我对这两者的分歧感到困惑。 什么时候使用https://什么时候使用ssl:// ?
我完全失去了,所以我道歉,如果我没有意义。 我需要在EC2中为我们的应用程序服务器创build一个负载平衡器。 我试图通过SSL进行ELB余额stream量(8443)。 但是,它要求我提供SSL证书。 它看起来是要求我的公钥和私钥(pem编码)。 ELB后面的服务器有一个密钥库文件,我们的开发者使用Oracle Java的keytool程序创build了这个文件。 创build的文件是二进制的。 它看起来像ELB期待一个文本,Pem格式的密钥。 为什么ELB要求我input证书? ELB不能将SSLstream量从一端转发到另一端,让服务器处理SSL? 相关的证书/密钥库文件和密钥必须在ELB和服务器上匹配吗? AWS文件表示使用openssl创build私钥和证书。 我可以独立运行openssl为负载平衡器创buildSSL证书,并将密钥库文件保留在服务器上吗? 在此先感谢您的帮助。
在漫长的周末中进行升级是一个明智之举……现在我被困住了。 服务器正在吐出这个错误(loglevel信息):“(70014)find的文件结尾:SSLinputfilter读取失败”当使用Microsoft API从Web服务器检索数据。 如果我使用cURL绑定,一切都很好。 麻烦的是,大多数人都有前者。 有谁知道什么“(70014)文件结尾find:SSLinputfilter读取失败”,以及如何解决它? …快!
我的通配符证书不会被ldap 2.4.23接受。 当我尝试连接时出现以下错误: TLS certificate verification: subject: OID.2.5.29.17=DNS:*.domain.com,CN=*.domain.com,OU=LALALA,O=LALALA SA,L=LALALA,ST=LALALA,C=XX, issuer: [email protected],CN=LALALA Root CA,O=LALALA,L=LALALA,ST=LALALA,C=XX, cipher: AES-256, security level: high, secret key bits: 256, total key bits: 256, cache hits: 0, cache misses: 0, cache not reusable: 0 TLS: hostname (openldap1.domain.com) does not match common name in certificate (*.domain.com). 我的证书是: CN=*.domain.com subjectAltName=DNS:*.domain.com AND subjectAltName=DNS:*.domain.com 我怎样才能让我的证书在LDAP中被接受?
我试图为我的内部服务器之一设置一个SSL代理,使用Squid访问https://www.googleapis.com ,以使该服务器上的Rails应用程序能够通过代理访问googleapis.com 。 我是新手,所以我的方法是使用Squid设置SSL透明代理。 我在Ubuntu 12.04上构buildSquid 3.3 ,生成一对ssl key和crt,并configuration这样的squid: http_port 443 transparent cert=/home/larry/ssl/server.csr key=/home/larry/ssl/server.key 几乎所有其他configuration都是默认的。 持有key / crt的dir的授权是drwxrwxr-x 2 proxy proxy 4096 Oct 17 15:45 ssl 回到我的开发笔记本电脑上,我把<proxy-server-ip> www.googleapis.com放在我的/etc/hosts以便让电话进入我的代理服务器。 但是当我在我的rails应用程序中尝试它时,我得到: SSL_connect returned=1 errno=0 state=SSLv2/v3 read server hello A: unknown protocol 我也尝试用openssl在cli: openssl s_client -state -nbio -connect www.googleapis.com:443 2>&1 | grep "^SSL" SSL_connect:before/connect initialization SSL_connect:SSLv2/v3 write client […]
我试图克隆刚刚完全开源的primefaces库,并遇到了一些麻烦。 试图git clone仓库git clone产生一个SSL错误: wug@wugputer:/src/test$ git clone https://github.com/atom/atom.git Cloning into atom… error: SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed while accessing https://github.com/atom/atom.git/info/refs fatal: HTTP request failed 谷歌search已经表明,这是一个失败的CURL调用,并有一个环境variables,我可以设置获得更多的信息,但没有显示任何特别有用的东西: wug@wugputer:/src/test$ GIT_CURL_VERBOSE=1 git clone https://github.com/atom/atom.git Cloning into atom… * Couldn't find host github.com in the .netrc file; using defaults * […]
由于速度和成本的原因,我公司的网站有一个静态主页。 我们使用S3作为CloudFront的原点。 现在,我们要声明整个域的Strict-Transport-Security,但是S3似乎没有发送任何我们指定的头文件(除了像x-aws–开头的头文件之外)。 CloudFront似乎也没有任何自定义标题选项。 这可能吗?
