目前,我正在使用Apache 2.2.3和CentOS 5.4作为我的php应用程序(运行在5.3.7上的php),应用程序正在HTTPS上运行,并且拥有根CA证书。 问题是,我们遇到了一些与IE9(只有IE9)奇怪的问题。 当IE9浏览器向我们的服务器提交HTTPS请求时,有时候没有HTTPS响应。 我注意到IE9会刷新页面。 更具体地说,所提到的页面是login页面。 所以,当我input用户名和密码,提交表单,但没有响应和IE9似乎重新加载相同的login页面。 (空白的用户名和密码) 从应用程序级别跟踪时,我注意到我收到了用户名和密码,应用程序没有错误地结束。 主要的头痛是它不能每次都被复制。 有时我们可以login没有任何问题,但有时会有上述的问题。 现在我们公司有networking团队,开发人员和其他团队。 我们的Apache运行在负载平衡器下。 networking人声称,他们永远不会改变任何设置,唯一的变化是我们的应用程序。 但是从开发人员的angular度来看,这些变化与login过程无关。 从我的angular度来看,好像有一次用户点击提交,而应用程序(apache)通过发送HTML(HTTPS响应)来做它的function,但是HTML在networking中以某种方式消失了。 我怀疑有什么关系连接保持活着? 可能IE9浏览器代理处理它的方式不同,它以某种方式认为连接失败,并重新加载页面重试? 但无论如何,我已经注意到在SSL中的以下设置SSL连接: SetEnvIf User-Agent“。MSIE 。 ”\ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 不知道我们如何设置,以排除IE9及以上? 当我search时,上面的设置是为了解决IE浏览器与Apache连接时长期存在的问题。 但是,由于IE9是相当全新的可能问题已经确定,我们需要更新设置? 希望有人可以在这方面解释一些情况。
我在我的服务器的Windows事件日志中得到这个错误: 从远程客户端应用程序收到TLS 1.0连接请求,但服务器不支持客户端应用程序支持的任何密码套件。 SSL连接请求失败。 当我尝试从Windows Server 2003框中连接到Windows 7框上的Web服务时。 如何将密码套件添加到其他支持的密码套件? (修复客户端是理想的,但如果服务器解决scheme没有问题 – 我可以访问所有涉及到的盒子,我只是希望在它们之间进行一些基本的encryption以保护隐私)。 随着数小时的search和阅读,我尝试了: 检查服务器的Windows事件查看器(发现密码套件错误) 从http://support.microsoft.com/kb/948963添加到test1的密码套件(没有帮助) 在服务器的Windowsregistry中的密码套件中的协议中添加了TLS 1.0(无变化) 安装IIS工具希望增加更多的协议到Schannel(它不) 为客户再次输出证书,但是包含私钥(不变) 检查安装的密码套件是否匹配服务器和客户端(无法findwin2k3列出的密码套件) 将TLS_RSA_WITH_AES_256_CBC_SHA(由上述修补程序安装)添加到服务器的密码套件(nope,已经在那里)
我一直在试图获得SSL连接到LDAPS服务器(Active Directory)工作,但仍然有问题。 我试着用这个: openssl s_client -connect the.server.edu:3269 结果如下: verify error:num=20:unable to get local issuer certificate 我想,好吧,好的服务器是几年前的一个旧的生产服务器。 也许CA不存在。 然后我把输出中的证书放到一个pem文件中,然后试着: openssl s_client -CAfile mycert.pem -connect the.server.edu:3269 而这也没有工作。 我错过了什么? 不应该一直工作?
我一直在试图build立一个SSTP VPN到我的SBS 2011服务器,并一直在与证书问题作斗争。 我已经能够为我的外部VPN地址生成一个新的证书,将其导入到我的客户端机器,并将我的服务器添加为受信任的证书颁发机构。 现在我得到的错误: Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline. 当我检查证书上的CRL分发点时,我发现只有我的内部地址是唯一的url,所以我添加了另一个指向我的外部地址(保持原始内部URL完好无损)。 我生成一个新的证书,从我的客户端删除现有的一个,并导入新的,并重新启动RRAS和validationSSTP正在使用我的新证书,但我仍然得到相同的错误。 当我查看详细信息时,我导入的证书看到新的外部CDP出现在列表中( http://mydomain.com/CertEnroll/MYSERVER-CA.crl )。 当我把它放到networking浏览器中时,我收到一条消息,说CRL导入是成功的,这让我知道这个URL可以从外部访问,并且在线。 我觉得这是我和一个安全的VPN之间的最后一站,我在这里错过了什么?
