我在AWS上托pipe一个网站,并希望禁用来自TLS 1.2以外的任何密码的stream量。 这在ELB上很容易实现,但是要为那些需要更新浏览器访问网站的用户创build一个自定义的“login页面”。 我发现这篇文章是否有可能显示一个静态页面,如果所有ELB注册的实例closures? 这似乎提供了类似的东西,但不完全相同的function。
好,所以我试图从我们的Nessus扫描中删除一些我的系统从这个中等的漏洞。 微软的Windows远程桌面协议服务器中间人的弱点 我设置了以下GPO设置: 计算机configuration\策略\pipe理模板\ Windows组件\远程桌面服务\远程桌面会话主机\要求使用远程(RDP)连接的特定安全层:SSL(TLS 1.0) 一旦我这样做了,我的Windows 7客户端不再有Nessus问题,但是RDP不再适用于Linux或Windows客户端。 我得到以下错误: 来自客户: Linux的: [ryan@gobo ~]$ rdesktop -0 win7 Autoselected keyboard map en-us ERROR: recv: Connection reset by peer 视窗: "the connection cannot proceed becuase authentication is not enabled 一个服务器系统(运行RDP的Windows 7盒子): Log Name: System Source: TermDD Date: 4/9/2012 4:28:58 PM Event ID: 50 Task Category: None Level: Error […]
我有一个网站,使用https传输一个JavaScript文件到客户端。 该网站是getsimpleapps.com 。 事实certificate,这个文件的加载速度比http(380ms)下的速度慢了52倍(20.08s – 29.08s)。 该网站的主页共享与javacript文件相同的缓慢。 http://getsimpleapps.com https://getsimpleapps.com 我最近已经从dreamhost切换到了linode,并且破解了让SSL在新服务器上工作,直到它成功。 我没有做任何疯狂的configuration。 linode运行Ubuntu 12.04,该站点位于(LAMP)堆栈的顶部。 我对堆栈溢出社区的问题是:如何解决我的服务器上的SSL和HTTPS问题? 我知道堆栈溢出散布着有关HTTPS缓慢的问题,但没有给出真正的解决scheme。 Ubuntu的教程或configuration指南将是理想的。 文件:/etc/apache2/sites-enabled/getsimpleapps.com <VirtualHost *:80> ServerAdmin [email protected] ServerName getsimpleapps.com ServerAlias www.getsimpleapps.com DocumentRoot /srv/sites/getsimpleapps.com/public/ ErrorLog /srv/sites/getsimpleapps.com/logs/error.log CustomLog /srv/sites/getsimpleapps.com/logs/access.log combined </VirtualHost> <VirtualHost 50.116.58.18:443> SSLEngine On #SSLCertificateFile /etc/apache2/ssl/www.getsimpleapps.com.crt #SSLCertificateKeyFile /etc/apache2/ssl/www.getsimpleapps.com.key #SSLCACertificateFile /etc/apache2/ssl/comodo.crt SSLCertificateFile /etc/apache2/ssl/dreamhost/dh.crt SSLCertificateKeyFile /etc/apache2/ssl/dreamhost/dh.key SSLCACertificateFile /etc/apache2/ssl/dreamhost/dh.cer ServerAdmin [email protected] ServerName getsimpleapps.com ServerAlias www.getsimpleapps.com […]
