我正在设置Apache来进行智能卡身份validation。 智能卡login基于由OS驱动程序处理的客户端SSL证书。 我目前只有一个智能卡提供商,但将来有可能有几个。 我不确定Apache 2.2如何。 处理每个位置的客户端authentication。 我做了一些快速testing,似乎只有最后一个SSLCACertificateFile指令是有效的,这听起来不对。 如下所述是否可以在Apache(2.2,2.4)的每个位置具有不同的SSLCACertificateFile,或者SSL协议在某种程度上限制了每个IP不能有多个SSLCACertificateFile? 示例潜在configuration如何在同一台服务器上处理多个SSLCACertificateFile以允许用户使用不同的智能卡提供的login。 <VirtualHost 127.0.0.1:443> # Real men use mod_proxy DocumentRoot "/nowhere" ServerName local-apache ServerAdmin [email protected] SSLEngine on SSLOptions +StdEnvVars +ExportCertData # Server-side HTTPS configuration SSLCertificateFile /etc/apache2/certificate-test/server.crt SSLCertificateKeyFile /etc/apache2/certificate-test/server.key # Normal SSL site traffic does not require verify client SSLVerifyClient none SSLVerifyDepth 999 # Provider 1 <Location /@@smartcard-login> SSLVerifyClient […]
在服务器级别设置Apache的SSLStrictSNIVHostCheck on是一个好主意吗? 将它设置为虚拟主机是否更好? 这个设置有什么优点和缺点?
我不知道到底发生了什么,但我注意到,如果不添加额外的开关,curl就无法获得安全的页面。 ~# curl -v https://api.dreamhost.com * About to connect() to api.dreamhost.com port 443 (#0) * Trying 75.119.208.14… * connected * Connected to api.dreamhost.com (75.119.208.14) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs * SSLv3, TLS handshake, Client hello (1): (hangs for a minute) * Unknown SSL protocol error in […]
我有一个服务器,它有一个自我签名的证书,我试图安全地访问。 我通过查看openssl s_client -connect <ip>的输出获得了证书,并将其复制到testcert.pem,然后我试着使用curl –cacert testcert.pem <url> 。 然而,这并没有工作,我的研究已经导致我相信,问题可能是证书中的行,读取Subject: CN=id23946 。 显然,我需要存储一个别名在我的系统链接id23946到IP地址,但我找不到任何信息如何做到这一点。 那么,我该怎么做呢? 如何使curlvalidation此证书有效? 编辑:我知道,我可以连接到服务器通过添加<ip> id23946到我的主机文件,然后使用id23946作为地址,但我真的希望能够直接连接到服务器的实际地址,而不必修改服务器证书。 有没有办法做到这一点?
另一位开发人员最近在我们的服务器上使用TripWire进行了PCI合规性检查,我们失败的一个testing是“SSL服务器支持TLSv1的弱MACalgorithm”。 TripWire推荐的解决scheme是“使用基于md5的macalgorithm禁用任何密码套件”。 我试图在谷歌寻找一步一步的说明如何做到这一点我们的RedHat味盒,但找不到任何东西。 谁能告诉我如何“禁用任何密码套件使用基于MD5的MACalgorithm”?
我有一个Apache Web服务器,SSL上有一个由信任的官方CA签署的服务器证书。 我可以configurationapache ssl来接受客户端是否具有由签名服务器证书的CA以外的CA签名的有效证书? 我得到一个ssl_error_unknown_ca_alert即使我已经在Apache中configuration了其他CA,并且服务器启动时没有错误。 我创build了一个文件,其中包含签署服务器证书的CA的CA证书以及我想要信任的CA的其他CA证书。 然后我把SSLCertificateChainFile指令指向这个文件。 我使用的是Apache 2.2.22 编辑: 我在用着 指向服务器证书的SSLCertificateFile SSLCertificateKeyFile poiting到服务器密钥 指向签署服务器证书的证书链的SSLCertificateChainFile SSLCACertificateFile指向一个具有所有我想要接受的证书链的文件 SSLVerifyClient require SSLVerifyDepth 1 当我重新启动服务器并且没有错误时,Apache能够在日志中识别它们。 但是,我仍然有一个ssl_error_certificate_unknown_alert错误。 我还通过Meld中的文本比较validation了客户端证书链存在于SSLCACertificateFile中。
我最近在赢得争议解决案之后转移了一个域名。 为域生成一个SSL证书,让我想知道是否有任何过程使这些域名的任何先前生成的证书无效。 这里有一个明显的模仿攻击的机会 – 通过争议解决强行转移域名实际上可能成为这种攻击的动机。 我想对于CA来说,这样做没有太大的动力,但是CA应该至less在明显(例如,可自动检测到)的域名所有权变更的情况下使证书失效,这是不需要的。 还是像这样的事情呢?
