我们的域名拥有GlobalSign域名证书。 我已经将证书安装到IIS中,并将GlobalSign域中间证书添加到本地计算机的中间证书颁发机构 似乎IIS不通过中间证书发送(在Firefox中导致错误),只是域证书。 我已经通过OpenSSL和GlobalSign自己的健康检查器等各种网站进行了validation。 在IIS中,我可以通过链接,每个证书是“好”,没有select安装任何指示他们已经是。 任何想法可能是错的?
我在使用Java 1.7的Java keytool实用程序生成带主题别名的密钥对时遇到了问题。 我试图按照这里find的说明。 我使用的命令示例如下(此示例已经过testing): keytool -keystore c:\temp\keystore.jks -storepass changeme -keypass changeme -alias spam -genkeypair -keysize 2048 -keyalg RSA -dname "CN=spam.example.com, OU=Spam NA, O=Spam Inc, L=Anywhere, S=State, C=US" -ext san=dns:spam,ip:192.168.0.1 然后我使用以下命令生成CSR: keytool -keystore c:\temp\keystore.jks -storepass changeme -alias spam -certreq -file c:\temp\spam.csr 其中生成以下证书请求: —–BEGIN NEW CERTIFICATE REQUEST—– MIIC5TCCAc0CAQAwcDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVN0YXRlMREwDwYDVQQHEwhBbnl3 aGVyZTERMA8GA1UEChMIU3BhbSBJbmMxEDAOBgNVBAsTB1NwYW0gTkExGTAXBgNVBAMTEHNwYW0u ZXhhbXBsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCExCFepag4KH+j8xgR BjI58hOEiFuSrkgbL5/1steru3+FwDb98R8XO90kKreq/Qt7s/oHbTpFOwotdkGVxA2x44/R5OYr Qdfk3v32ypJTxms/8tu0Zi9wbH2ruA/h5AhtZ9TV/xLPFSe5eFvN0pUl90p+9zfd0ZCmPQ69k3Lb JWlw7eIs7sD1yRqlYZL+HJWrsdtYTHjpqEURcZ5jN0H2YeM/eBWZr7eMKrT4xGRwotFj9AfHCiUj HH4XTJgkrbBtw96pkPYMj/C7TfUE/slCxafEBIkVKlkHLBb9ra3PVfW/QoDGsf2FjtNKOKFxyy7p A3A5ufdvrCVZ5EKWGrbbAgMBAAGgMDAuBgkqhkiG9w0BCQ4xITAfMB0GA1UdDgQWBBS1GytnaPx2 SAZCyto2BKh7Yw7bgTANBgkqhkiG9w0BAQsFAAOCAQEAIiwY6RIIJkgUQsdK2XiLJDhBnoxfsKjQ […]
即时通讯设法设置Apache与SSl和代理SSL请求到我的Tomcat实例。 我想我做了SSL的工作,但仍然是一个错误,显示: Bad Gateway The proxy server received an invalid response from an upstream server. * SSL虚拟主机* LoadModule ssl_module modules/mod_ssl.so Listen 443 <VirtualHost _default_:443> SSLEngine On SSLProxyEngine On DocumentRoot "/var/apache-tomcat-7.0.34/webapps/Learn2Gether/" SSLCertificateFile /etc/pki/tls/learn2gether/cert-6090205098829887.pem SSLCertificateKeyFile /etc/pki/tls/learn2gether/private_key_unlocked.pem SSLCertificateChainFile /etc/pki/tls/learn2gether/rubca-chain.pem BrowserMatch ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0 SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL ServerName www.learn2gether.rubel.rub.de ServerAlias learn2gether.rubel.rub.de #RewriteRule ^\/$ /Learn2Gether/index.html [PT] ##RewriteRule ^/(.*)$ /$1 […]
我在CentOS 5上的sendmail服务器开始拒绝一些连接,logging下面的消息: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1092:SSL alert number 40 当我尝试从CentOS 6服务器使用openssl连接到它时,出现以下错误: $ openssl s_client -starttls smtp -crlf -connect hostname.example.net:smtp (…) error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small:s3_clnt.c:3331 (…) Server Temp Key: DH, 512 bits (…) 暂时拒绝CentOS 6服务器上的邮件, Deferred: 403 4.7.0 TLS handshake failed 。 如何将CentOS 6 / RHEL 6的邮件发送至CentOS6 / RHEL5服务器?
