我知道在同一个IP上有很多关于多个SSL的post,但我保证我没有打死一匹死马。 我的问题很清楚。 首先,有一点背景… 我们的组织有几个电子商务网站。 所有这些站点都运行在相同的IP上,使用SNI作为基于名称的虚拟主机。 在大多数情况下,这是很好的工作。 但是,在某些浏览器(ie7 / ie8,但仅在某些原因的select机器上),我们得到报告,用户看到域名与SSL证书不匹配。 事实certificate,他们正在按照字母顺序看到第一个SSL主机的SSL证书,因为Apache首先parsingIP地址,然后抓住它认为合适的虚拟主机文件。 我做了一些SSL协议的实验,发现如果我这样设置(ssl.conf): SSLProtocol TLSv1 然后,我只是得到一个没有find任何在IE中的https域。 如果我在ports.conf中设置SSLStrictSNIVHostCheck SSLStrictSNIVHostCheck打开 然后我会得到在有问题的浏览器中被拒绝的权限。 问题很明显,IE不支持或不使用TLSv1协议或SNI,这两者都是需要的。 所以我的问题是… 是否有一个configuration更改,我可以支持IE浏览器,也许根据不同的协议,或者是我唯一的select使用单独的IP为每个虚拟主机需要SSL? 在此先感谢=)
我们正在帮助新客户将他们的网站从以前不可靠的主机迁移到新的主机(基于云)。 他们使用SSL证书(GeoTrust SSL)运行ecom网站。 我们计划移动他们的网站,然后只更新DNS到新的服务器。 这里的问题是,现在的主机没有打球(与我们或客户)。 我们的客户拥有域名,但没有注册SSL证书。 我们无法访问他们当前的服务器。 我们能否获得另一份证书(但保持旧版本的运行)? 这是否因供应商而异?
我需要允许从我的办公室networking和外部的SSL证书没有SSL证书访问我的网站。 这是我的configuration: <Directory /srv/www> AllowOverride All Order deny,allow Deny from all # office network static IP Allow from xxx.xxx.xxx.xxx SSLVerifyClient require SSLOptions +FakeBasicAuth AuthName "My secure area" AuthType Basic AuthUserFile /etc/httpd/ssl/index Require valid-user Satisfy Any </Directory> 当我在networking内部并拥有证书时 – 我可以访问。 当我在networking内部并且没有证书时 – 我无法访问,它需要证书。 当我在外面的networking和证书 – 我无法访问,它显示我的基本login屏幕当我在外面的networking,没有证书 – 我无法访问,它显示我的基本login屏幕 并遵循以下configuration完美工作 <Directory /srv/www> AllowOverride All Order deny,allow Deny […]
我的networking上的服务器使用RapidSSL CA颁发的证书进行签名,但不提供完整的颁发者链(RapidSSL CA的证书由受信任的根授权机构GeoTrust CA颁发)。 当我使用Firefox访问网站时,出现以下错误: The certificate is not trusted because no issuer chain was provided. (Error code: sec_error_unknown_issuer) 但是,如果我使用IE浏览器或Chrome浏览器连接到该网站,它的工作原理,我注意到RapidSSL然后作为中间CA加载。 我不明白如何Chrome / IE(我认为它使用Windows证书存储)知道将RapidSSL添加为中间CA. 我得到预期的行为(根据我),当我使用openssl s_clientdebugging连接。 当只使用GeoTrust作为CA时,我得到以下内容: Verify return code: 21 (unable to verify the first certificate) 仅使用RapidSSL作为CA: Verify return code: 2 (unable to get issuer certificate) 在使用两者时: Verify return code: 0 (ok) 任何人都可以帮助我了解Windows如何知道加载RapidSSL CA作为中间权限?