我有一个使用Tomcat 7部署的正在运行的YouTrack实例,它在http://example.com:8080/youtrack上正常工作 Apache已经被configuration为支持主域的SSL(我有.pem文件)。 https://example.com和http://example.com都可以正常访问。 端口8443已被其他服务使用( https://example.com:8443显示我Pleskpipe理面板)。 现在我想设置YouTrack使用https://youtrack.example.com 我怎样才能做到这一点? 我是否需要configurationTomcat以支持SSL(生成单独的密钥等),或者只是将来自Apache的请求代理到Tomcat? 我想第一步是将YouTrackconfiguration为https://example.com:8444/youtrack ,然后使用Apache的mod_proxy代理请求。 我怎样才能做到这一点? 我的/var/lib/tomcat7/conf/server.conf是默认的,没有任何改变: http : //pastie.org/9385045 我的/usr/share/tomcat7/bin/setenv.sh包含更改YouTrack默认URL的条目: -Djetbrains.youtrack.baseUrl=http://youtrack.example.com 虚拟主机configuration: $ cat /etc/apache2/sites-enabled/default <VirtualHost *:80> ServerName example.com ServerAlias www.example.com DocumentRoot /var/www/default <Directory /> Options FollowSymLinks AllowOverride All </Directory> <Directory /var/www/default> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory […]
我会尽力解释我的问题。 我正在HaProxy 1.5.8 / apache 2.2上工作,我尝试做一些SSLconfiguration,但是我失败了,失败了,失败了。 我们来看看一些日志: Haproxy日志 Aug 13 17:00:28 localhost haproxy[10930]: xxxx – – [13/Aug/2015:15:00:28 +0000] "URLxxxxx HTTP/1.1" 502 +656 "" "" 50567 131 "FT-https-in~" "BK-https-out" "myserver-https" 13 0 1 -1 +17 PH– 0 0 0 0 0 0 0 "" "" Apache错误日志 [Thu Aug 13 17:02:38 2015] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error […]
我正在configurationHAProxy,以便终止SSL,因此只有一个地方可以configuration购买的SSL证书。 不过,我宁愿与后端服务器的连接也使用SSL进行encryption。 我发现的一个build议是在后端服务器上创build自签名证书,然后在每个服务器行上设置“verify none”。 …因此,从浏览器到HAProxy的连接将使用正式购买的SSL证书,但是HAProxy到后端服务器的连接将使用自签名证书。 自签证书的好处是免费,不需要更新和维护(我可以在将来设置到期,避免每年都要安装新版本)。 然而,可以理解的是,这会打开MITM攻击的后端,而且我读过的一些消息并不build议这样做。 我可以configurationHAProxy,以便我可以在后端服务器上使用自签名证书,但可能会将HAProxy服务器上的自签名证书列入白名单? …所以HAProxy到后台连接将被encryption,它不会受到MITM攻击,HAProxy将知道信任来自后端服务器的自签名证书。 我所描述的是可能的吗? 我是HAProxy SSLterminal新手,所以任何意见是赞赏。 我的configuration的相关部分如下: frontend www-in bind *:80 bind *:443 ssl crt /etc/ssl-keys/my-public-ssl-key.pem no-sslv3 mode http default_backend https-backend # force redirect to https redirect scheme https if !{ ssl_fc } backend https-backend balance leastconn server web1 1.1.1.1:443 check ssl verify none server web2 2.2.2.2:443 check ssl […]