Articles of ssl

其实我唯一的要求是使用SSLencryption，当用户login时，密码被encryption传输。 然而，在阅读了关于协议切换的一些信息之后，HTTPS会话不能作为HTTP会话被接pipe。我一直在问自己，如果仅仅让整个应用程序只使用HTTPS，那么这样做是不好的。 什么原因反对它，你怎么评价他们的重要性？ 请再提一下： 服务器端（大致）会损失多less性能？ 客户端（大致）会损失多less性能？ 服务器端/客户端的任何其他问题？

尝试对Twitter API进行curl https请求并获取此错误。 我试过从另一台服务器，它没有问题。 有谁知道这个错误的原因？ [root@webscoming httpdocs]# curl -v https://api.twitter.com * About to connect() to api.twitter.com port 443 (#0) * Trying 199.16.156.199… connected * Connected to api.twitter.com (199.16.156.199) port 443 (#0) * Initializing NSS with certpath: sql:/etc/pki/nssdb * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none * NSS error -5990 * Closing connection #0 * SSL connect error curl: […]

我只有mycert.jks文件。 现在我需要提取并生成.key和.crt文件，并在apache httpd服务器中使用它。 SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key 任何人都可以列出完成这一切的所有步骤。 我search，但没有具体的例子来理解，混合和匹配的步骤。 请build议！ [编辑]从下面的答案按照下面的步骤后得到错误。 8/‎21/‎2015 9:07 PM] Sohan Bafna: [Fri Aug 21 15:32:03.008511 2015] [ssl:emerg] [pid 14:tid 140151694997376] AH02562: Failed to configure certificate 0.0.0.0:4545:0 (with chain), check /home/certs/smp_c ert_key_store.crt [Fri Aug 21 15:32:03.008913 2015] [ssl:emerg] [pid 14:tid 140151694997376] SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start line (Expecting: TRUSTED CERTIFICATE) […]

换句话说，例如，CA可以颁发一个两千年到期的证书吗？

我有一个程序（运动），提供一个网页显示一个实时摄像头的饲料。 我想通过互联网提供这种饲料，但是使用SSL和一个证书，所以饲料只能被那些有适当的证书的人看到。 我想知道的是：有没有像从服务器读取代理服务器，并提供SSL版本？

我已经在端口443上设置了一个基于名称的虚拟主机设置，这样主机“apple.fruitdomain”上的请求代理到apple-app，主机“orange.fruitdomain”上的请求代理到orange-app。 这是工作，但我想添加一个ServerAlias为每个这样的主机上的请求'苹果'代理苹果应用程序和主机'橙'的请求代理橙色的应用程序。 如果我只是将一个ServerAlias指令添加到虚拟主机，它不起作用。 下面的ssl.conf： Listen 443 NameVirtualHost *:443 <VirtualHost *:443> ServerName apple.fruitdomain ServerAlias apple SSLProxyEngine on ProxyPass /apple-app https://localhost:8181/apple-app ProxyPassReverse /apple-app https://localhost:8181/apple-app … </VirtualHost> <VirtualHost *:443> ServerName orange.fruitdomain ServerAlias orange SSLProxyEngine on ProxyPass /orange-app https://localhost:8181/orange-app ProxyPassReverse /orange-app https://localhost:8181/orange-app … </VirtualHost> 有趣的是，如果我做了类似的设置，但端口80然后ServerAlias工程…

大家好我安装一个IIS 6.0服务器中的可信证书。 我在防火墙中打开了端口443，并validation服务器正在侦听该端口。 但是，当使用opensslvalidation时，我得到以下错误 $ openssl s_client -connect HOST:443 -debug -state CONNECTED(00000003) SSL_connect:before/connect initialization write to 0x1001182b0 [0x10080a600] (130 bytes => 130 (0x82)) 0000 – 80 80 01 03 01 00 57 00-00 00 20 00 00 39 00 00 ……W… ..9.. 0010 – 38 00 00 35 00 00 16 00-00 13 00 00 […]

由于主要浏览器不推荐使用SHA1证书，获得SHA2签名证书似乎是明智之举。 但是这样做会阻止IE6用户。 虽然对于大多数人来说这在某些情况下不会成为问题，但可能会阻碍重要的用户。 看一下SSL握手 ，客户端发送它支持的细节。 所以在理论上，服务器可以发送客户端将支持的证书。 较新的浏览器将得到一个SHA2签名的一个和更老的SHA1。 但是看起来好像有没有办法通过nginxconfiguration来做到这一点。 虽然您可以设置密码和协议的版本，但您不能通过任何逻辑来确定如何使用不同的客户端configuration。 有没有办法根据客户端支持不同的证书服务器？

我有很多服务器访问各种外部的Web服务，其中大部分使用SSL，其中一些需要客户端证书。 我想集中configuration客户端证书，并将表示层与底层服务器分离。 虽然我可以使用Squid代理请求，但是我从文档中看不到如何告诉Squidselect特定于目标Web服务的客户端证书。 这可能吗？ 一种方法是在Squid代理之外维护一组stunnel实例，然后将客户端软件configuration为使用带URL重写器的http请求通过适当的stunnel实例路由请求，但是如果我得到XML响应引用HTTPS DTD（除非我用完整的MITM重写内容）。 还有其他解决scheme吗？ 更新 将“https”重写为“http”的问题在于，它会使用http URI打破任何其他资源 – 因为协议适配器会将这些资源转换回https！ 我遇到这篇文章 ，解决了向代理连接添加客户端证书的问题 – 这可能是一个解决scheme。 但是确实需要客户端被configuration为使用代理服务器，在命名事物以及如何使用分离式DNS工作方面也存在问题。 诚然，这并不是什么大问题，但是让我想到这里所描述的是大多数CDN提供商使用的模式 – 因此我目前正在考虑使用Apache Traffic Server作为中间组件 – 这允许使用分离的DNS，分离的SSL通道客户端和来源，以及与原始服务器进行通信的客户端证书。

我试图让我的Apache使用HTTPS请求的外部代理： Listen 80 Listen 443 .. LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_connect_module modules/mod_proxy_connect.so .. SSLProxyEngine On SSLProxyVerify none SSLCACertificateFile conf/cert/curl-ca-bundle.cert ProxyRemote http://*.externaldomain.com:80 http://external.proxy.com:8585 ProxyRemote http://*.externaldomain.com:443 https://external.proxy.com:8585 ProxyPass /sub https://sub.externaldomain.com/ 但对http：// localhost / sub / something的请求返回503，并给出： [Fri Apr 15 17:38:15 2011] [error] (OS 10060)A connection attempt failed because the connected party did not properly respond after a […]