我正在设置HAProxy来在两个Web服务器之间进行负载平衡。 网站上的一些页面需要SSL。 Stunnel正在处理https连接并将它们传递给haproxy(Stunnel包含证书)。 HAProxy将使用http将请求传递给Web服务器。 在内部networking中包含Web服务器和haproxy是否足以符合PCI? 有什么需要注意的吗?
我正在制作一个iPhone应用程序,它将通过HTTPS与我的服务器通信。 编入应用程序(用于访问应用程序特定内容)的重要authentication信息将被发送到服务器。 如果有人在他们的设备上安装了伪造的SSL证书(证书看起来像来自我的网站),并将我的域名指向他们计算机的IP地址,那么他们是否有可能获取身份validation信息和任何其他信息最初是发送到服务器? 谢谢你的帮助。
我有两个域:domain1.com和domain2.com。 我也有两个GoDaddy SSL证书(每个域的一个证书)。 我只有一个IP。 我在工作组中的Windows Server 2008 R2独立服务器上运行IIS 7,而不是域。 我怎样才能将每个证书绑定到适当的域?
我的Web服务器需要与位于防火墙后面的第三方服务器集成。 为了通过防火墙,所有的请求必须来自同一个IP地址,并通过SSLauthentication。 因此,我build立了一台应该作为代理的机器,并通过SSL将所有stream量转发到第三方服务器。 我使用证书和密钥文件设置了代理,并且可以通过CURL成功地请求第三方服务,使用证书和密钥文件。 我在Apache上安装了一个虚拟主机来传递这些请求,但不断收到错误,说明与远程服务器的SSL握手失败。 我在我的apache日志中看到以下错误消息: 代理客户端证书callback:(:443)下游服务器想要客户端证书,但没有configuration[Sun Jul 29 01:40:48 2012] [error](502)未知错误502:proxy:通过请求主体未能<第三方IP >:18443(<第三方url) [Sun Jul 29 01:40:48 2012] [error] [client] proxy:SSL握手过程中出错,远程服务器返回/ 我的apache虚拟主机configuration如下所示: <VirtualHost *:18443> ServerName <Proxy IP> SSLEngine on SSLProxyEngine On SSLCertificateFile /etc/apache2/ssl/my_server.pem SSLCertificateKeyFile /etc/apache2/ssl/my_server.key SSLProxyCACertificatePath /etc/ssl/certs ProxyRequests Off ProxyPreserveHost On <Proxy *> Order deny,allow Allow from all </Proxy> ProxyPass / https://<3rd party server address>:18443 […]
我的公司在AWS上运行的商业Web服务使用通配符SSL证书(适用于* .example.com)。 多个合作伙伴拥有子域名,并且需要SSL( https://partner1.example.com,https : //partner2.example.com等),并且我们为其提供HTML或JSON响应。 我们的生产网站有一个面向networking的ELB,安装了我们的SSL证书。 ELB平衡并终止SSL到我们VPC中的一组生产服务器实例。 我们的networking应用程序知道如何根据子域名提供正确的合作伙伴HTML / JSON。 我想尽可能简单地复制这个testing环境(例如QA,Staging,Demo)。 但是testing和生产环境不能是相同的服务器实例; 我需要知道,如果我搞砸我们的testing环境,我不会杀死生产。 理想情况下,处理生产stream量的相同ELB可能以某种方式将stream量路由到我的testing服务器,也许如果他们使用已知的IP地址或DNS子域名? 我纠正这是不可能的吗? 我想我可以在每个testing环境中设置一个带有SSL证书的ELB,每个“平衡”到一个服务器,但是这看起来过于复杂,我猜也是昂贵的。 所有实例,生产和testing都在我们的VPC中运行。 但是目前只有生产集群在ELB上设置了SSL(终止SSL),并直接将HTTP请求传递给实例本身。 testing服务器接受HTTP。 我设置了公共弹性IP和DNS名称(staging.example.com,qa.example.com,demo.example.com)…但它们不受SSL的保护。 testing服务器实例上几乎没有关键或客户数据,并且它们是安全的,并且正确地进行了修补,因为任何面向Web的服务器应该是(我希望!!)。 不过,我希望SSL不仅可以提高安全性,还可以使我的testing环境尽可能与我的生产环境相匹配。 除了我们的登台服务器之外,其他环境都由Apache命名的虚拟主机configuration中的单个实例(例如,同一台服务器上的demo和qa)支持。 所以,为了testing,很多网站,但只有less数服务器。 有没有办法让我的通配符SSL证书只能安装在我的负载平衡器上(或者可能还有一个),或者是一些其他的configuration,使我能够根据IP检测HTTP请求并将其路由到正确的testing服务器域名(甚至HTTP头)? 我知道这是一个复杂的问题。 我很了解AWS,安全和networking,但我仍然试图找出路由,甚至在VPC环境中的内部DNS,所以可能对我的select一无所知。
