我需要在我的应用程序和Sql Server 2008之间实现SSL传输。 我使用的是Windows 7,Sql Server 2008,Sql Server Management Studio,而我的应用程序是用c#编写的。 我试图按照关于创build证书的MSDN页面, 这在“Encrpyt为一个特定的客户端”,但我无可救药的困惑。 我需要一些小小的步骤来成功实现encryption。 首先,我不明白MMC。 我在那里看到很多证书……这些证书是我应该用于自己的encryption还是被用于已经存在的事情? 另一件事,我假设所有这些证书文件都位于我的本地计算机上,为什么有一个名为“个人”的文件夹? 其次,为了避免上述问题,我做了一个自签名程序集的小实验。 如上面的MSDN链接所示,我使用了在SSMS中执行的SQL来创build一个自签名证书。 然后我使用下面的连接string来连接: Data Source=myServer;Initial Catalog=myDatabase;User ID=myUser;Password=myPassword;Encrypt=True;TrustServerCertificate=True 它连接,工作。 然后,我删除了我刚创build的证书,它仍然工作。 显然它从来没有做任何事情,但为什么不呢? 我怎么知道它是否真的在“工作”? 我想我可能会错过一个中间步骤(以某种方式)将文件从SSMS上传到客户端上? 我不知道我在做什么,所以任何帮助,build议,意见,引用你可以给我非常感激。 先谢谢你。 🙂
有没有人做过任何分析(或知道在哪里可以find一些!)互联网用户使用支持SNI(服务器名称指示)SSL / TLS证书的浏览器/操作系统组合的比例是多less? 我知道,例如XP上的IE不支持这个,旧版本的OSX也不支持。 我知道,没有像“典型”用户那样的东西,而且每个站点都有不同的configuration文件,但是我正在寻找某种程度的视图来说明这些configuration这些日常常用来帮助决策过程沿着一点我想要部署一个新的网站。 如果您确实提供了具体数字或分析参考,您是否也可以将date添加到答案中? 只是为了让将来看到这个问题的其他人有一个什么时候这个信息是最新的想法,正如我所期望的那样,随着时间的推移它将会转变。
我有一位安全顾问告诉我,出于安全原因,我们不能使用通配符SSL证书。 要清楚我更喜欢使用单个证书或多域证书(SAN)。 然而,我们需要服务器(plesk)到服务器100的子域名。 根据我的研究,人们不使用通配符的主要原因是以下这些似乎来自于verisign: 安全:如果一个服务器或子域受到威胁,所有的子域可能会被破坏。 pipe理:如果通配符证书需要被撤销,所有的子域将需要一个新的证书。 兼容性:通配符证书可能无法正常工作 旧的服务器 – 客户端configuration。 保护:VeriSign通配符SSL证书不受NetSure延长保修期的保护。 由于私钥,证书和子域名将全部存在于同一台服务器上,因此replace将如同replace这一个证书一样简单,并实现相同数量的用户。 那么有没有另外一个原因不使用通配符证书?
首先,我很抱歉我的英文不好。 我仍然在学习它。 这里是: 当我为每个IP地址托pipe一个网站时,我可以使用“纯粹的”SSL(没有SNI),并且在用户甚至告诉我他想要检索的主机名和path之前进行密钥交换。 密钥交换后,所有数据都可以安全地交换。 也就是说,如果有人正在嗅探networking,就不会泄露任何机密信息*(见脚注)。 另一方面,如果我按照IP地址托pipe多个网站,我可能会使用SNI,因此我的网站访问者需要告诉我目标主机名,然后才能向他提供正确的证书。 在这种情况下,有人嗅探他的networking可以跟踪他正在访问的所有网站域名。 我的假设是否有错误? 如果没有,这不代表隐私问题,假设用户也使用encryption的DNS? 脚注:我也意识到,一个嗅探器可以对IP地址进行反向查找,找出哪些网站被访问过,但是通过networking电缆以明文forms传输的主机名似乎使得对于审查机构而言,基于关键字的域阻塞更容易。
我希望标题清楚。 如何防止启用非ssl虚拟主机的HTTPS请求转到启用ssl的第一个虚拟主机(安装程序是Apache-SNI)。 例如,使用下面的缩写configuration, https://example.com ://example.com(非ssl虚拟主机)的请求由Apache在启用了ssl的vhost https://example.org 。 我想禁用这种行为,并可能回复相应的HTTP响应代码(不确定是什么)。 这可能不可能,但我想我会问。 # I actually have a SNI setup, but it's not demonstrated here. # I don't think it's relevant in this situation. NameVirtualHost *:80 NameVirtualHost *:443 <VirtualHost *:80> ServerName example.org </VirtualHost> <VirtualHost *:443> ServerName example.org </VirtualHost> <VirtualHost *:80> ServerName example.com </VirtualHost> 编辑:也许在第一个SSL虚拟主机的mod_rewrite规则?
最近我已经将Apache从2.2升级到2.4,我无法弄清楚如何弃用SSLCertificateChainFile指令。 错误: me@jessie:~$ sudo apache2ctl configtest AH02559: The SSLCertificateChainFile directive (/etc/apache2/sites-enabled/https.conf:103) is deprecated, SSLCertificateFile should be used instead Syntax OK 我目前的设置: SSLCertificateFile /etc/apache2/cert/ssl.crt SSLCertificateKeyFile /etc/apache2/cert/ssl.key SSLCertificateChainFile /etc/apache2/cert/sub.class1.server.sha2.ca.pem SSLCACertificateFile /etc/apache2/cert/ca.pem 证书由StartCOM签名。 手动说,现在整个链应该在一个文件,由SSLCertificateFile指令指定,但我不知道什么键和顺序我应该连接到这个文件。
我收到了我的同事的一个p7b文件,他让我把它安装在我们的一台服务器上。 它看起来像p7b是一样的.cert文件。 我查了一下谷歌找出如何安装该文件,它看起来像我也需要有.key文件。 是否可以使用.cert或.p7b文件创build密钥文件?
从性能和安全angular度来看,我应该使用哪种密码与openvpn? 根据http://openvpn.net/index.php/open-source/documentation/howto.html#security ,缺省值是Blowfish,推荐/示例是使用AES-256-CBC,因为其较大的密钥大小。 最佳做法是256位AES吗?
我想有一个单一的networking服务器与一个单一的证书,承载以下域名: onenameofthecompany.com othernameofthecompany.com www.onenameofthecompany.com www.othernameofthecompany.com bla.onenameofthecompany.com bla.othernameofthecompany.com … 从理论上讲,我可以创build一个具有以下特征的证书: 主题包含(*。)onenameofthecompany.com SubjectAlternateName包含: onenameofthecompany.com othernameofthecompany.com * .onenameofthecompany.com * .othernameofthecompany.com 我testing了这个设置,它似乎在Firefox和IE8的最新版本中工作。 问题: 我应该期望与此设置的客户端兼容性问题? 任何已知的问题,例如IE6或其他旧浏览器? 我应该把* .onenameofthecompany.com还是简单onenameofthecompany.com到证书的主题字段? (我知道在理论上,当SubjectAlternateNames出现在证书中时,浏览器应该忽略这个主题,实际上,我希望我知道会发生什么) 有没有可以为我创build这样的证书的广泛信任的CA?
我不知道为了用Starfield Wildcard SSL证书来debugging这个问题,我还有什么可以尝试的。 问题是,在某些浏览器(例如Safari或最新版本的Chrome OS X 10.5.8)中,证书即使在根域上也不可信。 我的服务器设置/背景信息: 一般LAMP设置 – CentOS 6.3 – 在Godaddy VPS上 Starfield Technologies通配符SSL证书 按照godaddy支持页面的指示安装 ssl.conf行基本上如下: SSLCertificateFile /path/to/cert/mysite.com.cert SSLCertificateKeyFile /path/to/cert/mysite.key SSLCertificateChainFile /path/to/cert/sf_bundle.crt 一切似乎工作正常,直到有一天晚上,当我注意到在OS X的问题,我认为它是更多的浏览器版本相关,但只能够在该特定的机器上复制它。 我曾经尝试过: 从godaddy的证书库和Starfield的版本库更新sf_bundle.crt 在Jim Phares之后的这个ServerFault的答案 – 从Starfield的仓库中将ChainFile行更改为sf_intermediate.crt 在我的url上使用http://www.sslshopper.com/ssl-checker.html 它表示该域在证书上正确列出,但出现一个错误, 该错误消息证书在所有Web浏览器中都不受信任。 您可能需要安装中间体/链式证书才能将其链接到受信任的根证书。 我可以尝试下一步来解决不可信的证书问题? 让我知道是否有任何其他信息可能有助于debugging此问题。 提前致谢! 解: My problem ended up being that I had forgotten to add the SSLCertificateChainFile line […]