我知道每个默认FTP都是不安全的,因为它没有encryption。 为了避免这种不安全的FTP行为,我想在我的ProFTPD中设置一个TLSencryption。 根据这个教程: https ://www.howtoforge.com/tutorial/install-proftpd-with-tls-on-ubuntu-16-04/ ProFTPD中的tlsconfiguration应该如下所示: <IfModule mod_tls.c> TLSEngine on TLSLog /var/log/proftpd/tls.log TLSProtocol TLSv1.2 TLSCipherSuite AES128+EECDH:AES128+EDH TLSOptions NoCertRequest AllowClientRenegotiations TLSRSACertificateFile /etc/proftpd/ssl/proftpd.cert.pem TLSRSACertificateKeyFile /etc/proftpd/ssl/proftpd.key.pem TLSVerifyClient off TLSRequired on RequireValidShell no </IfModule> 很多这些指令都是不言自明的,但我仍然不知道指令“TLSVerifyClient”是什么意思。 根据ProFTPD手册: 如果closures,模块将接受证书并build立SSL / TLS会话,但不会validation证书。 如果打开,模块将validation客户端的证书,而且,除非客户端在服务器请求证书时提供证书,否则将失败所有SSL握手尝试。 但是我认为证书来自服务器本身,为什么服务器接受来自客户端的证书请求呢? 而我的第二个问题,TLSoption指令的“nocertrequest”选项的含义是什么? 符合ProFTPD手册,这个选项的function是: 在处理服务器的证书请求时,一些FTP客户端已知是错误的。 此选项会导致服务器在SSL握手期间不包含这样的请求 在这里,同样的问题是,当服务器本身具有TLS证书时,服务器为什么要向客户端发送证书请求。
我有一个Apache安装使用ssl的多个域名。 我知道我需要把每个域放在一个单独的IP外部。 这同样适用于NAT背后的IP吗? 也就是说,我在假设的外部IP上有一个域名:1.2.3.4,另外一个域名是1.2.3.5(显然这些IP是由IP组成的) 内部这些IP都指向192.168.1.5。 它是否必须是1:1的映射,因为1.2.3.4域将指向192.168.1.5,而1.2.3.5 IP必须指向192.168.1.6? 他们都可以指向192.168.1.5,仍然工作?
比方说,我有一个应用程序,允许客户创build一个帐户,并在他们的网站上,允许人们创build票据的forms。 与475客户谁拥有forms的网站。 每个账户每天获得约100份表格提交(平均每天总计47500张 )。 如果您认为所有这些都是在一天中的8个小时内进行的, 那么每秒只能获得1.6张左右的票数 。 如果我正在购买负载均衡器,这是否意味着我只需要一个可以处理5个SSL TPS的东西 ? 这对我来说似乎是荒谬的?
我使用的是Ubuntu 9.10,apache2和php5。 在一个IP地址上但在不同的端口上托pipe多个SSL站点是个好主意吗? 如果是的话,我应该使用什么端口?
一切都从自我担保的https运行。 除了设置用户authentication之外,我应该采取哪些措施来确保我们的安全?
哇,首字母缩略词:)所以根据这个问题,你可以在一个IP地址上有多个SSL子域,只要你的服务器支持TLS(Apache 2.2x)。 对这个问题的另一个答案指出,客户端浏览器必须具有SNI支持才能工作,IE在Windows XP上没有。 那么,使用该浏览器的人会发生什么警告消息,说SSL证书与域不匹配。 对于没有SNI支持的客户端浏览器,是否可以解决这个问题? 通配符(对于子域)是否有用? 还有其他(便宜的)选项吗?
在我的办公室里,有一台运行Windows 2003 SP2的networking服务器。 这不是一个Web服务器。 有7个工作站,每个工作站都运行Windows XP。 两个工作站都设有信用卡扫描仪为我的客户。 我有一个静态IP地址,以便通过使用Windows RDPfunction连接到我的办公室服务器。 信用卡扫描仪的人现在要我“configurationterminal服务,以利用SSL进行服务器authentication”。 他们担心“中间人攻击”。 如果我与SSL卖方(如Godaddy)或任何卖方进行连接,然后购买SSL证书,是否需要下载此证书? 我必须在服务器上configuration它来发行PKI。 下载证书后,我只是不知道该怎么做。 一旦我购买SSL证书,到底有什么步骤? 这应该不用说,但我会说,无论如何,任何帮助将不胜感激。
问题 SSL证书提供者正在从使用1024位RSA密钥签名的证书移动到新的2048位RSA密钥标准。 一篇文章解释了这个问题的背景和意义 ; 也是VeriSign有关迁移的文章 。 对于我们特定的Web应用程序,我们有数百个客户系统通过HTTPS和HTTPS POSTs通过SOAP API调用连接到我们的系统。 第二个问题是浏览到HTTPS URL的最终用户。 对于最终用户,从VeriSign 1024位证书升级到新的2048位证书不应该产生巨大的影响,因为大多数浏览器/操作系统都会信任新的根CA. 连接到我们的传统系统是一个不同的故事,发展到10年前,他们在各种硬件和操作系统风格,并有不同的证书pipe理策略。 如果他们不信任新的根CA,他们的影响是灾难性的,因为他们多年来没有问题的系统会突然停止工作。 修复很简单,但需要pipe理员在其服务器上应用。 潜在的解决scheme 尽可能延迟升级(Tricky,因为证书将在明年到期,没有信誉良好的提供商颁发1024位证书)。 联系每个客户,并在整个升级过程中引导他们(可能但很难,原来执行的技术联系可能已经不存在了) 其他组织如何处理这个问题?
我有个问题。 我们在服务器上使用CNAME来指向我们在另一台服务器上托pipe的应用程序。 我将在哪个服务器上安装该SSL应用程序的SSL证书? 我们需要使用CNAME主机名。 谢谢。
在尝试启用suexec模块的过程中,我开始得到这些警告(当我重新启动apache)。 suexec启用和禁用时,我得到他们: * Restarting web server apache2 [Wed Oct 05 01:29:40 2011] [warn] NameVirtualHost 12.345.67.89:443 has no VirtualHosts … waiting [Wed Oct 05 01:29:41 2011] [warn] 12.345.67.89:443 has no VirtualHosts …done. 我正在运行Ubuntu 10.04,Apache2.2,PHP,MYSQL … 我正在运行一个站点通过https://与签名的证书,ssl等,以及其他几个未encryption的网站。 这以前工作正常,但现在(因为我尝试启用suexec后重新启动服务器)我收到上述错误。 如果启用*:443虚拟主机,则apache将不会重新启动,并且不会提供任何服务。 如果我禁用*:443虚拟主机,Apache将不会重新启动,并将不会服务我所托pipe的任何域。 除了suexecconfiguration(通过命令行)之外,唯一让我迷惑的是启用了ssl的域的启用站点的configuration文件,如下所示: <VirtualHost *:80> ServerAdmin [email protected] ServerName mysite.com ServerAlias www.mysite.com DocumentRoot /srv/www/mysite.com/public_html/ ErrorLog /srv/www/mysite.com/logs/error.log CustomLog /srv/www/mysite.com/logs/access.log combined </VirtualHost> […]