对于PCI合规性,我的应用程序被迫使用反向代理服务器和后端应用程序服务器之间的安全/encryption连接,而进入反向代理的连接在端口80上,即反向代理需要充当http-to -https转换器。 一个简单的图表: IIS7 <—端口443 — nginx <—-端口80 —- Internet 我正在评估使用nginx鱿鱼为这,这是我在我的nginx.conf到目前为止: worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout 65; upstream backend { server mybackendserver:443; } server { server_name www.mysite.com listen 80; ssl on; ssl_certificate /etc/nginx/server.crt; ssl_certificate_key /etc/nginx/server.key; ssl_verify_client off; location = / { proxy_pass https://backend; proxy_set_header […]
我从来没有在网站上使用HTTPS,现在想试试它。 我做了一些研究,但不知道我是否理解了一切。 非常感谢答复和更正。 开始了: 要使用https,我需要为我使用的Web服务器生成“私有”和“公共”密钥。 在我的情况下,它是apache(手册: http : //httpd.apache.org/docs/2.0/ssl/ssl_faq.html ) Https协议应绑定到端口443。 问:怎么做? 是否默认完成? 我在哪里可以检查configuration? joinhttps。 问:如果我在浏览器中看到https,是否意味着页面上的数据stream量被encryption了? 页面上的任何表单都会通过https提交数据? 虽然所有的数据都会被encryption,但浏览器仍然会显示难看的红色信息。 这只是因为他们对我的证书一无所知。 他们有大约一百个预先安装的证书,但我显然不是其中之一。 但数据是由httpsencryption的。 如果我想让浏览器识别我的证书,我需要由预先安装证书(例如thawte,geotrust,rapidssl等)的证书颁发机构(ca)签名。 UPD:阅读关于ssl / tsl: HTTPS连接的第一个毫秒 ,我发现它非常丰富。 这里发布了如何在服务器端使用ssl / tslencryption的PHP代码示例。
我试图find一个高级configuration的例子,为我目前的情况。 我们为多个内部IIS服务器上的多个子域拥有通配符SSL证书。 site1.example.com (XXX194) -> IISServer01:8081 site2.example.com (XXX194) -> IISServer01:8082 site3.example.com (XXX194) -> IISServer02:8083 我期待通过一个服务器条目来处理传入的SSLstream量,然后将特定的域传递给内部IIS应用程序。 看来我有两个select: 编码每个子域的位置部分(从我发现的例子看起来很乱) 将未encryption的stream量转发回为每个子域名主机名configuration不同服务器条目的nginx服务器。 (至less这似乎是一个选项)。 我的最终目标是巩固我们的大部分SSLstream量以通过nginx,所以我们可以使用HAProxy来负载均衡服务器。 如果我正确设置了proxy_set_header条目,是否会在nginx中使用#2方法? 我在我的最终configuration文件(使用方法#2)中设想了一些东西: server { listen YYY174:443; #Internally routed IP address server_name *.example.com; proxy_pass http://YYY174:8081; } server { listen YYY174:8081; server_name site1.example.com; — NORMAL CONFIG ENTRIES — proxy_pass http://IISServer01:8081; } server { listen YYY174:8081; server_name site2.example.com; […]
我为mydomain.com购买了简单的SSL证书。 我也想保护www.mydomain.com和mail.mydomain.com,它们都映射到同一台服务器。 这可能吗? 我试图避免必须购买通配符SSL,因为它需要200美元,当我真正需要的是两个子域名。
在less数Apache服务器正在运行一堆使用HTTPS SSL证书的站点的环境中,应放置哪些证书? 在Debian或Ubuntu中,所有相关的文件应该放在/ etc / apache2 / ssl中? 还是有一些更适合这个的其他位置? 在同一台服务器上为多个网站select这些文件的位置时,应该解决哪些安全问题?
一位开发人员最近用我们的LAMP服务器运行了带有TripWire的PCI扫描。 他们确定了几个问题,并指示以下几点来纠正这些问题: 问题:SSL服务器支持SSLv3,TLSv1, 解决scheme:将以下规则添加到httpd.conf SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM 问题:SSL服务器支持SSLv3,TLSv1的CBC密码 解决scheme:禁用任何使用CBC密码的密码套件 问题:SSL服务器支持SSLv3,TLSv1的弱MACalgorithm 解决scheme:禁用任何使用基于MD5的MACalgorithm的密码套件 我试图search谷歌全面的教程如何构build一个SSLCipherSuite指令,以满足我的要求,但我没有find任何我能理解的。 我看到SSLCipherSuite指令的例子,但是我需要解释指令的每个组件。 所以即使在指令SSLCipherSuite ALL:!aNULL:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM ,我不明白例如!LOW意思。 有人可以a)告诉我SSLCipherSuite指令,将满足我的需求或b)给我一个资源,清楚地解释了SSLCipherSuite的每个部分是如何构build一个?
我们需要部署一个内置了自己的SSL证书的服务器应用程序,这将会滚动到未知数量的服务器,这将会上下。 我们可以使用任何CA来生成这个证书,但是最终我们只需要获得由godaddy或者其他任何CA颁发的509证书pfx文件。 我们可以在手中获得中级证书,但是这个Web服务器很简单,只允许我们指定pfx文件。 我们将无法分发或安装中间证书。 该应用程序是在Win2008及更高版本上运行的C#应用程序。 有什么方法可以解决这个问题? – 是否有一个足够可靠的证书,让浏览器在没有中间证书的情况下相信它? – 要么 ?
我想知道是否有可能创build一个带有前缀的通配符证书。 我知道* .domain.com将涵盖任何一级(例如one.domain.com,two.domain.com,three-four.domain.com等),但不会涵盖another.one.domain .com,因为这是2个级别。 我需要一个能识别前缀的通配符证书。 所以它会是www。*。domain.com。 这意味着,www.one.domain.com,www.two.domain.com,www.three.domain.com等都将正常工作。 这是可能的,是否有一个SSL提供者可以做到这一点?
如果我使用相同的密钥生成两个SSL证书,我是否稀释了证书的强度? (这是否为密码分析打开了大门,或是通过该渠道泄露数据的可能性)? 谢谢
我有一个非常奇怪的问题,每次我尝试在非SSL模式下浏览我的Rails应用程序时,Chrome(v16)和Firefox(v7)会不断强制我的网站以HTTPS的forms提供服务。 我的Rails应用程序部署在使用Capistrano,nginx,Passenger和通配符SSL证书的Ubuntu VPS上。 我在nginx.conf中为端口80设置了这些参数: passenger_set_cgi_param HTTP_X_FORWARDED_PROTO http; passenger_set_cgi_param HTTPS off; 我的nginx.conf的长版本可以在这里find: https : //gist.github.com/2eab42666c609b015bff ssl-redirect.include文件包含: rewrite ^/sign_up https://$host$request_uri? permanent ; rewrite ^/login https://$host$request_uri? permanent ; rewrite ^/settings/password https://$host$request_uri? permanent ; 当来自非SSL请求时,确保这三个页面使用HTTPS。 我的production.rb文件包含这一行: # Enable HTTP and HTTPS in parallel config.middleware.insert_before Rack::Lock, Rack::SSL, :exclude => proc { |env| env['HTTPS'] != 'on' } 我已经尝试通过nginx重写redirect到HTTP,Ruby on Railsredirect,也使用Rails视图使用HTTP协议的URL。 我的application.rb文件包含在before_filter钩子中使用的这个方法: […]