这里有一个情况 – 有一个处理SSL证书的nginx代理,在我们决定添加一个撤销列表pipe理之前,这个代理是安全的。 这是当“ssl_crl”行进场,并拧紧了一切。 server { listen 80; rewrite ^ https://$host$request_uri permanent; } server { listen 443 ssl; server_name example.com; ssl on; ssl_certificate /home/netadmin/keys/tid.crt; ssl_certificate_key /home/netadmin/keys/tid.key; ssl_session_cache shared:SSL:10m; ssl_client_certificate /home/netadmin/keys/personchain.pem; ssl_crl /home/netadmin/keys/personlist.crl; ssl_verify_client on; ssl_verify_depth 2; error_log /var/log/nginx/debug.log debug; location / { proxy_pass http://111.111.111.111:80; } 每当用户尝试使用SSL进行身份validation时,服务器将始终提供“400错误请求”错误。 请注意,完全相似(不同,因为语法)configuration在Apache中完美工作。 现在证书是完美无瑕的,这已经被多次certificate了,例如validation检查 openssl crl -CAfile personchain.pem -inform PEM -in […]
我configuration了一个启用SSL和SSL客户端身份validation的VirtualHost,所有这些都在apache2 2.2.8(ubuntu server 8.04)上。 所有SSL证书(CA,服务器证书,客户端证书,CRL)都是使用openssl命令行生成的。 如果客户端证书无效(不存在,过期或撤销),我想将用户redirect到自定义错误页面。 这是我的虚拟主机的configuration: <VirtualHost *:443> ServerName myserv.example.com DocumentRoot /var/www/myserv/ CustomLog /var/log/apache2/myserv.access.log combined ErrorLog /var/log/apache2/myserv.error.log LogLevel warn SSLEngine on SSLOptions +StdEnvVars +ExportCertData SSLCertificateFile "/etc/apache2/ssl/certs/servcrt.pem" SSLCertificateKeyFile "/etc/apache2/ssl/private/servkey.pem" SSLCACertificateFile "/etc/apache2/ssl/certs/ca.pem" SSLCARevocationPath "/etc/apache2/ssl/crl/" SSLCARevocationFile "/etc/apache2/ssl/crl/crl.pem" <Directory /var/www/myserv/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny Allow from all SSLVerifyClient optional SSLVerifyDepth 1 RewriteEngine on RewriteCond […]
在线的各种文章让我相信,服务器证书的通用名称必须与其有效的根URL完全匹配。 但是,当我查看/ etc / ssl / certs中的一堆文件时,通过命令openssl x509 -inform PEM -in <certfile.pem> -text ,我看到CN值通常是人类可读的描述该网站(例如“Google互联网pipe理局”),而不是一个域名。 实际上,我看不到任何类似于域名或IP地址的文件,无论是在openssl s_client -connect <ip>的输出中。 那么,我对“通用名称”的理解是不正确的? 如何从证书中获取证书的url?
我想弄清楚如何使用关键的扩展集合进行合格的从属 ,但我无法弄清楚如何在MSFT AD CS中做到这一点。 对于给定的证书,我如何确保在颁发的证书上正确设置了名称约束? 编辑 到目前为止完成的工作(请参阅编辑历史了解更多工作): 遵循这些指导,我在这里安装了一个子CA。 名称约束configuration在两个位置之一。 创build新的CA时,可以通过configurationCAPolicy.inf来强制实施名称约束,从而为该CA定义名称约束。 同样,如果您要创build合格的从属CA证书,则可以在Policy.inf文件中定义名称约束。 在这两种情况下,使用以下语法: [NameConstraintsExtension] Include = NameConstraintsPermitted Exclude = NameConstraintsExcluded Critical = TrUe [NameConstraintsPermitted] DNS = "" email="" UPN="" [NameConstraintsExcluded] DNS = .nwtraders.com email = @nwtraders.com UPN = .nwtraders.com UPN = @nwtraders.com URI = ftp://.nwtraders.com DIRECTORYNAME = "DC=NWtraders, DC=com" 我在subCA上的capolicy.inf是这样的 [Version] Signature="$Windows NT$" [PolicyStatementExtension] Policies=LegalPolicy [LegalPolicy] […]
