我有一个奇怪的问题。 更新我的LAMP开发机器(Debian)到PHP 7.之后,我无法通过Curl连接到特定的TLSencryptionAPI。 有问题的SSL证书是由thawte签署的。 curl https://example.com 给我 curl: (60) SSL certificate problem: unable to get local issuer certificate 而 curl https://thawte.com 当然这也是Thawte的作品。 我可以通过其他机器上的HTTPS访问API网站,例如我的桌面通过curl和浏览器。 所以证书是有效的。 SSL实验室的评级是A. 从我的开发机器到其他SSLencryption站点的任何其他curl请求的工作。 我的根证书是最新的。 为了validation,我运行了update-ca-certificates 。 我甚至将http://curl.haxx.se/ca/cacert.pem下载到/ etc / ssl / certs并运行c_rehash 。 还是一样的错误。 有没有办法debuggingvalidation过程,看看哪些本地发行者证书curl(或openssl)正在寻找,但没有find,即文件名? UPDATE curl -vs https://example.com 告诉我(IP +域名匿名) * Hostname was NOT found in DNS cache * Trying 192.0.2.1… […]
寻找一个“ 小公司freebsd /监狱服务器 ”的清单 。 起点相当普遍: FreeBSD监狱(远程/无头)公司: 公共networking,电子邮件,FTP服务器和 私人(也许在未来部分公开)wiki(foswiki) 4个自然人,(6个电子邮件地址)+一个pipe理员 – 其他人将永远不会使用SSH) 已经在主机端进行了通常的强化(如pf,sshguard等)。 我的主要组件是:dovecot,exim,apache22,proftpd,perl5.14。 寻找一个清单,我不应该忘记。 我现在的计划包括: openssl自签名证书exim,dovecot和proftpd(通配符键) 对于apache openssl自签名证书(以后会去“受信任签名”的密钥) 用户帐户 但还有其他build议吗? 有关: 你为FreeBSD服务器build议的邮件服务器configuration是什么?
有人可以帮助我了解如何validation我的SSL证书安装是否正确(或解决问题的原因)? 我在我的Apache服务器上安装了GoDaddy SSL证书。 一些用户仍在报告问题(某些版本的IE浏览器显示“此页面无法显示”,没有进一步解释),openssl说在链中有一个“自签名”的证书。 请注意,这不是一个自签名的证书 。 它由GoDaddy签署。 本文有一个相关的答案,不起作用: https : //stackoverflow.com/a/4106224/1723405 以下是我采取的步骤: 步骤1:生成一个私钥 openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout privateKey.key 第二步:转到GoDaddy并重新粘贴CSR.csr 。 第3步:在Apache中安装crt和bundle文件,然后重新启动。 // In <VirtualHost> SSLEngine on SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP SSLVerifyClient none SSLCertificateFile /path/to/allthingsinsurance.net.crt SSLCertificateKeyFile /path/to/privateKey.key SSLCertificateChainFile /path/to/gd_bundle-g2.cr % apachectl restart 步骤4:转到几台机器中的任何一台,但无法使用openssl进行validation。 % openssl s_client -connect allthingsinsurance.net:443 -showcerts […]
我的应用程序中有一个错误,当客户端在SSL握手中断时触发。 我发现触发它的唯一方法是在JMeter中运行100个线程,并突然停止testing,导致100个线程中的一些以所需状态结束。 有没有更确定的方法来testing呢?
使用HAProxy 1.6和一个聪明的黑客 ,我现在有一个HAProxy TCP模式前端,检测浏览器是否有能力的SNI,并在此基础上,路由到一个强encryption的SSLterminal后端,或者一个较弱的。 这确保了SSL实验室的A +分级,同时仍允许除IE6以外的所有浏览器使用SSL。 这是我的configuration。 它有一些模板variables应该是不言自明的,但不在与我的问题相关的领域: frontend https_incoming bind 0.0.0.0:443 mode tcp option tcplog tcp-request inspect-delay 5s tcp-request content accept if { req.ssl_hello_type 1 } use_backend https_strong if { req.ssl_sni -m end .transloadit.com } default_backend https_weak backend https_strong mode tcp option tcplog server https_strong 127.0.0.1:1665 frontend https_strong bind 127.0.0.1:1665 ssl crt ${DM_ROOT_DIR}/envs/ssl/haproxy-dh2048.pem no-sslv3 […]
我在Debian Squeeze上运行lighttpd/1.4.28 (ssl) 。 我刚刚创build了一个http://startssl.com证书,我的所有浏览器(Firefox,Chrome,Opera)运行良好,但我的用户报告了Firefox中的证书错误。 我已经将其归结为证书链加载失败: 在我的Firefox证书: http : //i.stack.imgur.com/moR5x.png 其他人的证书Firefox: http ://i.stack.imgur.com/ZVoIu.png(请注意这里缺lessStartCOM证书) 我遵循本教程将证书embedded到我的lighttpd中: https ://forum.startcom.org/viewtopic.php ? t = 719 我的lighttpd.conf的相关部分如下所示: $SERVER["socket"] == ":443" { ssl.engine = "enable" ssl.ca-file = "/etc/lighttpd/certs/ca-bundle.pem" ssl.pemfile = "/etc/lighttpd/certs/www.bisaboard.crt" } ca-bundle.pem是这样创build的: cat ca.pem sub.class1.server.ca.pem > ca-bundle.pem 我从这里抓取相关文件: http : //www.startssl.com/certs/ www.bisaboard.crt是这样创build的: cat certificate.pem ssl.key > www.bisaboard.crt 其中certificate.pem是我的StartSSL-Class1证书和ssl.key我的SSL根密钥。 你有什么想法为什么第二个Firefox不能正确加载证书链?