我读了: 默认情况下,OpenSSLencryption工具被configuration为创buildSHA1签名。 例如,如果要生成SHA256签名的证书请求(CSR),请在命令行中添加:-sha256 我被要求将现有的SHA1证书升级到SHA256。 我产生了一个新的企业社会责任,并将其发送给RapidSSL,然后才意识到我没有在CSR中指定-sha256 。 我已经联系他们,他们说: “已经取得了一个Sha2证书,目前的订单状态正在等待批准。一旦订单被批准,新的证书将发行SHA2algorithm。 我的问题是,他们有可能得到我的SHA1 CSR,并说“好吧,我们现在给你一个SHA256证书,因为我们现在就这样做”? 那么这个证书是否可以和我生成的对应于SHA1 CSR的私钥一起工作呢? 它是如何工作的? 当我在产生一个CSR时通过了-sha256 (或者我没有这样做),除了在CSR上注明“嘿,这个人需要在他们的证书上encryptionSHA256”之外,还有什么影响呢? 它以任何方式影响生成的私钥?
我怎样才能将现有的木偶客户迁移到一个新的puppetmaster服务器? 我宁愿不手动去每个客户端框,并生成一个新的证书。 当试图显而易见 – 从/ etc / puppet和/ var / lib / puppet到新服务器的所有文件 – 我们得到证书错误 /etc/init.d/puppetmaster start * Starting puppet master Could not run: Retrieved certificate does not match private key; please remove certificate from server and regenerate it with the current key 我可以通过将/var/lib/ssl/certs和/var/lib/ssl/private_key文件从old_hostname复制到new_hostname ,这基本上是将puppet客户端迁移到一个新的puppet master主服务器不见了,只用备份) 不幸的是,我的客户仍然知道有什么不妥之处,并给我以下错误: sudo puppetd –test –server newservername.example.net –noop info: Retrieving […]
例: * .example.com的通配符SSL证书安装在两个不同的框中。 hostEU.example.com A 60.70.80.90 hostUS.example.com A 200.210.220.240 我认为这是一个完全有效的场景,其中实际的主机名不在相同的IP(甚至是相同的盒子)。 我的假设是否正确?
我知道它已经被问到,但是尽pipe经过了很多小时的研究,我找不到一个可行的解决scheme。 我试图在我的服务器上安装我的根证书,所以内部服务可以使用SSL相互绑定。 什么应该知道新的根CA: Apache httpd和PHP OpenLDAP客户端 Node.js的 对于Apache我需要一个PHP应用程序来了解根证书,所以如果一个站点连接到另一个SSL网站(由相同的CA签名),它工作正常,它不会抱怨自签名证书。 对于OpenLDAP,我相信它和PHP一样,它使用的模块是相当老的,它是Net_LDAP2,安装了PEAR。 我尝试编辑本地openldapconfiguration,但它看起来像系统没有使用它。 最后Node.js,我用于parsoid。 node.js服务器必须信任CA才能build立良好的SSL连接。 我尝试将证书添加到/etc/pki/tls/certs/ca-bundle.crt,但成功率很低。 虽然httpd没有看到根CA,我设法使其他服务工作,如tomcat和389。 感谢您的支持。
tl; dr 固定 我一直运行Jenkins实例一段时间与自签名证书,除了在浏览器中创build证书validation例外的麻烦除了工作正常。 所以今天我从StartSSL获得了一个免费的1级证书,在/etc/sysconfig/jenkins更改了path,并重新启动了服务,但是根本不起作用: $ openssl s_client -connect localhost:8080 -debug CONNECTED(00000003) write to 0xdce210 [0xdeeca0] (171 bytes => 171 (0xAB)) 0000 – 16 03 01 00 a6 01 00 00-a2 03 03 52 e3 f5 18 90 ………..R…. 0010 – e2 24 10 6a 6e ee 24 88-cd 52 e8 a8 0b 6f 71 […]
我正在生成一个自签名的SSL证书: $ openssl req -x509 -newkey rsa:2048 -subj 'CN=example.com' 我想在创build时指定一个subjectAltName ,但是在openssl的manpage中找不到关于如何执行的信息。