssl on; root /data/appname/staging/current/public; server_name foo; access_log /data/appname/staging/current/log/unicorn-staging-access.log; error_log /data/appname/staging/current/log/unicorn-staging-error.log; client_max_body_size 4G; ssl_certificate /data/appname/staging/shared/certs/appname.crt; ssl_certificate_key /data/appname/staging/shared/certs/appname.key; location / { proxy_pass http://unicorn-staging; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto […]
我有一个设置,HTTP(S)stream量从HAProxy到nginx。 HAProxy nginx HTTP —–> :80 —-> :9080 HTTPS —-> :443 —-> :9443 我遇到了从https到http的尾随斜杠导致的隐式redirect问题,如下所示: $ curl -k -I https://www.example.com/subdir HTTP/1.1 301 Moved Permanently Server: nginx/1.2.4 Date: Thu, 04 Oct 2012 12:52:39 GMT Content-Type: text/html Content-Length: 184 Location: http://www.example.com/subdir/ 显然,HAProxy是作为SSL解包程序工作的,而nginx只能看到http请求。 我已经尝试在HAProxyconfiguration上设置X-Forwarded-Proto来https,但是它什么都不做。 我的nginx设置如下: server { listen 127.0.0.1:9443; server_name www.example.com; port_in_redirect off; root /var/www/example; index index.html index.htm; } […]
我正面临一个扩展validationSSL证书的问题,该证书在除DocumentRoot的索引之外的所有页面上都正确显示(带有组织名称和国家代码的绿色条)。 Web服务器上的权限和指令对于所有站点都是相同的,但出于某种奇怪的原因,EV栏显示几乎一秒钟,然后隐藏。 它保持服务器和浏览器之间的通信encryption,但地址栏显示为1级SSL证书,而不是EV(3级) 在firefox / chrome / IE上也是这样。 我使用的是Apache / 2.2.16(Debian)和libssl0.9.8,主站点在Joomla 1.5 CMS(我知道这很旧)。 我已经更改为1 joomla的configuration.php文件的force_ssl值,但结果是相同的,因为它不是一个encryption问题。
我的智慧就这样结束了! 我不是一个CI /networking的人,所以我很抱歉,如果我问错误的问题/提供错误的信息。 我正在尝试让客户端网站通过其Trustwave安全扫描,以便它可以继续接受信用卡。 以下是目前事件的时间表: 2周前我联系了我们的客户网站扫描纠正这个问题。 该扫描表示,由于BEAST漏洞(CVE-2011-3389),我们在3个项目上失败。 该站点位于Windows Azure上,位于非常早期的客户操作系统上,因此我在Windows Server 2012上将客户端操作系统升级到3.2。根据国家漏洞数据库 ,此漏洞在Microsoft安全公告MS12-006中进行了讨论在Azure Guest OS 1.18 / 2.1版本中 。 虽然根据MS的文档,Windows Server 2012 / IIS8不受此漏洞的影响,但扫描仍然在相同的3个项目上失败 然后我下载了工具IISCrypto并应用了BEAST设置,然后重新启动。 这使我只有1个报告的漏洞 – (客户提供的选项'TLSv1:ALL:eNULL:aNULL';服务器协商分组密码'TLSv1:AES128-SHA')。 只是从我所知道的情况来看,RC4的密码都是第一位的,所以没有任何意义。 作为一个侧面说明,SSL实验室在线扫描仪报告说,我们的网站不再容易受到BEAST。 然后,我去了焦土,并且使所有CBC密码失效,只留下RC4,试图强制它,无论是用RC4密码进行协商。 扫描仍然在相同的漏洞上失败,但SSL实验室仍然报告我们的网站是好的。 我真的想自己testing一下,但是正如我所说,这不是我真正的工作 – 我是一名开发人员,虽然我想了解很多关于CI的知识,但我今天没有时间了! 到目前为止,我所做的是使用我的openssl实例来尝试查询,因为我认为Trustwave正在展示它以查看是否可以重新创build证据: openssl s_client -connect thenewtonproject.com:443 -cipher "TLSv1:ALL:eNULL:aNULL" 当我运行这个,我看到它说TLSv1/SSLv3. Cipher is RC4-SHA TLSv1/SSLv3. Cipher is RC4-SHA ,这会导致我相信Trustwave扫描是错误的,但是由于这是我第一次用openssl做这样的事情,我甚至不确定我是否使用了正确的命令/句法。 有人可以帮助纠正我的语法/validation我的结果对同一个网站? 编辑 据Trustwave介绍,BEAST问题是: SSL协议通过使用带有链式初始化向量的CBC模式来encryption数据。 这允许已经通过中间人(MITM)攻击或其他手段访问HTTPS会话的攻击者通过结合使用Javascript的分块select边界攻击(BCBA)获得纯文本HTTP报头使用HTML5 […]
我的网站在我的服务器上(Debian Wheezy,testing版上的Apache 2.4.10)。 我自己configuration了Apache,并在阅读了许多讨论这些问题的网站之后,封锁了所有可攻击的密码。我不得不说,这不是我的专长,因为我是物理学家。 所以请原谅我的无知,如果我做了明显错误的事情。 我在Apache中的密码configuration是这样的: SSLProtocol all -SSLv2 -SSLv3 SSLCompression off SSLCipherSuite AES128+EECDH:AES128+EDH 我尝试了一个替代的显式密码configuration,这也给出了同样的问题: SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 ECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS -RC4" 所以问题是Google Chrome(版本42.0.2311.90米)在我打开我的网站的时候会出现惊叹号: 另一方面,在SSLLabs中 ,我得到了非常好的排名,没有任何评论(尽pipe80%的密码的解释是很好的,我应该怎么做才能得到90 +%? 所以我的问题是:我怎样才能让谷歌铬(和其他浏览器)停止抱怨与三angular? 如果您需要任何其他信息,请询问。