从我读过的和研究的(在这里,其他地方),我几乎可以确定我所要求的是不可能的,但是欢迎任何其他的build议。 我有一个公共IP地址,没有域名的服务器。 我已经获得了一个有效的SSL证书,但是到2015年11月,基于公共IP地址的SSL证书正在被CA取消。 我为服务器设置了一个新的FQDN域,并获得SSL证书,这不是问题。 所以,我需要将https://123.456.78.99/所有当前链接redirect到https://www.example.com/ ,这就是问题所在。 虽然证书仍然有效,但redirect不会成为问题,但一旦公有IP地址过期,我将无法续订,公共IP地址https链接将始终给出过期证书的警告。 关于这种types的redirect的大多数问题都说只是更新原始域的证书,但由于我的服务器SSL证书只是公共IP地址,所以我无法更新SSL证书。 如果有关系,我使用Apache 2.4 有什么想法吗?
我正在configuration一个同时拥有公共和私有IP的服务器。 它没有任何关联的域名。 使用自签名证书访问下面的URL可正常工作: https://<PUBLIC IP>:8443 但是,当我尝试使用其专用IP访问该服务器时: wget https://<PRIVATE IP>:8443 我得到以下错误: 错误:无法validation由'/ C =?/ ST =?/ L =?/ O =?/ OU =?/ CN = Unknown'发出的证书:遇到自签名证书。 错误:证书通用名称“未知”与请求的主机名称“不匹配”。 要不安全地连接,请使用`–no-check-certificate'。 有没有一种方法可以在configuration中指定公共和私有IP应该被接受? 我也尝试在包含地址属性的server.xml中包含多个连接器,但不起作用。
我使用自己的CA为我的服务创buildSSL证书。 这些证书由我的CA直接签署。 在我看来,这可能是一个弱项策略,就好像证书被破坏一样,我需要从一个CA创build新的证书。 如果CA受到攻击,每个服务的游戏结束都需要更新。 所以我的理解是,“保护”自己和“稀释”关注的典型方式是创build一个证书链,并签署服务证书的链末,以便如果签名人受到攻击,下一个级别可以用来创build一个新的签名证书。 我能得到那个吗? 我想要做的是创build我自己的证书链。 整个TLS / SSL的东西对我来说还是有点朦胧,但是正如我所看到的,首先创build一个主密钥,然后用openssl genrsa然后用openssl req -x509 -new创build一个自签名证书来创buildCA. 然后我可以使用openssl req -new -key' and sign the request with my CA with -key创build新的密钥和证书签名请求, openssl req -new -key' and sign the request with my CA with openssl x509 -req -CA ca.pem openssl req -new -key' and sign the request with my CA […]
我是SSLauthentication新手,刚刚为单个子域购买了标准SSL证书; 但是,当我的服务器pipe理员在主域上使用cPanel安装它时,HTTPS请求声明SSL证书的公用名是错误的,它是*.bluehost.com 。 当我的服务器pipe理员联系bluehost时,他们声称只有购买了通配符SSL证书,才有可能在子域上安装SSL证书。 这不符合我在这里find的,所以我不确定我的下一步应该是什么?
我正在使用HAproxy在Apache服务器之间加载平衡请求。 我试图禁用HTTPS的特殊用例(服务的kickstart文件),我使用端口8000来做到这一点。 我有一个HAProxyconfiguration,看起来大致像这样(一些configuration已被省略): frontend provision_frontend_b bind 10.1.1.1:8000 mode http default_backend provision_backendb backend provision_backendb mode http server server1 127.0.0.1:8000 weight 1 server server2 10.1.1.2:8000 weight 1 我希望HAProxy将在端口8000上对外部IP所做的请求redirect到端口8000上的环回地址,在那里我正在监听Apache。 Apache被configuration为通过HTTP提供静态文件。 奇怪的是,当我从我的浏览器使用前端的DNS名称: http://myhost.mydomain:8000 ,我被redirect到HTTPS和SSL证书错误。 当我尝试与IP, http://10.1.1.1:8000 ,它的作品(并不redirect到HTTPS)。 为什么HAProxy会这样做? 它似乎不是Apache,因为我已经configurationHAProxyredirect到其他HTTP仅Apache服务器,并仍然收到此错误。 我在HAProxyconfiguration中看到的唯一的事情是configuration为redirect到SSL的另一个前端: frontend http_frontend bind :80 mode http redirect scheme https if !{ ssl_fc } 但是,它正在听另一个端口。 我试图评论redirect,并没有解决这个问题。
有点卡在这里。 我想要一个漂亮简单的Nginx“include”代码片段,它需要HTTP AUTH来包含它所在的位置,并强制redirect到HTTPS(如果还没有的话)。 我想出了这个: # /etc/nginx/snippets/requirelogin-staff.conf if ($https != "on") { return 301 https://$server_name$request_uri; } auth_ldap "Login Required"; auth_ldap_servers staff; 并像这样使用它(愚蠢的例子为了简洁起见,现实世界中我们有django服务/和/静态/作为资源文件的快捷方式): location / { include snippets/requirelogin-staff.conf; try_files $uri $uri/index.html $uri.html =404; location /static { alias /var/www/webroot/liv/static; } } 它适用于任何由位置/ wget -S显示它首先发出301redirect到相同的URL,但与https协议。 然后它回来了一个401正确。 问题是/静态下的URL auth通过指令inheritance踢进来。 但是,似乎“if($ https!=”on“)…”没有被inheritance到嵌套的位置块中。 所以wget -S会直接进入401,邀请用户使用不安全的连接login,这当然是一件坏事。 我可以看看为什么“如果”有问题(try_files不会inheritance)。 但是,这让我颇为困惑。 任何一种灵魂都可能提出一种更清洁的方法吗 一个原则是(理想情况下)我希望AUTH在一个或多个位置被一条整齐的单行“包含”所需,以避免错误。 inheritance将是很好的 – 再次避免错误。 […]
我正在尝试修复漏洞扫描器发现的SSL / TLS漏洞。 到目前为止,我所见过的所有方法都涉及到registry中的SCHANNEL更改。 SCHANNELregistry更改不幸的是系统范围的变化,不能被限制到一个特定的端口。 我无法执行SCHANNELregistry更改,因为这会影响到只有端口3389(RDP)时才运行的其他服务。 是否有一种方法可以指定哪些服务SCHANNEL限制应该适用? 或以其他限制方法进行,只要是以服务为基础,而不是以批发的方式进行。
我想做的事: 我的目标是caching使用Squid通过SSL传输的数据 – 不仅仅是通过Http传输的数据。 用户不应该在他们接触的每个Https网页上对SSL证书错误感到困扰。 下载其他学生caching的数据需要无缝和无痛。 为什么我想要这样做: 请花一点时间考虑一下这个用例,然后再对所有这些“反对SSL”以及我在其他许多post上看到的所有其他types的暴行进行推敲。 这个设置是为了让一个国外的小学校使用Wifi的速度要快得多,因为互联网的速度并不是很快。 虽然cachingHTTP数据显着加快了学生的互联网使用,但通过SSL发送的stream量越来越多,学生需要更快地访问。 简而言之,只有电子邮件和银行业务是通过SSL传输的 – 而Youtube等video内容甚至安装文件现在越来越多地通过SSL传输(例如安装Android Studio,Arduino IDE,Wireshark,FileZilla等文件)。 )。 我到目前为止所尝试的: 在pfSense 2.3.3-RELEASE-p1中设置Squid包0.4.36_2。 正确设置caching,在Http网站上完美运行。 在“系统” – >“证书pipe理器”下的pfSense中创buildCA,使用http://www.shallalist.de中的 “Shalla黑名单”安装SquidGuard,并通过所有其他来源列入白名单。 在这一点上,一切工作正常 – 通过Wifi连接的系统浏览,而不用担心证书,cachingHttp数据 – 但HTTPS数据caching将无法正常工作。 这怎么能实现?
我的一位朋友说,在为基于OpenVPN的networkingbuild立一个新的客户端时,客户端的密钥(私有的和公共的)应该在服务器上产生,并以某种方式传递给客户端。 在客户端上生成密钥并不是很安全,只是将没有私钥的公钥发送给服务器? 还是有什么理由为什么服务器也需要客户端的私钥? (我对这个encryption的东西是一个小菜,所以我可能完全错了。)
首先,这不是关于子域或主机头和SSL的问题。 我想知道的是,我可以build立一个证书请求或find一个证书提供程序,将颁发具有多个CN(通用名称)的证书,以便安全访问https://www.abcde.com – 或 – https:// www.qwert.com不会显示浏览器与SSL证书中的CN不匹配? 背景 我们有一个电子商务应用程序,在URL http://www.abcde.com下运行。 该应用程序也有一个安全部分,访问https://www.abcde.com 。 这是一个非常正常的设置,除了使用SSL通配符证书(* .abcde.com),因为子域可能会有所不同,这取决于这个应用程序的业务使用。 该应用程序的子域名/域名差异与我们所select的合作伙伴的定制外观和交易削减百分比有关。 我们现在有一个完全相同的应用程序,通过它可以访问通过URL http://www.qwert.com所需的业务使用,当然,有一个安全的部分访问为https://www.qwert.com 。 由于我的证书是为* .abcde.com发布的,所以会出现问题。 根据肯·谢弗 ( Ken Schaefer)的说法,可以用多个CN生成一个CSR。 你有没有听说过多个CN证书? 你知道如何为此创build一个CSR? 任何证书供应商是否会满足这样的要求?