当我从命令行运行curl curl "https://example.com" 它立即成功,返回请求的结果。 当我运行相同的wget命令 wget https://example.com 它最终超时与“无法build立SSL连接”。 没有任何具体的错误信息。 它连接,但不能做SSL握手。 我尝试了–no-check-certificate但没有任何区别 – 它似乎是超时相关的。 然而: wget http://example.com 工作正常(HTTP与HTTPS)。 这也影响了PHP的“ file() ”方法调用。 我的问题是,什么会导致curl成功检索一个页面(对于我们的域名中的所有网站),而不是wget或php解释器? 这是周末的一个新问题,服务器之前是好的。 (操作系统是Red Hat Enterprise Linux 6.4)
所以我build立了一个nginx服务器并安装了wordpress和SSL。 该网站在http和https上运行良好,但是当我尝试通过nginx的服务器块将httpredirect到https时,http和https都会导致无限的redirect循环。 这是我的服务器块 server { listen 80; return 301 $server_name$request_uri; listen 443 ssl spdy; root /var/www/wordpress; index index.php index.html index.htm; server_name www.example.com; ssl_session_cache shared:SSL:20m; ssl_session_timeout 10m; spdy_headers_comp 6; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_certificate /etc/ssl/certs/www.example.com.certchain.crt; ssl_certificate_key /etc/ssl/private/www.example.com.key; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; add_header Alternate-Protocol 443:npn-spdy/2; proxy_set_header X-Forwarded-Proto https; access_log /var/log/nginx/example.com.access.log; error_log /var/log/nginx/example.com.error.log; error_page 404 /404.html; error_page 500 […]
我正在使用Firefox访问我的网站,并使用免费的StartSSL证书进行安全保护。 我正在发送一个HSTS头(尽pipe现在testing我已经设置为15秒!),我已经启用了OCSP装订。 昨天和今天上午,StartSSL的OCSP响应者已经closures了,每当我试图访问我的网站时,我都(并不奇怪)获取sec_error_ocsp_try_server_later 。 然而,现在,尽我所知,StartSSL已经修复了他们的OCSP应答器,而且我的网站在其他本地计算机(运行Windows)上使用Firefox工作正常,但仍然无法在我的个人计算机(运行Linux)上运行。 如果有人对此有所了解,那就太好了。 我甚至不知道这个问题是在我的Firefox,Linux,还是一些服务器设置错误。 哦,我正在Linux上使用Apache Web服务器来为这个站点服务。 我不妨给你链接 。
一个典型的SSL证书有时也基于域(domain.com)的通用名称(www.domain.com)。 我知道什么是通配符证书(* .domain.com),它会/应该validation该域的所有子域。 如果我想要一个覆盖有SSL证书(mail.domain.com)的单个子域,是唯一的select是通配符证书吗? 或者是否可以使用为该单个子域名颁发的标准SSL证书? 我不是要求最佳实践,也不是为什么一个'只应该使用通配符证书'的原因。 我从技术的angular度要求,可以使用不是通配符的SSL域validation证书来保护单个子域。
我们最近开始使用subjectAltName创build证书,除了使用CN来识别服务器,我注意到浏览器中的CN识别问题 在我们的情况 CN => www.example.com SAN => www.machinename.com 如果我尝试访问使用CN的网站浏览器抱怨证书有错误。 使用SAN工作正常。 我进一步检查了这一点和RFC 6125 ,第6.4.4节规定 – 如上所述,如果所呈现的标识符包括客户端所支持的DNS-ID,SRV-ID,URI-ID或任何特定于应用的标识符types,则客户端不得寻找CN-ID的参考标识符的匹配。 因此,当且仅当所呈现的标识符不包括客户端所支持的DNS-ID,SRV-ID,URI-ID或任何特定于应用的标识符types时,客户端可以作为最后的手段来检查其string表单与主题字段(即CN-ID)的公共名称字段中的标准DNS域名相匹配。 基于此,我得出结论,CN和SAN是 – 不是免费的,因此 CN应始终是SAN中提供的列表的子集 它是否正确? 编辑:我明白,这是浏览器的具体情况,我正在寻找在现代浏览器(IE11,边缘,铬,Firefox等指导。)
我正在尝试为HTTPS网站构build一个Web客户端。 我认为我做的一切都正确,但显然我得到了不同的结果在浏览器比我的履带。 据我所知,无法检查SSL数据包。 但是,我不确定我是否正确,所以我正在寻找validation。 据推测,SSLstream量通过一些SSL特定的库(openssl),并不是每个人都重新发明这个轮子。 无论如何,我可以得到wireshark或其他东西来拦截stream量,所以我可以比较我的客户端和Firefox的标题。