服务器 Gind.cn

Articles of ssl

Nginx + SSL服务器没有响应

我正在将一些站点从Apache迁移到Nginx,并尝试将其中一个configuration为应答SSL请求。 目前我得到一个服务器没有响应的错误。 如果我切换到80端口,我得到一个nginx错误(不担心错误本身,因为nginx至less服务)。 对于这个网站,我希望它只回答ssl请求。 这是服务器块的样子: server { listen 443; server_name dev.project.mydomain.net; root /opt/dev/project-root; index index.php; ssl on; ssl_certificate /etc/ssl/certs/mycert.crt; ssl_certificate_key /etc/ssl/certs/mycert.pem; access_log /var/log/nginx/vh.dev-project.access.log; error_log /var/log/nginx/vh.dev-project.error.log; location /aliasing/ { alias /opt/dev/project-root/aliased; } # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000 # location ~ \.php$ { fastcgi_split_path_info ^(.+\.php)(/.+)$; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; include fastcgi_params; […]

Windows PKI与脱机根(可能与OpenSSL) – 可能吗?

我试图build立一个双层的PKI,我有很多问题。 由于存在AD的逻辑删除限制,我假设根(它将脱机)不应该是AD的一部分。 我对么? 我正在考虑的设置是一个根CA和多个中间体(用于不同的目的)。 所以,root可能是一个独立的windows标准或Linux + OpenSSL(不知道这是否可行/可取)。 其中一个中间CA是AD的一部分(自动注册等)。 所以,我的问题是: 根可以独立(不是AD的一部分)吗? 这是否会导致证书链或任何问题? 根可以是Linux + OpenSSL吗? 这会难以pipe理吗? 或者是否有对墓碑限制的解决方法? 谢谢。 请参阅: http : //blogs.technet.com/b/askds/archive/2009/10/13/designing-and-implementing-a-pki-part-ii.aspx[1]和http:// pki-tutorial .readthedocs.org / en / latest / advanced / index.html [2]供参考。

Nginx,安装https

我试图在我的ubuntu服务器上用NGINX ver 1.4.7和Phusion Passenger 4.0.41来设置https。 我使用这两个命令创build了.key和.csr sudo openssl genrsa -des3 -out server.key 2048 sudo openssl req -new -key server.key -out server.csr 并发送.csr到sslshopper.com家伙 有3个文件: Root CA Certificate – AddTrustExternalCARoot.crt Intermediate CA Certificate – USERTrustSecureServerCA.crt Your COMODO SSL Certificate – subdomain_domain_com.crt 这就是我的nginx.conf现在的样子 http { passenger_root /usr/local/rvm/gems/ruby-2.1.1/gems/passenger-4.0.41; passenger_ruby /usr/local/rvm/gems/ruby-2.1.1/wrappers/ruby; server_names_hash_bucket_size 64; include mime.types; default_type application/octet-stream; #access_log logs/access.log main; […]

密码string语法在nginx中

在一个nginxconfiguration文件中,你可以像这样configuration一个SSL密码列表 ssl_ciphers HIGH:!aNULL:!eNULL:!LOW:!ADH:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS; 这个密码string的语法是什么? 也就是说,我知道(或者认为我知道,纠正我,如果我错了),这个string是为了提供一个可能的SSL密码列表,并为他们提供一个优先级。 文档不太好解释这个string的格式。 具体的问题 是! 否定? 也就是说, !DSS意味着不使用DSS吗? 或者是!DSS与密码相同? 是:字符分隔符? 那就是高于一列密码“HIGH,!aNULL,!eNULL等等”,或者是:意思是别的 高和LOW与密码相同,或者是某种特殊的元指令 没有上图,但我已经看到这样的stringAES256-GCM-SHA384:ECDHE-RSA-RC4-SHA: 密码名称是-字符的一部分吗?还是它们有特殊的含义? 有没有解释这个string是如何工作的资源,或者这是一个人们希望使用这个string的情况,也需要读取nginx源文件来弄清楚它是如何工作的?

当邮件客户端连接到后缀时SSL_accept错误

我设法在我的服务器上设置了自签名证书的postfix和dovecot 。 我可以在那里使用telnet命令发送和接收电子邮件。 现在我想从我的笔记本电脑上的Thunderbird客户端连接到我的邮件服务器,但是失败了,这里是/var/log/mail.log的输出: postfix/submission/smtpd[11560]: connect from unknown[95.134.50.75] postfix/submission/smtpd[11439]: SSL_accept error from unknown[95.134.50.75]: lost connection postfix/submission/smtpd[11439]: lost connection after CONNECT from unknown[95.134.50.75] 以下是我在安装程序中更改的/etc/postfix/master.cf的一部分: # ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================== smtp inet n – – – – smtpd smtps inet n […]

我可以将TLSv1.0用于一个客户端IP,其他人可以使用TLS v1.2

像这样的东西? # TLS v1.0+ for one IP <VirtualHost _default_:443> Order deny,allow // <————- HERE Deny from all // <————- HERE Allow from 10.20.30.40 // <————- HERE SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK SSLHonorCipherOrder on SSLCompression off … </VirtualHost> # TLS v1.2 for everyone else <VirtualHost _default_:443> Order allow,deny // <————- HERE Deny from 10.20.30.40 // […]

