我们正在开发一个Web项目,我们需要能够绑定到一个活动的目录域,然后将用户的凭据传递给域,以确保用户在我们允许他们访问我们的Web应用程序之前成功通过身份validation。 我们有HTTPS正常工作的前端接受凭据。 我们遇到的问题是我们的服务器和活动目录服务器之间的连接。 活动目录服务器由IT部门的不同部门维护,我们无法访问它。 此活动目录服务器正在使用自签名证书,并且没有完全限定的域名(即people.local)。 我读了很多地方谈论设置TLS_REQCERTvariables永远不会; 然而,我担心中间人的攻击,并不愿意离开这样的设置。 我还阅读了一些文章,讨论如何从Linux命令行查询活动目录服务器,查看自签名证书,将自签名证书保存到本地Linux服务器,然后使用此证书作为信任所以您不必将TLS_REQCERT设置为从不。 我不确定如何从Linux命令行查看和保存自签名证书。 我有一些我们正在运行的CentOS服务器,我们需要使其运行。 任何帮助,你可以提供将不胜感激。 提前致谢。
我已经安装了Postfix + Courier服务器,并configuration了使用SMTP服务器设置的Rails应用程序。 每当Rails应用程序尝试发送电子邮件时,这就是Postfix日志中显示的内容(master.cf中设置的其他日志详细程度) Feb 22 03:57:24 alpha postfix/smtpd[1601]: Anonymous TLS connection established from localhost[127.0.0.1]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) Feb 22 03:57:24 alpha postfix/smtpd[1601]: smtp_get: EOF Feb 22 03:57:24 alpha postfix/smtpd[1601]: match_hostname: localhost ~? 127.0.0.0/8 Feb 22 03:57:24 alpha postfix/smtpd[1601]: match_hostaddr: 127.0.0.1 ~? 127.0.0.0/8 Feb 22 03:57:24 alpha postfix/smtpd[1601]: lost connection after STARTTLS […]
我正在构build一个networking服务器( http://blog.linformatronics.nl/ ),它在IPv4和IPv6以及使用非SSL连接时都能正常工作。 但是,当我通过https连接到它,IPv6按预期工作,但IPv4连接抛出客户端错误。 服务器端日志为IPv4 / https连接为空。 总结在一个表格中: | http | https —–+——-+——————————————————- IPv4 | works | OpenSSL error, failed. No server side logging. —–+——-+——————————————————- IPv6 | works | self signed certificate warning, but works as expected 显然,SSL隧道甚至没有build立,这说明Apache日志是空的。 但是,为什么它对IPv6工作正常,IPv4失败呢? 我的问题是为什么这个OpenSSL错误被抛出,我该如何解决? 以下是关于设置的一些额外的信息。 IPv6 https 用于重现IPv6 / https行为的命令: $ wget –no-check-certificate -O /dev/null -6 https://blog.linformatronics.nl –2012-11-03 15:46:48– […]
我正在尝试在Nginx上设置OCSP装订,因为我运行了一个testing,它提出了这个想法。 https://sslcheck.globalsign.com/en_GB/sslcheck?host=aj2jewellers.co.uk#176.58.103.165 我收到错误: nginx: [warn] "ssl_stapling" ignored, no OCSP responder URL in the certificate 这是我的.conf的相关位 server { # use Google's DNS resolver 8.8.4.4 8.8.8.8 valid=300s; resolver_timeout 10s; ssl_stapling on; ssl_stapling_verify on; ## verify chain of trust of OCSP response using Root CA and Intermediate certs ssl_trusted_certificate /pathtossl/www.aj2jewellers.co.uk.crt; }
像大多数其他人一样,我们的存储库服务器需要尽快禁用SSLv3(和v2)。 然而,这样做似乎打破了我们的客户端 – 至less在RHEL5上(从我的FreeBSD桌面连接工作正常)。 即使最近的git(2.1.2)也失败了,并且从供应商升级OpenSSL库到最新的版本都没有帮助。 不过 ! 同样的git-client在github.com上工作得很好 – 而且github.com已经禁用了SSLv3。 通过试验和错误,我设置了我们的服务器(Apache)SSLconfiguration以匹配github的configuration: SSLProtocol ALL -SSLv2 -SSLv3 SSLHonorCipherOrder On SSLCipherSuite "AES128-SHA AES256-SHA RC4-SHA" 通过运行sslscan对我们的服务器和github,我得到相同的密码列表接受和拒绝。 但git继续失败: % git clone https://git.example.net/git/puppet-hiera Cloning into 'puppet-hiera'… * Couldn't find host git.example.net in the .netrc file, using defaults * About to connect() to git.example.net port 443 * Trying 10.89.8.27… * connected * […]