我正在构build一个内部API的代理,以允许客户端进行连接,而无需安装自签名证书。 客户端(仅在内部构build,拥有和使用)将通过SSL连接到nginx框,我使用XSendfile在应用程序级别validation凭据(一个Rails应用程序)。 如果凭证是有效的,则连接被传回到nginx,在那里它使用proxy_pass将连接发送到上游服务器。 现在,这对于标准的http连接非常有用,但是我正试图弄清楚如何将我们的证书添加到组合中。 这个问题与这个问题几乎相同,但是证书要求很尴尬。 这甚至可以用nginx吗? 有更好的解决scheme吗? 我也解决了客户端的HTTP – > nginx,以及从nginx到API的自签名证书。
我正在使用apache2(2.2.3)服务的网站,我希望有客户端证书进行身份validation。 由于我只需要validation提交特定证书的用户是否是过去提供过该证书的同一个用户,那么签署证书的CA就无关紧要了。 似乎使用SSLVerifyClient require需要SSLCACertificateFile … (或SSLCACertificatePath … ),然后apache将只接受由该文件/path中的CA签名的证书。 有没有办法让apache接受任何客户端证书,无论发行/唱歌CA? (即,validation客户端是否具有相应的提供公钥的私钥,但不打扰validation签发/签署CA)
我刚刚在https://www.ssllabs.com/上testing了我的网站,并且说SSLv2是不安全的,我应该将其与弱密码套件一起禁用。 我如何禁用? 我尝试了以下,但它不工作。 通过ftp访问/etc/httpd/conf.d/ssl.conf 。 添加 SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT 通过putty连接到服务器,并提供service httpd restart命令。 但它仍然显示在网站上不安全。 我怎样才能解决它? 我的服务器是Plesk 10.3.1 CentOS。 在同一台服务器上有3-4个站点。
Verisign拥有所有这些证书发行公司:Verisign Thawte Geotrust和Rapidssl。 他们之间有什么区别,为什么价格差异如此之大? 更新:这只是我遇到的一些差异: GeoTrust没有链接:没有正确validation整个链的设备可能会有更好的运气与这一个。 我已经看到ActiveSync与非链式证书比链式证书更好地工作。 RapidSSL和Geotrust证书不是按照服务器授权的,所以这意味着您可以为整个网站群购买一个证书。 Verisign证书附带免费的每日恶意软件扫描,如果在您的网站上发现任何此类软件,则会提醒您。 只有Verisign代码签名证书适用于WinQual
menswearireland.com和www.menswearireland.com上的SSL证书可在Safari,Chrome,SeaMonkey,K-Meleon,QtWeb,Firefox和Opera上正常运行。 但是,Internet Explorer声称有一个错误: 本网站提供的安全证书不是由可信任的证书颁发机构颁发的。 本网站提供的安全证书是针对不同网站的地址发布的。 安全证书问题可能表示试图欺骗您或拦截您发送给服务器的任何数据。 Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0) 在同一个托pipe服务器上托pipe的另一个站点显示没有错误: achill-fieldschool.com和www.achill-fieldschool.com在IE上工作正常,尽pipe据我所知,证书的设置完全相同。 我究竟做错了什么? 这是运行Plesk的LAMPP服务器。 它看起来像服务器显示不同的证书不同的客户端。 对某些客户来说,它显示了www.menswearireland.com上的一个www.menswearireland.com证书, menswearireland.com是一个有效的替代名称。 对于其他客户,它展示了一个Parallels面板证书,由Parallels Panel 。 以下是几种不同的在线SSL检查程序的结果:大多数人说这很好,而两个显示错误。 三个在线检查员说这是有效的 Comodo SSL Check将其显示为有效 DigiCert SSL Check将其显示为有效 SSL购物者SSL检查将其显示为有效 通用名称: www.menswearireland.com SANs: www.menswearireland.com,menswearireland.com 有效期为2012年10月2日至2013年11月4日 序列号: 559425(0x88941) 签名algorithm: sha1WithRSAEncryption 发行人: RapidSSL CA 另一个在线检查似乎看到一个完全不同的证书 GeoCerts SSL Check将其显示为无效 通用名称: Parallels Panel 组织: Parallels 有效期为2012年8月15日至2013年8月15日 […]
除非我读过的每一个答案都是错误的,否则SNI应该可以做我想做的事情,然而每个指南都告诉我要做我正在做的事情。 然而,nginx正在提供错误的证书,所以我显然做错了什么。 ❯ sudo nginx -V | grep SNI %1 nginx version: nginx/1.10.3 built with OpenSSL 1.1.0f 25 May 2017 TLS SNI support enabled configure arguments: –with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-qJwWoo/nginx-1.10.3=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2' –with-ld-opt='-Wl,-z,relro -Wl,-z,now' –prefix=/usr/share/nginx –conf-path=/etc/nginx/ngi nx.conf –http-log-path=/var/log/nginx/access.log –error-log-path=/var/log/nginx/error.log –lock-path=/var/lock/nginx.lock –pid-path=/run/nginx.pid –modules-path=/usr/lib/nginx/modules –http-client-body-temp-path=/var/lib/nginx/body –http-fastcgi-temp-path=/var/lib/nginx/fa stcgi –http-proxy-temp-path=/var/lib/nginx/proxy –http-scgi-temp-path=/var/lib/nginx/scgi –http-uwsgi-temp-path=/var/lib/nginx/uwsgi –with-debug –with-pcre-jit –with-ipv6 –with-http_ssl_module –with-http_stub_status_module […]