谷歌浏览器说我的SSL使用过时的安全设置,但其他网站testing不同意

我在CentOS 6.5上运行Linux Apache的Web服务器上安装了StartSSL。 shaaaaaaaaaaaaa.com说 尼斯。 example.com有一个用SHA-2签名的可validation的证书链。 不过Debian 7.8上的Google Chrome表示 连接使用AES_128_CBCencryption,SHA1用于validation,ECDHE_RSA用作密钥交换机制。 在Debian中,我做了 mkdir ~/StartComCerts mv /etc/ssl/certs/StartCom* ~/StartComCerts 问题就消失了。 但是,期望客户对其电脑进行更改并不是一个可行的解决scheme。 所以我从ssls.com购买了GeoTrust QuickSSL Premium证书。 然后我去了https://knowledge.geotrust.com/support/knowledge-base ,它说“证书安装正确”。 但是,当我使用Debian 7.8上的Chrome浏览器访问我的网站时,我收到以下消息: 此站点使用弱安全configuration(SHA-1签名),因此您的连接可能不是私有的。 和 该网站正在使用过时的安全设置,可能会阻止未来版本的Chrome能够安全地访问它。 我在www.ssllabs.com/ssltest/analyze.html上testing了我的网站。 它用A评价我的网站,并说我的签名algorithm是SHA256withRSA。 我去了shaaaaaaaaaaaaa.com说 尼斯。 example.com有一个用SHA-2签名的可validation的证书链。 我去了whynopadlock.com,一切正面检查。 我还使用另一台运行Windows 7的计算机上的Chrome进行了testing,并获得了一个没有错误消息的绿色挂锁。 我不知道为什么我在Debian的Chrome上得到SHA-1错误。 编辑 – 2015-06-15 我在某些Windows系统上也有一个Sha-1的问题。 以下是我的家用Windows系统上的Google Chrome屏幕截图(左)和我的工作Windows系统(右图)。 它似乎在不同的系统上使用Sha-1caching的证书。 我按照GeoTrust的指示设置了中间证书。 编辑: 我有一个家庭企业,这是我的网站的目的。

将crt证书转换为pem时出错

我使用easyRSA生成一个CA证书 ,我打算使用FreeRadius来使用starttls,现在我发现FreeRadius使用pem格式来证书,但是在我的情况下证书是二进制格式,因此我尝试使用下面的命令把我的证书从crt转换成pem格式 : root@s1:/etc/freeradius/certs/easy-rsa/keys# openssl x509 -inform DER -in server.crt -out server.pem -text unable to load certificate 3074016960:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1197: 3074016960:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:374:Type=X509 第二个: root@s1:/etc/freeradius/certs/easy-rsa/keys# openssl x509 -in server.crt -inform DER -out server.pem -outform PEM unable to load certificate 3073529536:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1197: 3073529536:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:374:Type=X509 但是,正如我所看到的,总是出现一个错误,我不知道为什么。 这里是我的server.crt文件: Certificate: Data: […]

在IIS中访问一个ASP.NET应用程序的多个SSL证书

1 嗨, 我有一个ASP.NET应用程序,目前可以通过一个单一的域名与一个SSL证书进行访问。 我们希望能够通过第二个域名访问同一个应用程序。 非SSL部分很简单,只需为IIS中的网站设置第二个主机头值即可。 我们知道我们需要第二个域的第二个SSL证书,当然第二个IP地址需要并行运行这两个证书 – 这两个都不是问题。 问题是,IIS似乎并没有让你build立一个拥有两个SSL证书的网站 – 看起来你可以将一个网站绑定到两个SSL条目,每个条目都有自己的IP,但只能使用相同的证书。 我们宁愿没有在IIS中的第二个网站条目,因为这意味着运行的ASP.NET应用程序的完整的第二个副本 – 即两倍的内存使用情况。 这两个域基本上是国家特定的变体,所以我们不能使用通用域名的子域通配符证书。 有没有办法做到这一点? IIS可以configuration为提供两个SSL证书closures一个网站条目(当然基于IP地址)? 或者是最好的方法来实现这个在IIS中设置第二个网站,将代理反向到“真实”网站?

如何使用IIS将https://domain.comredirect到https://www.domain.com?

我有一个301redirecthttp://domain.com到http://www.domain.com ( http://www.domain.com $ S $ Q),但如果我浏览到http s :// domain.com我得到一个SSL错误(因为它期望www.domain.com)。 在浏览器抛出一个证书错误之前,有没有办法使它redirect?
Intereting Posts
.htaccess代码来阻止包含Windows 2001-2009名称的UserAgent 如何将邮件别名移动到其他域 麻烦在安装mod_ssl 带有WebDAV的IIS8.5只能提供只读文件 戴尔Equalogic SAN-4000系列到6000系列连接问题 如何将交换机连接到无线networking? IIS工作进程的虚拟内存使用是否可以超过专用内存限制? 提供正在写入的文件的最佳方式是什么? 如何查看在Apache / Ubuntu的tcp连接错误 “在cron作业上寻找匹配的”`“时意外的EOF 在Rhel6.6中出现错误的实用程序出口崩溃 通过串行连接协同? Windows Server如何优化与Windows桌面不同? 解释Apache的状态 System Center Essentials 2010可以监控域和非域Windows Server吗?