对于作为欧洲电网基础设施(EGI)一部分的项目,我们需要对运行在nginx上的服务进行SSL客户端证书validation。 由于在EGI中允许有多个根CA,我们需要nginx在客户端证书validation期间检查它们。 在nginx的文档中,我只能find参数ssl_client_certificate ,它允许指定一个包含根证书的文件。 有没有一种方法可以在nginx中为客户端证书validation指定多个根CA,或者我必须使用Apache吗?
我已经根据这个教程创build了证书: http://ondrej.wordpress.com/2010/01/24/iis-7-and-client-certificates/ 然后,我根据本教程在IIS主机服务器上导入了“MyPersonalCA.cer”: http://www.networksolutions.com/support/installation-of-an-ssl-on-certificate-microsoft-iis-7-x/ 我不得不通过MMC导入证书,因为IIS给我一个错误: “无法find与此证书文件关联的证书申请。证书申请必须在创build该证书的计算机上完成。” 如上所述,这是一个已知的错误,但我不能通过错误。 我在证书(本地计算机)pipe理单元中导入了证书,并提供了一个友好名称。 这一切看起来不错。 但是当我尝试启用SSL时,我仍然无法在IIS中的网页绑定中select证书。 编辑 好吧,我按照build议去了,并通过CertAuthority颁发.CER文件。 在另一台机器上,我安装了Windows Server和CA. 我在IIS中创build了一个请求,并发布了一个.CER文件。 这个文件我可以正常导入到Windows7的IIS。 但是现在我想创build客户端证书。 证书缺lessPVK文件,我不能创build客户端证书,如第一个链接中所述。 将张贴另一个问题… 系统:Windows7家庭高级版SP1 32位,IIS 7.5 有人能指出我对这个方向的正确吗?
我有一个在英国托pipe的网站,我也有一个在南非的网站托pipe我的公司在线应用程序。 我想为两台服务器实现SSL,因为它需要从不同的地方和不同的人login。 是否有可能在一个域名的公司名称中为公司购买一份 SSL证书,并将其用于两个目的? 企业社会责任会有冲突吗?
我使用SPDY模块编译了源代码Nginx 1.4.3。 但是,当启用SPDY时,似乎打破了我的'变化:接受编码'标题。 我的Nginxconfiguration: ./configure –conf-path=/etc/nginx/nginx.conf –pid-path=/var/run/nginx.pid –error-log-path=/var/log/nginx/error.log –http-proxy-temp-path=/var/cache/nginx/proxy_temp –http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp –http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp –http-scgi-temp-path=/var/cache/nginx/scgi_temp –http-log-path=/var/log/nginx/access.log –with-http_ssl_module –prefix=/usr –add-module=./nginx-sticky-module-1.1 –add-module=./headers-more-nginx-module-0.23 –with-http_spdy_module 我的`nginx.conf'文件: user nginx; worker_processes 1; error_log /var/log/nginx/error.log warn; pid /var/run/nginx.pid; events { worker_connections 1024; } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr – $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log […]
从我的理解DNSSEC允许我创build一个公钥并签署我的DNSlogging。 似乎有多种方法可以获得证书logging(如DANE,请参阅https://wiki.mozilla.org/Security/DNSSEC-TLS-details#Embedding_Certificate_Information_in_DNS ) 我不确定这是如何工作的。 我猜这些步骤。 它是否正确? 创build一个公钥/私钥对 把公钥放到一个DNSlogging(DS我相信) 签署我的DNSlogging 为我的服务器创build一个公钥/私钥 创build一个证书 使用DNS私钥签名证书 把证书放在DNS里!?!?! 把证书放在我的服务器上,并以典型的方式使用它? 我觉得我有什么问题,Mozilla链接提到并不是所有的logging都会被支持,所以现在支持很多(比如firefox,chrome,IOS和android)以及我用什么logging来描述? DANE? CAA?
我有一个远程服务器,我只能通过RDP访问。 它使用来自godaddy的适当的RDP证书,而不是一个自签名的证书。 服务器是2008R2,我相信是设置为需要networking级别authentication的默认设置。 不幸的是,这台服务器上没有任何pipe理function或IPKVM。 由于心跳加速,我吊销了所有的证书并重新发行。 不幸的是,我显然错过了为这个新证书设置RDP。 现在我得到“这个证书已经被撤销,并且不安全”,并且“由于证书错误的严重性,你可能不能继续”。 我知道证书被撤销。 这就是为什么我试图去解决它! 但是,我不能代替证书,直到我可以远程进入。而且我不能远程进入,直到我更换证书。 我唯一的select是在那里开车并从控制台login,还是有办法暂时忽略证书错误?
我们最近获得了一个新的.Care域名,并正在尝试安装SSL证书。 FF和IE对证书非常满意 – 既显示挂锁,Chrome也不显示以下内容: “本网站的身份未经validation,您连接的服务器的身份无法完全validation,您使用的名称仅在您的networking中有效,而外部证书颁发机构无法validation由于某些authentication机构将为这些名称颁发证书,无论如何,都无法确保您连接到预期的网站而不是攻击者。 证书链是有效的,经过一些挖掘,看来这是Chrome解释顶级域名(TLD)的方式,以及任何不被认可的方式,被认为是非唯一的。 我们在安装证书的方式上做错了什么? 这是Chrome中的错误吗? 如果是这样的解决方法?
我已经用OpenSSL创build了一个SSL密钥对。 我将证书签名请求上传到我的SSL证书提供商,并获得了我的证书文件。 我使用certutil将证书和所需的CA证书添加到证书数据库中。 但是,当我尝试提供HTTPS页面时,出现此错误消息:“无法find证书的私钥”。 我有一个.key文件中的私钥,不过似乎certutil没有向密钥库中添encryption钥的选项,尽pipe它可以select生成新的密钥对并将它们放在数据库中。 有没有办法让我的私钥从certutil密钥数据库?
我正在尝试在AWS ELB上设置SSL,但我至今无法弄清楚“证书链”字段中的内容。 我收到以下错误: 无法validation证书链。 证书链必须从立即签名证书开始,然后依次是任何中间人。 无效证书链中的索引是:-1 我有PEM格式的私钥和证书并已上传。 如果我使用这些没有“可选”链,它的工作不受信任。 我一直在四处寻找答案,试图find什么投入到这个领域的答案 , 这个答案build议下载gd_bundle-g2.crt – 我已经做到了这一点,并通过运行openssl x509 -inform PEM -in gd_bundle-g2.crt将其转换成PEM openssl x509 -inform PEM -in gd_bundle-g2.crt但错误仍然存在。 当我从GoDaddy下载我的证书时,我的SSL证书和gdig2.crt以及gd_bundle-g2-g1.crt一起被给了一个ZIP。 我曾尝试过以各种组合方式使用这些文件,而且一个也没有。 什么证书进入证书链,按什么顺序,以什么格式?
我有一个networking服务器使用自签名证书,没有连接到互联网和连接到我的networking服务器也没有连接到互联网,在这样的环境下,我需要购买一个可信任的证书? 在VA扫描中突出显示。 浏览器是否需要互联网连接来validation可信的证书? 假设我已经为我的networking服务器购买了SSL证书。