我使用Squid和用户必须进行身份validation。 用户正在以明文进行身份validation。 我find关于stunnel的教程,但客户端也需要这个软件。 有没有可能为用户authenticationSSL(或其他一些encryption技术)可以使用? 谢谢。
我目前正在使用nagios进行监控,包括使用check_http选项来检查即将到期的SSL证书等。我想要做的是包括对我监控的每个站点的撤销证书进行testing。 听起来很简单,对吧? 好: check_http似乎没有检查撤销的证书。 至less在最近发生的时候没有发出哔哔声,这会导致一些混乱 Openssl的verify有-crl_check和-crl_check_all ,这将是伟大的,但我关心OSCP比CRL更多(因为这是浏览器将关心) Openssl有一个oscp模式,但是看起来我需要做很多工作才能把证书放在正确的位置,找出OSCP服务器的位置等等。 我发现了一些关于编写代码来执行OSCP检查的文章,但是必须有一个很好的程序来完成这个工作,对吗? 我想要的是一个Nagios检查,或者我可以使用的一个。 在我完美的世界里,看起来像这样: check_http_with_oscp -I (IP) -H (hostname) -p 443 任何人?
有什么我不明白的 可能我对HTTPS的工作原理有一些误解。 我听说有些无线路由器允许用户使用HTTPS访问pipe理页面(这是一个好主意,因为那样你就可以通过无线方式安全地进行configuration)。完成此操作后,如何build立路由器的身份? 我的意思是,据我所知,正常的安全网站(如https://www.paypal.com/ )有一个秘密的私钥,所以当客户的计算机看到相应的公钥时,他可以确定他真的在与贝宝。 (我刚刚到这里吗?) 但路由器如何存储私钥? 我的意思是,黑客硬件黑客不是可以实际打开它,获得私钥,然后做一个中间人攻击? (在这种情况下可能不是一个实际的攻击,我知道。)
我用ssl设置了nginx。 一切工作都完美无缺,在线工具使域名得分高。 现在我想知道一个特定的nginxconfiguration选项; ssl_dhparam 。 我应该生成并设置这些参数吗? 它对ssl的安全性或计算量有没有影响?
我最近设置了一个基于Node.js的web套接字服务器,经过testing,它可以在一个小的EC2实例(m1.small)上每秒处理大约2000个新的连接请求。 考虑到m1.small实例的成本以及将多个实例放在支持WebSocket的代理服务器(如HAProxy)后面的能力,我们对结果非常满意。 但是,我们意识到我们还没有使用SSL进行任何testing,因此查看了许多SSL选项。 很明显,在代理服务器上终止SSL连接是理想的,因为代理服务器可以检查stream量并插入诸如X-Forward-For之类的头部,以便服务器知道请求来自哪个IP。 我看了一下Pound,stunnel和stud的SSLterminal解决scheme,所有这些解决scheme都允许443端口的连接被终止,然后通过端口80上的HAProxy传递到Web服务器。 不幸的是,我发现在c1.medium(High CPU)实例上向SSL终止代理服务器发送stream量很快就消耗了所有的CPU资源,并且每秒钟只有50次左右的请求。 我尝试过使用上面列出的全部三种解决scheme,并且他们都执行了大致相同的操作,而我仍然使用OpenSSL。 我尝试使用64位非常大的高CPU实例(c1.xlarge),发现性能只能随成本线性缩放。 所以基于EC2定价,我需要支付每秒200个SSL请求的大约600美元/米,而不是每秒2000个非SSL请求的60美元/米。 当我们开始计划每秒钟接受1,000或10,000次请求时,以前的价格变得经济上不可行。 我也尝试使用Node.js的https服务器终止SSL,性能与Pound,stunnel和stud非常相似,所以没有明显的优势。 所以我希望有人可以帮忙的是build议我如何解决这个荒谬的代价,我们必须吸收以提供SSL连接。 我听说SSL硬件加速器提供了更好的性能,因为硬件是专为SSLencryption和解密而devise的,但是由于我们目前在所有服务器上使用Amazon EC2,所以使用SSL硬件加速器不是一种select,除非我们有单独的数据以物理服务器为中心。 我只是努力想知道,如果亚马逊,谷歌,Facebook的成本如此之高,通过SSL可以提供所有stream量。 那里一定有更好的解决办法。 任何意见或想法将不胜感激。 谢谢Matt
我有一个基于云的(Amazon AWS,Rackspace,无论)多租户SaaS应用程序,我需要为多个不相关的租户域支持HTTPS通信。 作为一个说明性的例子,假设我们的SaaS可以在: https://foo.com 租户可以通过以下方式访问其租户特定的用户界面和服务端点: https://tenantA.foo.com https://tenantB.foo.com … 今天用一个通配符SSL证书很容易支持。 但是,借助我们的SaaS,我们的租户可能希望将我们的UI直接展示给自己的用户。 这导致一个问题:假设约翰·史密斯是tenantA一个现有客户(并且不知道foo.com )。 如果John Smith被引导到https://tenantA.foo.com ,他们可能会很容易混淆(例如,“谁是foo.com?我为什么在这里?我被黑客攻击了吗?啊!”)。 为了避免这个问题,我们的租户将build立一个子域名如下: https://foo.tenantA.com 这避免了许多最终用户的困惑: tenantA的用户可以看到他们认为是由tenantA拥有的tenantA并且更容易使用该app。 但tenantA希望我们托pipe应用程序的一切,这意味着foo.com的基础设施需要服务于SSL连接。 为此,我们要支持以下内容: 租户向foo.tenantA.com上传SSL证书+密钥。 我们接受该SSL证书并将其dynamic安装到高度可用的负载平衡群集(2个或更多LB节点)中,负载均衡请求到我们的SaaS应用程序Webterminal。 租户更新他们的DNS将foo.tenantA.com作为CNAMEredirect到tenantA.foo.com 。 这样,我们的负载平衡器池将提供/终止所有与foo.tenantA.com HTTPS通信,并且所有请求都将负载平衡到我们的SaaS Web服务器群集。 这意味着SSL证书应该能够在运行时从LB池中添加和删除。 更改不能中断为现有的或新的HTTPS请求提供服务的能力。 而且,由于我们将在Linux上部署在虚拟化硬件(例如EC2)上,因此我们无法访问硬件/数据中心。 这必须是可以在Linux中运行的基于软件的解决scheme。 它也必须是高度可用的(2个或更多LB节点)。 有谁知道一个具体的解决scheme? 例如,可以设置Nginx,HAProxy或Squid(或其他)来支持这个吗? 是否有一个“配方”或现有的解决scheme,logging和适用? PS亚马逊的Elastic Load Balancer(在撰写本文时)不能务实地满足这种需求 – 这将需要每个租户域的Amazon ELB。 由于每个ELB需要“ping”Web服务器,如果您有500个租户,那么您将拥有500个ELB来ping SaaS Web服务端点,这是一个不可忽视的负面性能影响。
问题很简单。 如果我想设置一个邮件服务器,我必须拥有它还是只是一个安全问题? 会造成什么样的问题?
我正在寻求将我们的托pipe环境迁移到Azure,并通过这样做创build了一个sandpit虚拟机来弄清楚。 我们在IIS中托pipe了大约300-400个网站,其中约2%的网站具有独特的非通配符证书,这些证书都需要在我们当前的设置中使用唯一的公有IP。 你能得到一个指向1个虚拟机/端点的IP地址范围吗? 或者有可能创build一个SSL代理? 我从来没有创build一个SSL代理,但它的想法。 如果这是最好的select,我需要在这里build议如何进行。 对不起,如果这已被回答! 对不起,如果我的问题没有雄辩的措辞。
我有证书颁发的证书StartSSL颁发的证书,我的网站使用证书没有问题,也没有任何浏览器对任何信任问题的投诉。 现在我想在Dovecot中编写相同的程序,让我的电子邮件通过SSLauthentication。 所以我使用IMAP来获取我的邮件,通过地址mail.myweb.com说。 我去了StartSSL,并发布了该子域的证书(这是我总是通过Apache服务器获得的任何我想通过SSL获得的子域)。 现在我拿了这个证书,并且把它定义成我想用在Dovecot上的那个域名(使用SNI)的证书,把dovecot.conf local_name mail.myweb.com { ssl_cert = </path/to/certificate/ssl.crt ssl_key = </path/to/privatekey/priv.key } 虽然这个过程在Apache服务器上工作得很好,并且我的浏览器满意地使用绿色的挂锁,而我的证书没有签名问题,但thunderbird坚持认为这个证书是个例外。 我通过查看证书的详细信息证实雷鸟正在接收的证书是正确的。 原因是什么? 雷鸟是否偏执,我必须购买证书? 如果您需要任何其他信息,请让我知道。 谢谢。
我刚刚生成一个SSL证书与爸爸,我已经下载的文件: mydomain.com.crt gd_bundle.crt 我现在要把它们合并起来,但不清楚第二个证书是什么。 谢谢