我没有符合PCI规范的扫描。 我已经成功地使用RC4密码进行Apache安装,但是我的Postfixconfiguration仍然没有修复。 我应该在我的main.cf文件中使用什么TLSconfiguration。 我目前的configuration如下 # TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes tls_preempt_cipherlist = yes smtpd_tls_protocols = !SSLv2 smtpd_tls_mandatory_protocols = !SSLv2, SSLv3 smtpd_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL smtp_tls_cipherlist = RC4-SHA:+TLSv1:!SSLv2:+SSLv3:!aNULL:!NULL smtpd_tls_security_level = encrypt
我需要在一台Apache服务器上configuration多个SSL证书。 我已经知道我需要多个外部IP地址,因为我不能使用SNI(仅在此服务器上运行Apache 2.2.3)。 我认为我已经正确configuration了所有东西,不幸的是,它们不能正常工作(或者我应该说,正如我期望的那样)。 在我的httpd.conf中有: NameVirtualHost *:80 NameVirtualHost *:443 可以说我的公共IP是12.0.0.1,我的私有IP是192.168.0.1。 当我在我的虚拟主机中使用公共IP时,我的默认网站被显示,而不是在我的虚拟主机中定义的,例如: <VirtualHost 12.0.0.1:443> ServerAdmin [email protected] ServerName blablabla.site.com DocumentRoot /data/sites/blablabla.site.com ErrorLog /data/sites/blablabla.site.com-error.log #CustomLog /data/sites/blablabla.site.com-access.log common SSLEngine On SSLCertificateFile /etc/httpd/conf/ssl/blablabla.site.com.crt SSLCertificateKeyFile /etc/httpd/conf/ssl/blablabla.site.com.key SSLCertificateChainFile /etc/httpd/conf/ssl/blablabla.site.com.ca-bundle <Location /> SSLRequireSSL On SSLVerifyDepth 1 SSLOptions +StdEnvVars +StrictRequire </Location> </VirtualHost> 当我在我的虚拟主机中使用私有IP时,一切都会正常运行(在虚拟主机中定义的网站正在显示),例如: <VirtualHost 192.168.0.1:443> …same as above… </VirtualHost> 我的服务器正在监听所有接口: [root@grbictwebp02 httpd]# netstat -tulpn […]
我试图用Cornerstone SVN客户端访问我自己的SVN服务器。 我收到以下错误信息: 说明:无法联系“https:/[email protected]:443”存储库,因为无法build立SSL会话。 build议:此Mac无法提供有效的证书或服务器证书被拒绝为无效。 技术信息 Error : V4SSLHandshakeFailureError \ Exception : ZSVNSSLHandshakeFailureException 因果信息 说明:无法连接到URL为“https:/[email protected]/svn/robi”的存储库状态:175002 说明:“https:/[email protected]/svn/robi”的选项:SSL握手失败:SSL错误代码-1/1/336032856(https:/bar.mooo.info)状态:175002 我想我通过使用searchfunctionfind了解决scheme。 在apache.org或serverfault( SVN SSL协商失败 )上描述。 当服务器报告的主机名不符合SSL证书中给出的匹配主机名称时,可能会发生这种情况。 确保您的服务器configuration为ServerName和NameVirtualHost使用正确的值。 由于困难,我不能实施它有两个原因。 A)我不知道在哪里编辑ServerName和NameVirtualHost(httpd.conf不在apache2中) B)我不知道我要添加哪个名字,设置: 主机名:friedrich(在内部networking中)DDNS名称:bar.mooo.info(在SVN客户端input) 操作系统:Debian GNU / Linux wheezy / sid(3.2.0-4-amd64) Apache版本:服务器版本:Apache / 2.2.22(Debian) 更多/etc/apache2/sites-available/ssl.conf: […] <Location /svn> DAV svn SVNParentPath /srv/nas/hd0/svn # this line must be added if you want SSL […]
请考虑两个curl命令: curl -v —ssl https://example.com * About to connect() to example.com port 443 (#0) * Trying 10.20.30.40… * connected * Connected to example.com (10.20.30.40) port 443 (#0) * successfully set certificate verify locations: * CAfile: /etc/ssl/certs/ca-certificates.crt CApath: none * SSLv3, TLS handshake, Client hello (1): * error:14077458:SSL routines:SSL23_GET_SERVER_HELLO:reason(1112) * Closing connection #0 curl: (35) error:14077458:SSL […]
因为我们在特定的子域( vendor1 .domain.org , vendor2 .domain.org …)下有供应商的外部托pipe应用程序, 所以我们希望为这些子域保留单个证书,同时在我们的所有内部托pipe应用程序环境由相同的* .domain.org域名下的通配符证书pipe理,但位于不同的服务器上( internal1 .domain.org, internal2 .domain.org …)。 通配符证书是否有可能与已经存在的其他子域单证相冲突?