我试图在Ubuntu 16.04上为nginxconfigurationHTTPS。 我已经用listen 443 ssl语句设置它,并告诉它在哪里可以find证书和私钥文件。 之后,我用sudo service nginx restart服务器。 现在,当我curl https://my_ip_address ,我得到以下消息: curl: (35) gnutls_handshake() failed: Handshake failed 我已经检查了我所知道的两个日志文件/var/log/nginx/access.log和/var/log/nginx/error.log ; 但它不显示请求中的任何内容。 我的问题:当SSL握手失败时是否logging任何东西? 如果是这样的话? 一般情况下,如何解决这样的问题,在发送HTTP请求之前SSL服务器发生了错误,或者服务器提取了错误? 编辑:我得到它的工作,从我的configuration中删除以下行: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"; ssl_ecdh_curve secp384r1; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 5s; 更新: ssl_ecdh_curve secp384r1; 线似乎是造成这个问题。 没有它,一切工作正常,但与此,SSL握手失败。 奇怪的是,错误信息是“没有共享密码”。 […]
如何使用由LetsEncrypt生成的证书文件与Neo4j实例一起使用? 由LetsEncrypt生成的文件是: cert.pem chain.pem fullchain.pem privkey.pem 我试过通过OpenSSL进行转换,目前还没有运气,使用从PEM到DER的转换。 Neo4j抱怨在开始时没有find证书。 问题是如何将LetsEncrypt证书转换成Neo4j可以使用的东西。 安装细节: 证书放置在名为neo4j.{cert,key} ,权限为600 ,由neo4j:nogroup拥有的/var/lib/neo4j/certificates/ 。 所有这一切似乎都是根据文件 。 在configuration中,我有这一行来指定证书path: dbms.directories.certificates=/var/lib/neo4j/certificates 在configuration中,我也通过启用HTTPS的远程访问: dbms.connector.https.address=0.0.0.0:7473 当重新启动Neo4j时,我得到以下错误信息: WARN Illegal character 0x16 in state=START for buffer HeapByteBuffer@5a260174[p=1,l=193,c=8192,r=192]={\x16<<< SEVERAL_LINES_OF_HEX_JIBBERISH_HERE } WARN badMessage: 400 Illegal character 0x16 for HttpChannelOverHttp@5d682358{r=0,c=false,a=IDLE,uri=-}
我计划为* .example.com之类的域名获得通配符证书,但是我听说了它是否也可以与二级子域名(例如* .subdomain.example.com)一起使用的各种报告 – 报告说它可以在火狐但不在其他浏览器。 如果我希望它可以与所有浏览器一起使用,我是否需要为* .subdomain.example.com购买通配符证书? 有没有一个地方可以获得关于这是如何工作以及使用什么浏览器的更确切的信息?
是否有提供SSL证书的注册商: 。 .domain.com 要么 something_fixed。*。domain.com? – M.
我在网上search了一个清晰而简洁的答案,但是却无济于事。 所以在这里: 我有一个Web服务需要SSL支持authentication页面。 根级域没有“www” – 即secure://domain.com – 但本地化页面使用“language-code.domain.com”,即secure://ja.domain.com 所以我至less需要一个支持secure://*.domain.com的通配符SSL证书 但是,我们在sandbox.domain.com上也有一个公用的沙箱环境,我们也需要在本地化的域下支持 – 这样安全://ja.sandbox.domain.com也需要工作。 以前的pipe理员设法为.domain.com购买通配符SSL证书,但是使用“domain.com”的主题备用名称。 所以,我正在考虑试图获得SANs定义为“domain.com”和“ 。*。domain.com” 的通配符证书 。 但现在我感到困惑,因为似乎有单独的SAN证书,也被称为UCC证书。 有人可以澄清是否有可能获得通用证书与额外的SAN领域,最终是什么最好的方式来支持: secure://domain.com secure:// .domain.com secure://。*。domain.com 用最less(也是最便宜的)数量的SSL证书? 谢谢!