这是我的情况:有一些开发人员都需要有权访问从远程来源安装ruby和python蛋。 目前,我们的防火墙内有一台服务器,用于承载gem和鸡蛋。 我们现在希望能够在我们的防火墙之外安装托pipe在该服务器上的东西。 由于我们所拥有的一些gem和鸡蛋是专有的,我希望稍微locking一下机器的访问权限,尽可能地向开发者隐瞒。 我的第一个想法是使用类似ssh键的东西。 所以,我花了一些时间来看SSL的相互authentication。 我能够使所有设置正常工作,用curl进行testing,但不幸的是我必须传递额外的参数来curl,以便知道证书,密钥和证书的权限。 我想知道是否有类似ssh代理的东西可以自动提供这些信息,以便我可以将证书和密钥推送给开发人员的机器,这样开发人员无需每次都login或提供密钥尝试安装一些东西。 另一件我想避免的是,当他们进行http连接时,必须修改'gem'命令和'pip'命令来提供密钥。 任何其他可能解决此问题的build议(不涉及ssl相互身份validation)也是受欢迎的。 编辑:我一直在继续研究这个,我遇到了stunnel 。 我认为这可能是我正在寻找的,任何关于stunnel的反馈也将是伟大的!
如何将Apache服务器的SSL证书传输到NGINX服务器? 任何帮助深表感谢。
我已经购买了两个PositiveSSL证书(单独),一个用于manager.domain.com,另一个用于domain.com。 最初我只需要使用SSL的manager.domain.com,但比我需要在domain.com上使用SSL。 一切工作正常与domain.manager.com的一个SSL证书,但是当我将第二个证书数据添加到.pem文件,domain.com尝试使用domain.com的证书进行validation,并且它不起作用。 我怎样才能有两个ssl证书使用同样的stunnel instanse? 我有趣的nginx和清漆,如果这是有用的。 这里是stunnelconfiguration文件和我的pem文件的格式。 注意 – 这对于domain.manager.com(这是第一个证书)可以正常工作。 cert = /etc/ssl/all.pem debug = 5 output = /var/log/stunnel4/stunnel.log [https] accept = 443 connect = 80 和all.pem的格式。 第一个证书是为manager.domain.com(其工作),第二个为domain.com,这是行不通的。 (私人密钥是用manager.domain.com生成的): —–BEGIN PRIVATE KEY—– MIIEvwIBADANBgkahkiG9w0BAQEFAASCBKkwggSl444AAoIBAQDz/pbylQ5Ci6ji END PRIVATE KEY—– —–BEGIN CERTIFICATE—– MIIFCjCCA/gdfwIBAgIRAL9QPhnM0h2smePkZ8ToSBMwDdfgKoZIhvcNAQEFBQAw —–END CERTIFICATE—– —–BEGIN CERTIFICATE—– MIIFCjCCA/gdfwIBAgIRAL9QPhnM0h2smePkZ8ToSBMwDdfgKoZIhvcNAQEFBQAw —–END CERTIFICATE—– 我也尝试分离证书,并把它们放入CApath CApath = /etc/stunnel/certs/ debug = 5 output = […]
我正在购买通配符SSL证书。 我以84美元/年的价格从经销商那里find了下面这个: http://www.namecheap.com/ssl-certificates/comodo/positivessl-wildcard-certificate.aspx 出于好奇,我直接去了Comodo,看看直接从他们那里花了多less钱。 http://ssl.comodo.com/wildcard-ssl-certificates.php 他们的网站说:“起价为334美元”。 为什么这个巨大的差异呢,如果第一个也是Comodo的(据说)呢? 我错过了什么吗?