我正在使用Apache 2.2.22-1ubuntu1.4和OpenSSL 1.0.1-4ubuntu5.11运行最新的Ubuntu 12.04 LTS 。 我已经configurationApache使用https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_Ciphersuite中的密码套件列表 它看起来像这样: <VirtualHost *:443> … SSLEngine on SSLCertificateFile /path/to/signed_certificate SSLCertificateChainFile /path/to/intermediate_certificate SSLCertificateKeyFile /path/to/private/key SSLCACertificateFile /path/to/all_ca_certs SSLProtocol all -SSLv2 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:AES128:AES256:RC4-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK SSLHonorCipherOrder on SSLCompression off </VirtualHost> 该命令显示所有可用的OpenSSL密码。 # openssl ciphers -v 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:AES128:AES256:RC4-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK' |column -t ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA […]
我已经启用了Hyper-V和Server Essentialsangular色的Server 2012 R2安装程序。 我正在运行多台机器,我想RDP通过RDP网关。 网关configuration正确,我可以“看到”我的networking上的虚拟机。 我已经在VM上configuration了组策略,以使用名为RemoteDesktopAuthentication的证书模板(从计算机模板复制),该模板使用以下内容作为主题名称设置: 由于这是通过Active Directory发布的,它使用我所有的客户端信任的根CA进行签名,并具有以下(相关)属性 Subject: CN = TEST-VM, CN = Computers, DC = example, DC = com Subject Alternative Name: DNS Name=Test-VM.example.com 我希望这个证书允许我在TEST-VM和TEST-VM.example.com上访问我的虚拟机,但是它只允许我使用TEST-VM.example.com。 我知道它是一个小的化妆品,必须在主机名之后input域名,但有没有办法完成这个任务? 简介: 我可以通过RDP网关使用他们的机器名称和他的完整AD域名来访问我的虚拟机吗? 编辑: Ryan Bolger指出我在正确的方向,当使用网关时使用FQDN,并使用VPN连接,以允许通过机器名称访问
对于Web服务,我们有两个证书:myservice.com和api.myservice.com。 两者都具有相同的应用程序(文档根目录),但通过具有不同证书的HTTPS进行服务器。 不幸的是,我们现在还没有双域证书。 目前,我必须定义两个服务器块,每个块指向同一个根。 唯一的区别是ssl_certificate指令,但只能在http或服务器级别声明 。 不过,有没有办法避免在服务器块中复制/粘贴? 这是一个示例代码: server { listen 443; server_name .myservice.com; root /var/www/myservice.com/public; include conf.d/common.conf.inc; ssl on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM; ssl_session_cache shared:SSL:5m; ssl_session_timeout 10m; ssl_certificate /path/to/myservice.com.bundle.crt; ssl_certificate_key /path/to//myservice.com.key; ssl_prefer_server_ciphers on; } server { listen 443; server_name api.myservice.com; root /var/www/myservice.com/public; include conf.d/common.conf.inc; ssl on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM; […]
我收到ID为36888和36874的事件日志中的错误。错误状态“以下致命警报已生成:40。内部错误状态为1205.” 和“从远程客户端应用程序接收到SSL 3.0连接请求,但服务器不支持客户端应用程序支持的密码套件,SSL连接请求分别失败”。 我想查找是什么导致这个不禁用schannel日志logging。 操作系统正在运行Windows Server 2008 R2和Outlook Web Access。 服务器上的IE设置具有TLS 1.0,TLS 1.1,TLS 1.2,SSL 3.0选中,而SSL 2.0未选中。 我应该如何去调查这个问题? 捕捉wireshark并从那里或其他东西完全?
我得到了以下设置: Internet => nginx[public:80 +443, SSL termination) => Varnish[localhost:81] => Apache[localhost:82] 现在有些网站只能通过HTTPS和有效的SSL证书进行访问。 对于这几个例外,我想激活HSTS,无论是nginx(首选,或在Apache)。 问题: 在nginx上, if Host = foo.tld则需要一些逻辑,然后设置Strict-Transport-Security xxx ,但根据http://wiki.nginx.org/IfIsEvil, if在某个location 在Apache上,我需要类似于if X-Forwarded-Proto 443 set Strict-Transport-Security xxx ,但我似乎不能用SetEnvIf (Apache 2.2) 我的逻辑是否有缺陷? 另一种方法的想法? 这是当前活动的configuration: nginx的 服务器{ server_tokensclosures; 听xx.xx.xxx.xxx:80; server_name localhost; 位置 / { proxy_pass http://127.0.0.1:81; proxy_set_header X-Real-IP $ remote_addr; proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto […]