我们在我们的系统前面有Nginx,我们在后面代理Apache。 我们使用SSL / TLS进行连接。 题: 在性能/ SSL握手方面,Nginx是否是终止SSL / TLS连接的最佳select? 我是否在做所有需要的性能调整? 我还能改善我的代码吗? 这是我的configuration: ssl_certificate /path/ssl.crt; ssl_certificate_key /path/ssl.key; ssl_dhparam /path/dh.pem; ssl_buffer_size 4k; ssl_session_timeout 4h; ssl_session_cache shared:SSL:20m; ssl_session_tickets on; ssl_trusted_certificate /path/trust.crt; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 5s; 我使用Mozilla SSLconfiguration生成器在下面生成我的密码。 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; 密码是为了适应大多数的浏览器。 我也有严格的运输安全设置。 我们的系统使用CloudFront在Amazon AWS上运行。 目前需要大约130秒的SSL实验室才能进行testing。 Pingdom显示一个请求的SSL连接需要至less220ms 。 […]
* TLDR ; 如果你有连接问题,不仅要确保你已经将所需的规则添加到你的防火墙,还要确保( $ iptables -L -v )规则的顺序是正确的! * 现在已经过了几天了,我不知道为什么我的IMAP(993端口)拒绝工作(Dovecot,版本2.2.22)。 连接不成功,出于某种原因,我没有看到。 使用openssl解决连接问题:在端口993上连接不起作用: $ openssl s_client -connect my-domain.com:993 收益: connect: Connection timed out connect:errno=110 但是使用的端口(993)似乎是开放的: $ ufw status 收益: Status: active To Action From — —— —- 22/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere 443/tcp ALLOW Anywhere 25/tcp ALLOW Anywhere 587/tcp ALLOW Anywhere 993/tcp ALLOW Anywhere […]
我遇到了Windows Server 2003上的Redmine Bitnami stack intaller的一个问题。设置我的项目,我试图添加一个远程颠覆回购项目,但它是错误的。 有一点Google使我引起了一些关于Redmine网站的讨论,导致我相信这个问题是由于我正在访问的回购是启用了SSL并且在我能连接之前需要接受证书。 所有的解决scheme都是面向Unix / Linux(也就是简单的su到redmine用户,运行svn命令行工具并接受证书),但是我不能这么做,因为我运行的是Windows。 如何在Windows上存储SYSTEM用户的SVN证书?
我正在尝试启用IIS7中托pipe的WebService的相互身份validation。 我有服务器端证书设置和工作,但无法弄清楚如何获得在IIS7中创build和设置的证书信任列表,以便我可以要求和validation客户端证书。 我所有的客户端证书都是由我自己的根证书签名的,因此我需要创build一个只包含我的根证书的CTL,然后让IISvalidation客户端提供的针对CTL的证书。 谁能阐明如何做到这一点? IIS6有一个用于分配CTL的UI,但在IIS7中我找不到任何类似的东西。 更新:我现在已经成功地在向导模式下使用MakeCTL创build一个友好名称的CTL。 但是,我没有adsutil支持我的IIS7框,所以通过其他post在其他地方我试图使用'netsh http添加sslcert'命令分配CTL到我的网站。 在我可以使用这个命令之前,我必须删除分配给我的站点的现有SSL证书进行服务器authentication。 然后在我的netsh命令中,指定我删除的SSL证书的指纹,加上一个appid,加上'sslctlidentifier = MyCTL sslctlstorename = CA'。 结果命令是: netsh http add sslcert ipport = 10.10.10.10:443 certhash = adfdffa988bb50736b8e58a54c1eac26ed005050 appid = {ffc3e181-e14b-4a21-b022-59fc669b09ff} sslctlidentifier = MyCTL sslctlstorename = CA (IP地址是munged),但我得到这个错误: SSL证书添加失败,错误:1312指定的login会话不存在。 它可能已经被终止了。 我相信这个错误与CTL选项有关,因为如果我删除它,它就可以工作(尽pipe当然没有CTL被分配)。 任何人都可以帮助我采取这最后一步,使这项工作? 更新01-07-2010:我从来没有解决这个与IIS 7.0,并已经迁移到IIS 7.5我们的应用程序,并给予另一个尝试。 根据Taras Chuhay的回复,我在我的testing服务器上安装了IIS6兼容性,并尝试使用adsutil.vbs(也可以在此处find)logging的步骤。 我立即遇到了这个错误: ErrNumber:-2147023584尝试设置属性的错误:SslCtlIdentifier 运行这个命令时: adsutil.vbs设置w3svc / 1 / SslCtlIdentifier MyFriendlyName 然后,我继续尝试下一个adsutil.vbs命令logging,它失败了相同的错误。 […]
我试图从我自己的Java应用程序连接到启用SSL的MySQL服务器。 在mysqld上设置ssl之后,使用“REQUIRE ISSUER和SUBJECT”成功testing了一个帐户,我想在java应用程序中使用该帐户。 我使用keytool生成了一个私钥(对一个名为keystore.jks的文件)和csr,并使用我自己的CA(与mysqld及其证书一样使用)对csr进行了签名。 一旦签署了csr,我已经将CA和客户端证书导入到keystore.jks文件中。 运行应用程序时,无法build立SSL连接。 相关日志: … [Raw read]: length = 5 0000: 16 00 00 02 FF ….. main, handling exception: javax.net.ssl.SSLException: Unsupported record version Unknown-0.0 main, SEND TLSv1 ALERT: fatal, description = unexpected_message Padded plaintext before ENCRYPTION: len = 32 0000: 02 0A BE 0F AD 64 0E 9A 32 3B FE […]
我有一个p7b文件的证书集合,我想根据证书模板自动导入每个证书到正确的存储。 用脚本来做这件事的最好方法是什么? 我尝试使用certutil -addstore root Certificate.p7b ,并将所有根CA正确放置到根存储中,但如果遇到任何其他types的证书,则会返回一个错误。 我愿意使用批处理脚本,VBScript或PowerShell来完成这项任务。 谢谢!
通过puppet发布Apache SSL证书是不是一个好主意? 这样做没有安全感吗? 有没有更好的方式分发SSL证书到大量的服务器?
我想设置nginx反向代理与多个域名和一个IP为他们每个人使用不同的SSL证书。 我运行Ubuntu作为安装在KVM / Qemu虚拟机上的操作系统。 据我了解nginx,它应该能够通过一个IP服务于一个域(和属于它的子域)。 但我不能让它运行… 这是我的nginxconfiguration: 在/ etc / nginx的/启用的站点 – / my_first_domain server { listen xxx84:80; # this is a public ip server_name firstdomain.com; access_log /var/log/nginx/access.log proxy; # I made my own logformat error_log /var/log/nginx/error.log; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Client-IP $remote_addr; proxy_set_header X-Host $host; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $remote_addr; location / { […]
我正在使用Godaddy证书,通常我会连接证书,并成为一个链式证书 cat www.example.com.crt sf_bundle.crt > chained.cert 而在我的nginx.conf中, ssl_certificate chained.cert 在浏览器中,我看到如下链: www.example.com Starfield Secure Certification Authority Starfield Technologies Inc. 这很好,一切正常。 今天,我读了一篇博客文章CloudFlare [1],它说: The lowest hanging fruit in terms of reducing the size of these certificates was to remove the root certificates from the certificate bundle. There's no reason to include these since they should already be […]
我正尝试在以前的证书过期的域上重新安装SSL。 我已经删除了旧的证书,我试图按照以下说明安装我在Web Host Manager中从NameCheap购买的新证书: http ://wiki.spry.com/Installing_an_SSL_Certificate_in_WHM。 我的问题是,当我在步骤9,安装SSL证书我WHM告诉我我的私钥和证书不匹配。 我曾多次尝试用新的私钥重新创buildCSR和证书,所有结果都一样。 我不知道这是否有关,但如果我使用自签名证书WHM生成而不是证书我购买了私钥和证书匹配。 任何想法为什么私钥和证书不匹配?