我目前正在Glassfish上设置SSL,并有一些问题连接到服务器。 http://javadude.wordpress.com/2010/04/06/getting-started-with-glassfish-v3-and-ssl/ 我已经按照这个指南设置了一些看起来很好的证书,但是我不能让玻璃鱼指出证书。 在进行了更多的研究之后,我发现了另外一个指南,说明了我所做的更改,还必须将domain.xml中的所有“s1as”实例更改为我给证书的别名。 最后,在一些小提琴之后,我改变了以下的指向我的密钥仓库 -Djavax.net.ssl.keyStore = $ {} com.sun.aas.instanceRoot /config/keystore.jks 这部分工作,我能够成功地连接我尝试的前几次,然后在浏览器中的每一个连续的尝试结果超时。 有没有我错过的设置或任何人都可以看到我做错了吗?
我试图将任何访问我的网站的pipe理部分的人redirect到它的HTTPS版本。 当前的重写规则如下: server { listen 80; server_name domain.com; location / { index index.php index.html; root /home/domain.com/public; } #Redirect Admin requests to secure server location /www/admin/ { rewrite ^/(.*) https://domain.com$1 permanent; } } 这个规则的问题是它只是转发http://domain.com/www/admin HTTPS – 去http://domain.com/www/admin/index.php ,例如,不redirect。 任何想法如何纠正这一点,以便任何以下/www/admin也被redirect?
我正在寻找可以帮助检测在中心位置使用弱encryption或过时协议的应用程序的软件。 对不起,如果这听起来模糊。 也许一个例子会有所帮助。 我们来看看通过https连接到某个网站的浏览器。 但由于某种原因,协商密码是弱的,低于某个阈值,我们假设有一些56位的密码。 或者该协议是SSL 2.0或任何“低于”TLS 1.0。 有什么软件可以监视服务器或路由器上的networkingstream量,并显示警告或采取一些其他的行动,如果这样的事情发生? 它不一定是完美的,它可以是启发式的; 每一个信息的帮助。 我不想在每个执行技术上是中间人攻击的客户端上安装软件。 编辑:我不是在寻找一个工具,探测一个特定的服务器,但对我们的服务器/路由器上运行的工具,并提出了一些警告,当“另一个客户端”build立一个不安全的连接到互联网上的“某些服务器”。 是的,我知道这是不太可能的……但是希望是最后的死亡。
如何使用tshark以可读格式获得SSL握手的转储? 我需要将此提供给供应商debugging失败的SSL握手问题。 这需要在tshark中完成,而不是在没有GUI的远程服务器上完成。
我试图重新加载nginx,我有一个域名的通配符证书,我从namecheap,现在我已经把它移动到我的服务器,并分配一个nginxconfiguration规则: ssl_certificate /etc/nginx/certs/website.com.crt; ssl_certificate_key /etc/nginx/certs/website.com.key; ssl_ciphers ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!aNULL:!MD5:!EDH; add_header Strict-Transport-Security max-age=15768000; ssl_session_cache shared:SSL:10m; 现在当我通过service nginx reload加载nginx时,我不断收到提示: 重新加载nginxconfiguration:inputPEM密码短语: 不幸的是,我不知道PEM密码短语,但是当我使用OpenSSL生成CSR时,我确实有密码短语,但是这不符合PEM密码短语。 我不知道我能做什么,我怎样才能恢复这个,或能够删除它(如果它不影响安全) 我正在运行Ubuntu 12.04.1 LTS和nginx 1.2.6。
我正在尝试将我的网站的域名从https://www.myolddomain.se/更改为https://www.mynewdomain.se/ 问题是,我的旧域强制所有页面上的SSL,因此谷歌和其他网站上的所有链接都与https链接。 当我尝试从https链接访问旧域时,出现证书错误。 所以我的问题是:我怎样才能redirect链接到HTTPS的另一个HTTPS安全域,在Nginx,没有得到这个错误? 我做了一些研究,发现这个redirect网页的解决scheme,现在插入到我的configuration文件中。 虽然我仍然得到证书错误! server { server_name .myolddomain.se; return 301 https://www.mynewdomain.se$request_uri; } 但是我无法完成它的工作! 如果有人能拿出答案,我将非常感激
完全向前保密是对SSL / TLS通信的重要增强,有助于防止捕获的SSLstream量被解密,即使攻击者拥有私钥。 支持Web服务器非常简单,但也适用于任何其他SSL上下文,如用于SMTP,POP3和IMAP的邮件服务器。 最近(2014年9月),这个数据保护机构已经开始在德国开展业务,在那里数据保护机构已经开始检查和罚款那些不支持邮件服务器上的PFS的组织 ,还有心跳和贵宾犬漏洞。 Web浏览器中的PFS支持有点不统一,虽然所有主要的支持它 – 但是我正在寻找邮件服务器和客户端上的PFS兼容性信息,理想的情况是SSL Labs的握手testing提供的,但对于邮件服务器。 任何人都可以提供或指向我的邮件服务器PFS兼容性的良好来源? 为了澄清,我不想询问特定的服务器,而是在各种不同的服务器上查看这种testing的结果,例如,知道Outlook 2003不支持ECDHE或Android 2不允许大于2048位的DH参数(我不知道这些是否为真,它们只是例子)。 这样做的好处是要知道,如果我select禁用某些特定的密码,哪些客户端可能会受到影响,就像SSL实验室testing为Web客户端显示的一样。
我试图设置OpenVPN来侦听端口443,然后通过使用port-share选项将所有HTTPS通信传递给Apache。 相关的configuration片段是: OpenVPN的 local ${PUBLIC_IP} port 443 port-share localhost 443 Apache与SSL Listen localhost:443 我的OpenVPN客户端连接正常,但是当打开启用HTTPS的页面时,出现错误。 Firefox说: SSL收到的logging超出了允许的最大长度。 (错误代码:ssl_error_rx_record_too_long) 卷毛说 curl:(35)错误:140770FC:SSL例程:SSL23_GET_SERVER_HELLO:未知协议 请求最终在Apache上,因为我在错误日志中看到以下消息: [Wed Oct 06 01:10:20 2010] [error] [client 127.0.0.1] Invalid method in request \x16\x03\x01 [Wed Oct 06 01:11:04 2010] [error] [client 127.0.0.1] Invalid method in request \x16\x03\x01 [Wed Oct 06 01:11:51 2010] [error] [client 127.0.0.1] Invalid […]
我已经按照这些步骤来创build和签署我自己的SSL证书: openssl genrsa -out server.key 1024 openssl req -new -key server.key -out server.csr openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt 在Firefox中,我收到了这些警告消息: 证书不可信,因为它是自签名的。 证书对于任何服务器名称无效。 当然,我得到了前者的警告,但后者呢? 在产生企业社会责任方面,我被问到很多问题,我给了空白答案。 虽然他们似乎没有提到域名。 Country Name (2 letter code) [AU]:se State or Province Name (full name) [Some-State]:. Locality Name (eg, city) []:. Organization Name (eg, company) [Internet Widgits Pty […]
Nagios可以进行SSL检查,但实际上并不检查证书是否对您使用的连接地址(通用名称匹配)有效。 在我们的其中一台服务器上,Postfixconfiguration文件被Plesk更新所取代,而没有通知,导致对蛇油证书的退化。 Nagios检查SSL,但没有看到它。 为此,我想检查不仅仅是到期date,而是实际检查CA链。 我已经尝试了几个SSL插件的nagios,但他们都不能做到这一点。 有人有build议吗?