我想用nginx来使用ssl。 我创build了必要的证书: [root@arch ssl]# pwd /etc/nginx/ssl [root@arch ssl]# ls -l total 12 -rwx—— 1 root root 1346 Aug 3 14:36 server.crt -rwx—— 1 root root 1115 Aug 3 14:36 server.csr -rwx—— 1 root root 1743 Aug 3 14:35 server.key 但是nginx无法加载这些文件。 它说它找不到它们: systemctl -l status nginx nginx.service – A high performance web server and a reverse […]
我在IIS中有一个网站,在该服务器上有两个不同的IP地址。 我希望能够使用其他IP地址将单独的SSL证书分配给IIS上的同一站点。 像这样的东西: www.abc.com – > 1.1.1.1 – > ABC公司的SSL证书 – > WebsiteX www.xyz.com – > 1.1.1.2 – > XYZ公司的SSL证书 – > WebsiteX 我一直在争取一段时间,似乎WebsiteX只能有一个SSL证书分配给它。 是否有可能做我提议在IIS 7.5中,或者我将不得不在IIS中做这个另一个网站?
我从Namecheap购买了Comodo SSL。 现在,SSL在桌面上工作正常,我得到一个“这个连接是不是私人的”在手机上..在Android上我的铬 这是我的虚拟主机文件: server { listen 80; server_name www.————-.com; return 301 https://www.————-.com$request_uri; } server { listen 443 ssl; root /var/www/————-.com/html; index index.html index.htm; ssl_certificate /etc/nginx/ssl/ssl-bundle.crt; ssl_certificate_key /etc/nginx/ssl/navarrarpg_com.key; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ssl_prefer_server_ciphers on; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS; server_name www.————-.com; location / { try_files $uri $uri/ =404; } } 这里是我收到的四个文件: AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt […]
我一直试图在SSL服务器testing@ SSL实验室获得A +。 但是,我不知道如何通过“降级攻击预防”testing: 我在Linux Ubuntu 15.04(Vivid Vervet)上运行了Jetty 9.3.0.v20150612和OpenJDK 8。 hristo@test:~$ java -version openjdk version "1.8.0_45-internal" OpenJDK Runtime Environment (build 1.8.0_45-internal-b14) OpenJDK 64-Bit Server VM (build 25.45-b02, mixed mode) 我已经阅读并遵循了Jetty的SSLconfiguration文档中的说明 ,并尽我所能编辑相关的XMLconfiguration文件。 不pipe我尝试什么,我仍然看到“不,不支持TLS_FALLBACK_SCSV”。 通过运行以下命令,为Jetty启用了https和ssl模块: $ java -jar start.jar –add-to-startd=https,ssl INFO: ssl initialised in ${jetty.base}/start.d/ssl.ini INFO: https initialised in ${jetty.base}/start.d/https.ini INFO: Base directory was modified 我没有修改vanilla jetty.xml和jetty-https.xml因为我不知道我需要在那里更改。 […]
我跟着 使用CA证书进行远程桌面连接 在远程pipe理模式下为Windows Server 2012上的RDPconfiguration自定义SSL证书? 以确保RDP与一个适当的证书,而不是自签名的Windows之一。 这一切运作良好。 直到我跑步 wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="MY_HASH" 这个命令只会导致“无效的参数”。 原始(自签名的Windows)证书的散列效果相同。 所以我想我的证书一定是错的。 它似乎正确地安装在证书存储区(私钥和“远程桌面”部分下)。 查看authenticationMMC snapin中的证书详细信息我的导入的证书旁边有一个黄色感叹号: 密钥用法=数字签名,密钥encryption(a0) 和额外的领域 基本限制=请求者types:结束单元 Windows为RDP连接生成的自签名证书具有: 密钥用法=密钥encryption,数据encryption(30) 有无论如何改变这个,还是只是不可能使用这个证书的RDP? 一些额外的信息: 该证书是一个COMODO PositiveSSL通配符证书, 我在使用OpenSSL将证书从原始PEM表单转换为PKCS7并从PKCS7转换为PKCS#12 / PFX,然后将其导入Windows证书存储区, 证书之间的另一个区别是,Windows是一个sha1,而Comodo证书是一个sha256, 这是一个Win10工作站, 工作站不是任何域的成员,而是独立安装。
创buildSAN证书时,您的基本域名是www.domain.com的证书,然后是download.domain.com和stream.domain.com的备用名称。 在创build证书时,是否要在SAN列表中再次列出基本域名? eg: domain: www.domain.com san: download.domain.com,stream.domain.com vs: domain: www.domain.com san: www.domain.com,download.domain.com,stream.domain.com 哪一个更正确? 哪一个更好的支持? 谢谢,
我正在努力解决如何使我的传出/传入电子邮件尽可能安全,因为我可以使他们。 首先,我的域具有Wildcard OV SSL证书,我有.csr , .crt和.key文件的副本,但是我没有任何.p12或.pfx PKCS12文件,是否可以从我的SSL证书,以便我可以通过电子邮件客户端(如Outlook,Thunderbird等)对传出的电子邮件进行数字签名 其次,下面是我可以并应该用于我的电子邮件客户端的“最安全”/“最佳”安全设置是所有可用的选项。 传入选项 连接安全性: 没有 STARTTLS SSL / TLS (目前使用通过端口993) 身份validation方法: 正常密码(目前使用通过端口993) encryption的密码 Kerberos / GSSAPI NTLM TLS证书 的OAuth2 传出选项 连接安全性: 没有 STARTTLS SSL / TLS (目前使用通过端口465) 身份validation方法: 没有authentication(不可用) 正常密码(目前使用通过端口465) encryption密码(不可用) Kerberos / GSSAPI(不可用) NTLM(不可用) OAuth2(不可用) 最后但同样重要的是,PHPMailer也一样,我应该使用TLS还是SSL(有哪些更好?) $phpmailer->SMTPSecure = "tls"; // Choose SSL or TLS, if necessary for your […]
我花了将近一天的时间,尝试着为我的公司和社会制作ALPN和http2支持EL6和EL7的Apache httpd版本,正如我之前对NGINX (静态构build的OpenSSL 1.0.2h)所做的那样。 首先,我试着用从Fedora取得的OpenSSL 1.0.2h重buildsrc rpms并安装结果rpms(openssl-devel-1.0.2h-1.el7.centos.x86_64.rpm,openssl-1.0.2h-1.el7.centos .x86_64.rpm)replace系统的一个。 是的,我知道,这对于公共build筑来说是不正确的,但是我需要知道是否可以工作。 然后我重build了nghttp2-1.7.1-1.fc24.src.rpm并安装了libnghttp2-devel-1.7.1-1.el7.centos.x86_64.rpm和libnghttp2-1.7.1-1.el7.centos .x86_64.rpm。 最后,在删除了一些修补程序并且攻击了apr和apr-util后,我成功地将httpd-2.4.18-1.fc23.src.rpm生成到httpd-2.4.18-1.el7.centos.x86_64.rpm中。 纯HTTP / 1.1为我工作好,ALPN支持也存在,但HTTP / 2没有工作: $ curl -v –insecure –http2 –tlsv1.2 https://192.168.1.148 * Rebuilt URL to: https://192.168.1.148/ * Trying 192.168.1.148… * Connected to 192.168.1.148 (192.168.1.148) port 443 (#0) * Initializing NSS with certpath: sql:/etc/pki/nssdb * skipping SSL peer certificate verification * ALPN, server […]
为什么Chrome信任这个网站的authentication机构,但不是这个 ? 这是同一台机器,相同的浏览器,由相同的权威机构签署, Chrome 显示由同一个根CA签署的中间链。 您可以通过像sslshopper和digicert这样的服务 ,通过手动下载并使用openssl进行validation,来确认主机不会像中文 CA链一样报告中间CA链 openssl s_client -showcerts -connect www.jessclark.com:443 然而,当检查证书时, 完整链条明确出现在Chrome详细信息中,但是仍然不够信任权威机构,尽pipe它承认它。 由于中间链缺失,我希望它只显示www.jessclark.com,而不是链接到DST根CA X3的Let's Encrypt证书。 我在Windows 7上使用Google Chrome版本50.0.2661.102 m 点击图片查看完整分辨率的截图 。 有趣的是,在其他浏览器(如Chromium版本51.0.2704.79 Ubuntu 16.04(64位),Internet Exploder 11 Windows 7)以及其他人在报告中也相信该权限。 Firefox确实似乎严格拒绝它。
我有一个负载均衡器后面的nginx服务器。 负载均衡器处理SSL终止,所有请求都在端口80上触发 nginx。我还使用SRCache模块使用Redis进行完整页面caching。 caching模块使用URL作为caching键,如$schemeGET$host$request_uri 。 我以为我可以重写Nginx的$schemevariables,所以caching密钥scheme将是https而不是http我不知道如何做,或者甚至可能。 我的应用程序caching各种事件后清除caching,它使用https生成caching键,但nginxcaching使用caching中的http键。 这意味着由于caching键名称不匹配,未正确清除caching。 这是我的网站configuration,如果有帮助: server { listen 80; server_name example.com example.org example.net ; set $redirect_to_https 0; if ( $http_x_forwarded_proto != 'https' ) { set $redirect_to_https 1; } if ( $request_uri = '/health-check.php' ) { set $redirect_to_https 0; } if ( $redirect_to_https = 1 ) { return 301 https://$host$request_uri; } # […]