我正在尝试使用nginx webserver在CentOS中启用Forward保密function。 我曾经尝试过 我已经阅读了一些教程,似乎我们应该有nginx,openssl最新版本来启用它。 所以我从源码安装了openssl。 sudo wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz sudo tar -xvzf openssl-1.0.1e.tar.gz cd openssl-1.0.1e sudo ./config –prefix=/usr/local sudo make sudo make install 现在OpenSSL支持椭圆曲线密码(ECDHE)。 我也用openssl s_servertesting了这个。 它运作良好。 接下来,我用最新的代码replace了Nginx。 sudo wget http://nginx.org/packages/centos/6/x86_64/RPMS/nginx-1.4.2-1.el6.ngx.x86_64.rpm sudo rpm -e nginx sudo rpm -ivh nginx-1.4.2-1.el6.ngx.x86_64.rpm 并按照此链接中的描述configurationNginx ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA256:EECDH+aRSA+RC4:EDH+aRSA:EECDH:RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS; http://baudehlo.wordpress.com/2013/06/24/setting-up-perfect-forward-secrecy-for-nginx-or-stud/ 但是现在Nginx不支持ECDHE密码。 它支持DHE密码。 我试图通过在Nginx中启用ECDHE密码仍然不起作用。 我正在使用最新的网页浏览器(chrome 29,它支持这个密码) 我错过了什么? 或与CentOS或Nginx有问题? […]
我正在将我的域名从Gandi转移到GoDaddy(不要问),我也有一个Gandi通配符SSL证书。 一旦域名被转移,SSL证书是否继续工作?
我有两个站点在相同的IP与以下configuration: site1.com 多个子域(即:foo.site1.com,bar.site1.com) 一切听着港口80,没有在443 site2WithSSL.com 监听端口80和443(SSL) 我可以访问https://site2WithSSL.com和http://site1.com 没有问题。 当有人想访问https://site1.com时,问题出现了,nginx与site2WithSSL.com的答案我想避免这种情况。 我的意思是,只要有人访问https://site1.com,就不需要返回内容,或者只是redirect到https :// configuration是: server { listen 80; server_name *.site1.com; // … } server { server_name www.site2WithSSL.com; return 301 $scheme://site2WithSSL.com$request_uri; } server { listen 80; listen 443 ssl; server_name site2WithSSL.com; ssl_certificate site2WithSSL.crt; ssl_certificate_key site2WithSSL.key; // … } 解决:每个网站使用不同的IP
我在CentOS上安装了一个apache服务器。 我正在尝试添加SSL。 我能够创build证书和密钥,然后更新/etc/httpd/conf.d/ssl.conf以进行以下configuration: /etc/httpd/conf.d/ssl.conf #Where I put my cert SSLCertificateFile /etc/pki/tls/certs/ca.crt #where I put my key SSLCertificateKeyFile /etc/pki/tls/private/ca.key 然后我更新了/etc/httpd/conf/httpd.conf : /etc/httpd/conf/httpd.conf中 Listen 443 SSLEngine on SSLCertificateFile /etc/pki/tls/certs/ca.crt SSLCertificateKeyFile /etc/pki/tls/private/ca.key 然后我跑service httpd restart ,我得到的错误: Stopping httpd: [OK] Starting httpd: (98)Address already in use: make_sock: could not bind to address [::]:443 [OK] 我需要做什么来启用SSL?
https://www.ssllabs.com/ssltest/analyze.html?d=cablework.co 我不明白为什么一直说“C”。 我禁用了SSLv3。 这是我的configuration文件 server { listen 80; listen 443 ssl spdy; server_name cablework.co; ssl_certificate /etc/nginx/ssl/cablework.co.pem; ssl_certificate_key /etc/nginx/ssl/server.key; return 301 https://www.cablework.co$request_uri; } server { listen 443 ssl spdy; ssl_certificate /etc/nginx/ssl/cablework.co.pem; ssl_certificate_key /etc/nginx/ssl/server.key; ssl_ciphers 'AES256+EECDH:AES256+EDH'; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_session_cache shared:SSL:10m; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.4.4 8.8.4.4 valid=300s; resolver_timeout 10s; ssl_prefer_server_ciphers on; ssl_dhparam /etc/nginx/ssl/dhparam.pem; charset […]