我遇到了一个testing英镑强化SSLconfiguration的问题。 其中一个要求是包含AES [128 | 256] -SHA256密码,以及优先级的严格sorting。 我已经在CentOS 6上安装了OpenSSL 1.0.1c-fips (通过IUS仓库),并且重新安装了它(还有一个修补程序 )。 我的英镑密码configuration包含六个密码,并读取: Ciphers "RC4-SHA:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA" SSLHonorCipherOrder 1 在我的本地机器( 运行OpenSSL 1.0.1的Ubuntu 12.04 )上,我有一个脚本 ,用于testing本地支持的所有密码,并报告结果。 缩写输出是: ~$ ciphertest.sh xxxx:443 | grep YES Testing AES256-SHA…YES Testing DES-CBC3-SHA…YES Testing AES128-SHA…YES Testing RC4-SHA…YES 您可以看到SHA256密码不能正常工作。 但是我可以确认我的本地OpenSSL确实有AES256-SHA256支持: ~$ openssl ciphers -v | grep ^AES256-SHA256 AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256 我认为这是一个configuration问题,直到我跑了一个ssllabs.comtesting,它报告所有6密码罚款: 所以任何人都可以解释为什么我的openssltesting无法使用SHA256密码连接?
我希望能够自动检测Windows域的域控制器的LDAP服务器。 另外我想用SSL连接到LDAP服务器。 据我所知,您可以通过从DNS获取名称为_ldap._tcp.dc._msdcs.<domain>的SRVlogging来查找域控制器,并获得在域控制器上运行的所有LDAP服务器的列表。 这些logging是由域控制器上的Netlogon服务在Active Directory的DNS服务中创build的。 此外,当服务器的证书存储区中存在服务器身份validation证书时,域控制器的LDAP服务会自动支持通过LDAPS(LDAP over SSL)的连接。 但不幸的是,似乎Netlogon服务不会像_ldaps._tcp.dc._msdcs.<domain>一样为LDAPS服务创buildSRVlogging。 我想知道是否可以告诉服务自动创build这些logging,或者我必须在Active Directory中手动添加logging?
我正在尝试清除连接到基于SSL的CAS服务器时用于Outlook 的正常TLS会话 (不涉及客户端证书)的SSL状态数据 。 如何清除SChannel的SSL状态? 以下命令是否完全清除该状态? certutil -setreg chain\ChainCacheResyncFiletime @now
在使用Heartbleed修复程序升级到最新的OpenSSL后,我在两个使用内核3.2.0-54 Ubuntu 12.04实例中遇到了这个问题。 现在,通过HTTPS连接到某些未曾超时的服务器。 特别是,我有问题连接到Rackspace云文件和Rubygems。 OpenSSL版本是OpenSSL 1.0.1 14 Mar 2012, built on: Mon Apr 7 20:33:29 UTC 2014 。 我想我有最新的电子证书包,运行update-ca-certificates既不增加也不删除任何证书。 这是从curl尝试rubygems.org的详细输出。 从同一networking上尚未升级到最新的OpenSSL的服务器以及从我的OS X笔记本电脑运行时,此查询成功返回: >> curl https://rubygems.org/api/v1/versions/rubygems-update.json –verbose –trace-time 16:16:18.985045 * About to connect() to rubygems.org port 443 (#0) 16:16:18.985181 * Trying 54.245.255.174… connected 16:16:19.049839 * successfully set certificate verify locations: 16:16:19.049881 * CAfile: none CApath: […]
我试图使用puppetdb,但我遇到了一些问题。 我有一个名为puppet的节点。 这是主人,以及我已经安装了puppetdb。 这也是木偶pipe理的一个节点。 当我在傀儡节点上运行puppet -t时,我得到: Warning: Unable to fetch my node definition, but the agent run will continue: Warning: Error 400 on SERVER: Could not retrieve facts for puppet.example.com: Failed to submit 'replace facts' command for puppet.example.com to PuppetDB at puppet:8081: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed: [unable to […]
我正在切换到100%https的进程。 服务器正在运行nginx + libressl。 在去https:100%之前,我很想看看哪些客户端将不能连接到我的网站。 例如,因为我不支持SSL3。 我检查了nginx错误和访问日志,但没有包含有价值的信息,如果我尝试连接SSL3。 我期望看到:例如: Client [IP]: Connection failed due to protocol/cipher mismatch. 然后,我可以grep的访问/错误日志,看看有多less客户端不能再访问我的网站。 这可能吗? 目前的nginx.conf : user www-data www-data; pid /run/nginx.pid; worker_processes auto; worker_rlimit_nofile 100000; error_log /var/log/nginx/error.log; events { worker_connections 2048; use epoll; multi_accept on; } http { server_tokens off; autoindex off; charset UTF-8; include mime.types; default_type application/octet-stream; log_format main '$host […]
我正在使用下面的configuration为两台Tomcat服务器执行负载平衡。 我configurationHAProxy来执行SSL / TLS桥接/重新encryption。 #————————————————- ——————– #可能的web应用程序的configuration示例。 看到了 #在线完整configuration选项。 # #http://haproxy.1wt.eu/download/1.4/doc/configuration.txt # #————————————————- ——————– #————————————————- ——————– # 全局设置 #————————————————- ——————– 全球 #将这些消息放在/var/log/haproxy.log中 # 需要: # #1)configurationsyslog接受networking日志事件。 这个做完了 #join'-r'选项到SYSLOGD_OPTIONS中 #/ etc / sysconfig / syslog # #2)configurationlocal2事件去到/var/log/haproxy.log #文件。 可以添加如下所示的行 #/ etc / sysconfig / syslog # #local2。* /var/log/haproxy.log # 日志127.0.0.1 local2debugging chroot / var / lib […]
我目前在Windows Server 2012 R2上遇到问题。 事件日志是源“Schannel”的错误。 错误描述是: “致命的警报被生成并发送到远程端点,这可能导致连接终止,TLS协议定义的致命错误代码是40,Windows SChannel错误状态是1205。 我查看了通过Googlesearchfind的文章,指出这是SHA512支持的问题。 令我困惑的是,这个错误是随机发生的,并导致运行在服务器上的.NET网站由于无法使用SSL TLS 1.2连接到外部Web服务而失败。 网站和外部networking服务的通信运行良好数周,然后突然出现这个错误,网站无法连接到Web服务。 .NET中的错误日志(如果有帮助的话)是“System.Security.Cryptography.CryptographicException:Object只包含密钥对的公有一半,还必须提供私钥”。 没有做任何事情,问题在5-10分钟后消失。 有没有人有任何关于如何debugging这个问题的build议?
我有兴趣确定SonicWALL安全设备上的CPU使用率是否很高,但是我不知道哪个进程需要检查高CPU使用率。 在用户界面中有很多选项,比如: 入侵防御 网关防病毒 网关反间谍软件 应用防火墙 内容filter 但是我不知道哪个可执行文件能够确定它们中的哪一个正在吃掉机器上的所有CPU。 我会尝试通过SSH进入,并运行top 。 有谁知道哪些可执行文件会运行上述的客户端SSL进程?
我把我的ELBconfiguration成能够通过将我的证书放入ELB本身来服务ssl页面。 说ELB服务www.example.com的请求。 同时,我需要在ELB 之外使用ssl,并直接从服务器提供一些内容,而不经过ELB。 在这种情况下,请求将发送到web.example.com。 我怎么能做到这一点,并确保如果SSL服务的ELB从服务器卸载? 考虑到我的networking服务器是nginx。 谢谢,C