我试图启用SSL服务器使用123-reg的证书,但我不断收到此错误: nginx: [emerg] SSL_CTX_use_certificate_chain_file("/opt/nginx/conf/cleantechlms.crt") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line error:140DC009:SSL routines:SSL_CTX_use_certificate_chain_file:PEM lib) 这是我的nginxconfiguration: server { listen 443; server_name a-fake-url.com; root /file/path/public; passenger_enabled on; ssl on; ssl_certificate /opt/nginx/conf/cleantechlms.crt; ssl_certificate_key /opt/nginx/conf/cleantechlms.key; } 我已经尝试设置我的CTR和关键到完整的文件权限,但没有任何区别。 我的crt文件是我与crt连接发出的crt文件。 更新 我试图在sperate文件中复制两个键,然后运行'cat mykey.crt >> ca.cert' 此外,我尝试手动将密钥复制到相同的文件。 有任何想法吗?
我一直在环顾四周,似乎没有人试图按照我的方式来扩展SSLterminal,我很好奇为什么我的方法似乎很不寻常。 以下是我想要做的以及为什么: 10.0.1.1 10.0.1.2 – 10.0.1.5 —–+——–+—-+—-+—-+ | | | | | +–+–+ +-+-++-+-++-+-++-+-+ | LB1 | | A || B || C || D | +—–+ +—++—++—++—+ haproxy 1.5 haproxy 1.5 + tomcat tcp mode http mode 为什么这个疯狂的设置Internet -> HAProxy (tcp mode) -> HAProxy (http mode) -> Tomcat ? 用两个字来说:安全性和可扩展性 通过将SSLterminal卸载到运行HAProxy 1.5的Web后端(AD)和仅在回送接口上监听的Tomcat,我可以保证所有stream量都从客户端encryption到服务器,而不会从本地到networking的任何事件嗅探后端。 另外,随着SSL需求的增加,我可以简单地在负载均衡器后面增加新的(便宜的)后端服务器。 最后,它消除了将证书置于面向外部的LB上的需求,并且由于受到攻击的LB将不会有任何Pem或证书,从而增加了额外的安全性。 […]
我运行Monit来检查Debian服务器上的进程。 对于所有其他服务(Apache SSL,Postfix,SSH等),其正常工作,但是对于Dovecot的Monit检查失败了。 我认为这可能已经开始安装一些软件包更新后,但我不知道什么时候。 由于电子邮件仍在工作,Dovecot正在为客户端连接正常工作。 我已经尝试用open_ssl s_client进行testing,对于SSLv3,TLS1.1和TLS1.2来说,这一切看起来都不错。 / etc / monit / monitrc check process dovecot with pidfile /run/dovecot/master.pid start program = "/usr/sbin/service dovecot start" stop program = "/usr/sbin/service dovecot stop" if failed port 993 type tcpssl sslauto protocol imap then unmonitor部分: check process dovecot with pidfile /run/dovecot/master.pid start program = "/usr/sbin/service dovecot start" stop […]
可能重复: 使用FTPS时需要打开哪些防火墙端口? 试图在sonicwall防火墙中打开端口。 该服务是通过SSL的FTP(注:不是SFTP)。 这个服务使用什么端口? 我已经尝试过标准的FTP端口以及989和990。 另外,还有哪些其他疑难解答提示可能会提示 我是一个netcat结点,所以有关如何使用该工具的任何提示,也将不胜感激。 谢谢