我试图按照下面的网站获取有关如何为我的Web服务器生成CSR的说明: http://www.entrust.net/knowledge-base/technote.cfm?tn=8649 但是,它只会产生CSR。 私钥在哪里? 有人告诉我,钥匙是在生成CSR的时候产生的。 我正在使用Windows 10.我打算使用node.js Express。 我们可以使用其他工具在Windows 10上生成CSR吗?
上周末,我完成了思科ASA 5512的安装和testing,以取代我们的旧路由器/防火墙。 今天,我一直在摔angular浏览器不一致通过SSL连接通过VPN交换OWA的问题。 有时电脑会启动正常,连接到VPN,并连接到交换OWA就好了,有时他们不会连接。 一旦他们连接或不连接,他们似乎一直工作,直到计算机重新启动。 在ASA上运行数据包捕获似乎表明,当它成功使用之前build立的SSL会话,并且在失败时似乎在会话build立期间,但是我不得不承认我的networking诊断技能并不是完美无缺的。 失败期间的数据包捕获不会显示服务器发出的数据包的任何确认。 但是,服务器正在发送客户端数据包的ACK。 包含成功的连接和失败的连接的简单pcap文件可以在这里find。 我对事业的评估是否准确? 什么可能导致这个问题,并可能是解决问题的进一步步骤的解决scheme? 编辑:第二天更新。 问题出现与MTU大小,VPN和ASA不相关,当需要分片数据但不能传输ICMP不可达分组时。 使用“不分片段”位设置各种大小的ping并在面向端口的Internet上更改为ASA的MTU,我发现了以下内容: 我可以ping通互联网和VPN连接的计算机就可以很好地用小包。 当路由器的面向互联网的端口设置为1500的MTU时,我可以使用高达1472的数据包在互联网上ping计算机,在此之上,我的计算机(也设置为1500的MTU)告诉我必须分组。 这正如我所期望的那样。 当路由器的面向Internet的端口设置为1500的MTU时,我只能ping通连接到VPN的计算机,数据包高达1356,之后数据包超时。 这不是我所期望的。 即使数据包的大小很大,我也应该得到一个ICMP响应,说明数据包被丢弃了,因为它需要被分割,并且DF位被设置。 一旦我把路由器的面向互联网的端口降低到1400的MTU,我就可以用互联网上的电脑ping到1372的数据包,然后数据包超时。 我们再次遇到问题。 我希望只能发送数据包高达1372,但在1373(我们低于我的电脑的MTU,但低于路由器的MTU与28字节的标题)路由器应该送我一个回应说,数据包需要被分割,但是DF位被设置。 当试图通过VPN连接ping计算机时,也会相应地降低到1256,并且没有响应具有更多字节的ping。 当ASA不能转发数据包时,是否应该使用ICMP数据包进行回复? 在设置路由器的过程中是否有一个设置,我意外启动,禁用此function?
我将IIS 8.0中的站点Aconfiguration为具有绑定###。###。###。###:443的SSL证书。 我还将站点Bconfiguration为具有绑定###。###。###。###:443(相同IP但host = sub.domain.com)的不同证书对于站点B绑定,我检查了SNI启用框,所以IIS允许它。 问题是,我发现从启用SNI的浏览器加载站点B为站点A提供证书。我认为这是因为站点A绑定在技术上是满足的,所以IIS停止查看其他绑定来提供请求。 (我注意到, netsh http show sslcert命令似乎显示站点A绑定首先在显示顺序,虽然我不知道如果该顺序是有意义的。) 有没有办法在IIS中更改绑定顺序,以便它首先尝试将请求绑定到“站点B”SNI-host绑定,并且只有在返回到“站点A”非SNI(仅限IP:端口)绑定之后,才会尝试绑定请求。 (对于传统兼容性,我不想在站点A绑定上启用SNI。)