我只是HTTPS站点上许多SSL / TLS协议用户之一。 出于安全考虑,我希望将TLS协商限制为使用AES密码的TLS1.1。 SSLLabs和OWASP提供了原因。 但我知道,旧的浏览器(WinXP等IE浏览器)将在这种情况下连接到我的网站(谈判将失败,因此没有网站将显示)的问题。 我的问题是,我宁愿为我的访问者提供一个关于更新浏览器的回退页面(在不安全的线路上),而不是把它们留在关于发生什么事情的空白处(并且在帮助台上获取关于此的大量调用)。 当然,这个选项可以启用旧的协议和密码,然后把它们放到一些像下面的链接那样的检疫站点。 然而,这种感觉就像是一种解决方法,为此需要大量额外的工作设备。 https://devcentral.f5.com/questions/how-do-i-restrict-tls-negotiation-to-minimum-tls-v12 我的问题是: 有没有另外一种方法,我不知道在协商失败的情况下将浏览器发送到“回退”页面? 如果没有的话,是否可以在TLS协议版本1.3中join一些东西来解决这个问题? 比如为应用层打开的“回退”解密字段,通过某种方式告知浏览器,如果握手不可能,浏览器就知道应该回退到其他资源。 (也许更多的是IETF的问题,但是因为他们也读这个论坛,所以我只是在这里问:))。
我们有一个运行MS SQL Server 2012的应用程序。对于一个特定的用例,我们希望SSL保护jdbc连接。 我检查了以下链接: 如何使用Microsoftpipe理控制台为SQL Server实例启用SSLencryption 使用SSLencryption连接 启用到数据库引擎的encryption连接 有两件事我觉得很困惑: SSL连接使用端口1433,就像通常的纯文本连接一样。 没有额外的端口用于安全连接(例如普通LDAP为389,LDAPS为636)? 第三个链接说:“configuration服务器接受encryption连接”我需要设置“ForceEncryption”设置为TRUE。 这使我想到了最后一个问题:是否可以同时使用安全和不安全的连接? 或者所有的jdbc客户端在configuration完成后都必须使用SSL? 非常感谢凯
我正尝试启用HTTPS连接到通过Amazon EC2实例上的IIS托pipe的网站。 该实例正在运行Windows Server 2012.我没有通配符证书。 EC2实例在VPC下运行 – 它有一个VPC ID。 当通过AWS控制台查看实例时,我看到一个公共IP显示,但是我没有看到公共DNSlogging。 但是,如果我tracert到公共IP,我看到以下的DNS: ec2-xx-xxx-xx-xxx.compute-1.amazonaws.com 我不确定这个DNSlogging是否是静态的。 当通过IIS生成CRS时,我需要为证书提供一个“通用名称”。 我相信这应该是上面提到的DNSlogging。 我的问题: 我是否应该使用上述amazonaws子域作为我的SSL证书的公用名称? 如果是的话,是否可以安全地假设从我的公共IP获得的上述DNS名称不会改变我? 如果公共IP地址发生变化,那么我也会假设DNS发生变化,这将使我的SSL证书无效。 如果其中一个答案是否定的,那么为EC2实例创build一个有效的通用名称的正确步骤是什么?
由于POODLE,我希望放弃对SSLv3的所有支持,但发现仍然有一些人来自旧版浏览器,喜欢Windows XP上的IE浏览器。 如何从nginx中检测这些仅限SSLv3的用户,并将其redirect到一些帮助页面,并提供进一步的说明? 我绝对不需要解决方法来让这些用户使用不安全的浏览器。 如果我可以对所有非SNI浏览器做同样的事情,我会特别高兴的是:SSLv3不带有SNI,所以如果我可以redirect非SNI浏览器,它也将解决SSLv3问题。
纠正我,如果我错了,但BEAST是因为CBC在TLSv1.0,对不对? 所以要消除BEAST的威胁,所有SSLv3或更低版本的CBC密码套件都必须禁用,对吧? 让我们跳到现实世界的例子。 查看我的testing域的Qualys SSLtesting 。 你会看到我已经禁用了SSLv3(当然还有更低的协议)。 为了维护一些不支持TLSv1.1的老客户端,同时保持这些客户端的完善前向保密,我必须使用SSLv3或TLSv1.0附带的一些CBC密码套件。 以下是我必须维护的一些客户样本(链接到Qualys SSL Client Info站点)。 Java 7 OpenSSL 0.9 (由于某些路由器) IE 8 / XP (IE 6 / XP支持被丢弃) Android 2.3 这是我的OpenSSL 1.0.1e密码套件configuration: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA 有没有人看到解决scheme来修复BEAST并维护客户端/ PFS? 我只看到最大。 TLSv1.0和CBC仅在客户端的密码套件。 赶上迈克尔汉普顿:是的, RC4不是一个解决scheme 。 我忘了提到这一点。
问题: 如何在Azure网站中正确安装和configurationHTTP Strict Transport Security(HSTS)? 显然,IIS的使用方法是安装这个模块: http : //hstsiis.codeplex.com/ 问题是,根据文档,您需要在不同的地方安装几个.dll(HSTS-IIS-Module-2.0.0.msi)。 不幸的是,在Azure网站环境中似乎不可能(如何在Azure网站中安装IIS模块?)? 使用虚拟机可能会工作,但我的问题针对一个常规的Azure网站/ Web应用程序(ASP.NET MVC 5应用程序)。