我目前使用没有密码短语的服务器SSL证书来允许Apache无人值守启动。 有客户的迹象要求我们更安全地保护SSL证书。 我不确定他们的目标是什么,但现在我想他们不希望在磁盘上存在不受保护的SSL证书。 我想我不能避免在Apache内存中明确表示,但让我们假设这是可以接受的。 我想出了一个精心devise的系统,在内部服务器上(即不在一线networking服务器上)保存进程内存的口令,并使用Apache SSLPassPhraseDialog( http )将其传递给前端服务器://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslpassphrasedialog )。 内部服务器在启动时必须input密码,我们将有多个这样的服务器进行负载均衡以实现高可用性。 我的问题是: “大男孩”如何保护他们的SSL证书? 他们只是强迫他们的东西在服务器重新启动时input密码短语,还是像我们其他人那样保持密码不encryption? 我对开源的经验是,有人很有可能已经解决了我面对的任何问题 – 这样的系统已经可用了吗? 从业务水平的angular度来说,仅仅说我们保持证书不encryption,并且只是在被盗的情况下迅速撤销证书,是否合理呢?
在TCP连接上使用SSL有没有带宽开销? 我理解,当然,encryption和解密数据包时的处理/内存使用开销,但就带宽而言,有什么区别? 例如,给定一个64KB的XML文件,通过HTTP与HTTPS的文件传输大小是否有任何实际的差异? (当然,忽略mod_deflate和mod_gzip )
我正在尝试使用mod_proxy SSLCACertificatePath指令,但我有点困惑如何正确使用它。 以下是解释SSLCACertificatePath指令的两个链接: http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcacertificatepath http://www.modssl.org/docs/2.8/ssl_reference.html#ToC13 我对如何创build哈希符号链接不积极。 第二个链接指出使用apache make文件,但是我对那里正在说的是什么都不知情。 任何友好的指导将不胜感激。 感谢您的时间。 UPDATE 我的问题的目标是找出如何处理多个CA来validation最终用户客户端证书。 我没有意识到可以在一个文件中使用多个Pem证书,在我看来,这显然是向前推进的正确方法。
我们在slicehost.com上的Ubuntu 2GB切片上运行Tomcat 6 JSP应用程序fwiw是Open Clinica 3.1。我可以看到,本书几乎实现了SSL。 <Connector port="8443" scheme="https" SSLEnabled="true" keystorePass="XXXXX" keystoreFile="XXXXX" maxKeepAliveRequests="0" sessionCacheSize="0" sessionTimeout="0" compression="on" maxThreads="500" clientAuth="false" sslProtocol="TLS" /> 问题在于Open Clinica Java应用程序执行大量HTTP请求来构build页面 – 使用Chrome开发人员工具,我可以看到典型页面的70-80个请求。 当您为每个请求添加SSL握手时,额外的networking延迟只会杀死应用程序响应时间。 FWIW – 客户端用户位于以色列,欧洲和美国 – 所以在用户旁边运行本地服务器的选项并不是真的可行。 我知道,由于slicehose是在美国 – 以色列的networking延迟很差,但我觉得,由于服务器的HTTP性能是可以接受的 – 我们应该能够做得更好。 为了尽量减lessssl握手 – 我定义了无限的sessionCacheSize和SessionTimeout,可以在上面的连接器定义中看到 但是,当我在客户端运行ssldump时,我仍然看到很多握手进行,似乎表明Tomcat实际上忽略了这些参数 服务器没有压力 – 与5个同时用户,有大约100MB的可用内存和几乎没有交换。
我有一个Web服务器(用于testing),我已经分配了3个IP地址。 目标是有3个SSL保护的网站。 我已经使用selfSSL7.exe工具来生成证书: selfssl7 /N cn=app.test.local /v 3650 /Q /T /X /F app.test.local.pfx /W password selfssl7 /N cn=api.test.local /v 3650 /Q /T /X /F api.test.local.pfx /W password selfssl7 /N cn=www.test.local /v 3650 /Q /T /X /F www.test.local.pfx /W password 这会将证书自动安装到用户个人证书存储(“我”)及其受信任的根证书颁发机构存储(“根”)中。 为了确定以前的尝试没有任何人工制品,我首先运行: certutil –delstore MY app.test.local certutil –delstore root app.test.local etc… for the other sites. 从问题中删除两家商店的证书。 […]
我最近撤销/清理了Puppet代理证书,这似乎对PuppetDB有负面影响。 我看到一个错误已经在这里提交了一些解决这个问题的指令。 用户在这里有一个类似的问题,但是这些都没有为我工作。 服务器运行CentOS 6.2,Puppet 2.7.13和Puppet DB 0.9。 错误是: root@harp:/etc/puppetdb/ssl> puppet agent –test err: Cached facts for harp failed: Failed to find facts from PuppetDB at harp.mydomain.com:8081: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed. This is often because the time is out of sync on the server or client info: Loading […]
从我的一台服务器连接到https站点时出现了一个奇怪的问题。 当我input: telnet puppet 8140 我提供了一个标准的telnet控制台,并可以一如既往地与服务器通话: Connected to athena.hidden.tld. Escape character is '^]'. GET / HTTP/1.1 <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>400 Bad Request</title> </head><body> <h1>Bad Request</h1> <p>Your browser sent a request that this server could not understand.<br /> Reason: You're speaking plain HTTP to an SSL-enabled server port.<br /> Instead use the […]
我试图在Windows 7机器上使用Nginx(1.2.3)设置SSL(0.9.8e)。 我已经生成了一个需要的自签名证书,所以我有一个密钥和一个证书文件。 当试图启动Nginx时,它失败了,我在日志文件中得到的错误信息是“共享区域”SSL“没有相等的地址”。 在我尝试引入SSL之前,它正在工作。 任何想法我做错了什么? 在我看来,网站只能在本地networking上访问,无论是否有所作为,我也远程访问networking服务器。 这里是我的configuration文件关于ssl的一部分: worker_processes 1; events { worker_connections 1024; } http { ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; include mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout 65; server { listen 443 ssl; server_name www.mydomain.com; ssl_certificate /nginx-1.2.3/ssl/server.crt; ssl_certificate_key /nginx-1.2.3/ssl/server.key; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; } } 谢谢
我已经从这个页面上的说明创build了一个自签名的证书,已经安装了,它似乎都工作正常,但现在我需要cURL来信任它。 由于更高版本的cURL不包括.pem文件中的受信任列表,因此我在此处下载了.pem文件,然后在php.iniinput以下行: curl.cainfo = "C:\xampp\php\cacert.pem" 现在我需要知道的是,如何让cURL信任我的自签名证书? 我不需要任何浏览器来信任它,只需cURL。
试图将我的jabber客户端(pidgin)连接到具有自签名证书的jabber服务器,我得到“无法validation证书”错误。 由于无法告诉客户不要validation链,我想获得证书链以便将其导入到那里。 所以我用: openssl s_client -connect my.jabber.server.net:5222 </dev/null 我得到以下答案: openssl s_client -connect cup1.sprachdienst.fraunhofer.de:5222 > CONNECTED(00000003) 140472458057376:error:140790E5:SSL > routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:177: > — no peer certificate available > — No client certificate CA names sent > — SSL handshake has read 0 bytes and written 213 bytes > — New, (NONE), Cipher is (NONE) Secure Renegotiation […]