在尝试读取由自身写入的subjectAltName / otherName / UTF8值时,似乎OpenSSL被破坏: 相关的openssl.cnfconfiguration(使用正式但随机的OID): [alt_names] DNS.1 = www.foo.com DNS.2 = www.bar.org IP.1 = 192.168.1.1 IP.2 = 192.168.69.144 email = email@me otherName = 1.3.6.1.4.1.1;UTF8:some other identifier 从此configuration生成的CSR转储的样本: TLS Web Server Authentication X509v3 Subject Alternative Name: DNS:www.foo.com, DNS:www.bar.org, IP Address:192.168.1.1, IP Address:192.168.69.144, email:email@me, othername:<unsupported> Signature Algorithm: sha1WithRSAEncryption 6f:4a:1d:8f:43:7e:4d:d1:0c:7e:05:9d:1f:f0:98:b1:69:cf: 有人可以指出我是否做错了什么? 这使我疯狂。
我的情况是,我们为客户端托pipe多个网站,并且所有客户端站点都只在SSL上运行。 目前,我们为Apache的每个客户端都有一个单独的虚拟主机文件。 除了服务器名称/别名和sslconfiguration部分,每个文件几乎都是相同的。 其余的configuration几乎只是一些反向代理声明,告诉apache终止ssl,然后将stream量传递给后端IIS(.net站点)。 注意:所有网站运行在同一个IP上,因此SNI被使用,似乎运作良好(没有compliants,这是很好的)。 我们拥有的另一个主要function是客户能够login他们的“客户门户”(我们的网站)并生成一个CSR到第三方获得签名并将证书交还给我们。 当他们生成CSR时,我们将私钥保存在服务器上。 问题是: 1)为每个客户端分配一个虚拟主机文件很难维护,因为它们之间的大部分文件是相同的。 (文件描述符限制也成为一个问题) 2)客户可以随时更改他们的ssl。 即他们可能只剩下2个月的证书,因此想login到他们的帐户,并获得新的企业社会责任,并在2个月内更改他们的SSL证书。 问题出现,我需要做一个“重新启动”在Apache重新加载证书。 记住所有的网站运行在同一个networking服务器,所以重新启动会影响到他们。 因此: 1)我正在考虑转移到Apache的“dynamicconfiguration大量虚拟主机”,但是,根据这个网站在这里 ,说明如下: “ 除非所有dynamic托pipe的域名都是通配子域名SSL证书覆盖的子域名,否则服务器上不能使用SSL终止 ” 但是每个站点都是自己的域名,而不仅仅是子域名。 有没有办法在Apache中使用dynamicssl用法来实现这个群集托pipe。 如果没有(我认为是这种情况),我可以把'infront'的Apache终止ssl连接,不需要重新启动? (它需要有一些方法来更改证书,但不会影响运行在同一个IP / Web服务器上的其他站点) 即(HAProxy / Pound /其他??) – > Apache – > IIS
我一直在使用Let's Encrypt在几个月的时间里,而且一直在工作。 我正在通过续订证书,而对于其中一个域,我收到以下错误消息(在challenges[1].error.detail返回的JSON对象中): DNS问题:查询超时查找CAA [somedomain.com] 我试图查找错误,但即使谷歌发现零结果(截至撰写本文)。 对于反对者:是的,这个域(完全如错误信息所示)是有效的,可以远程访问和完全访问。 然而,这里有一个重要的困境(线索),为什么这种情况出现了。 我有这个域的设置,当我第一次尝试更新这个特定的域时, 将所有的stream量redirect到HTTPS 。 看来LE试图通过HTTPS访问服务器,并且失败了。 此后,我更改了服务器设置,以便域不会redirect到用于acme-challenge文件夹的HTTPS。 问题似乎是LE记住前一个请求被redirect了,现在它不想访问HTTP URL。 challenges[1].validationRecord有两个条目,一个在HTTP [0],一个在HTTPS [1],所以很清楚,LE知道服务器也可以在HTTP地址访问。 而且,我可以在challenges[1].validationRecord[0].url给出的URL访问validation检查文件(在有问题的域中),没有任何问题。 我的问题是:如何让LE忘记我试图请求证书,同时让服务器将所有stream量redirect到HTTPS? 因此,我该如何让LE使用HTTP URL呢?