Articles of ssl

假设我为每个用户创build了一个子域，像mysite.test.com这样的一个通配符SSL证书。 如果我允许用​​户通过CNAME拥有自己的自定义url，那么新的url仍然会覆盖在证书下，或者我需要为每个自定义url单独的证书吗？

我正在尝试使用AWS ELB获得HTTPS。 我一直在尝试大约一个小时，但无论我尝试什么，只要通过HTTPS连接就可以连接超时。 HTTP工作正常，但不是HTTPS。 任何人都可以提供帮助吗？

我在一个侦听TCP 443的应用程序上做了一些解决。这个特殊的应用程序通过SSL进行通信。 我想用netcat连接到它。 这可能吗？ 注意：我不问netcat是否可以encryption它的stream量。

我有一个通配符SSL证书和在同一个IP上的几个子域。 现在我想让我的nginx只处理提到的服务器名称，并放弃其他人的连接，看起来nginx不运行未列出的服务器名称（没有响应，拒绝，死亡，而不是单个字节的响应）。 我做了以下 ssl_certificate tls/domain.crt; ssl_certificate_key tls/domain.key; server { listen 1.2.3.4:443 ssl; server_name validname.domain.com; // } server { listen 1.2.3.4:443 ssl; server_name _; // deny all; // return 444; // return 404; //location { // deny all; //} } 我已经尝试了最后一个服务器块中的几乎所有东西，但没有成功。 我从已知的虚拟服务器或错误代码获得有效的响应。 请帮忙。

我有一个前系统pipe理员发出（crt文件）的SSL证书。search文件系统，我发现了几个.key文件。 如何将crt与密钥文件相匹配并确认它们匹配？ 这是带有Apache2 modssl的Ubuntu Server 11.10。

我有一个运行的Apache服务器，需要一个小的configuration更新。 我想强制Apache重新加载configuration（例如，通过/etc/init.d/httpd reload或apachectl优雅），但我不拥有我们的SSL证书密码。 拥有密码的pipe理员现在不可用。 如果我优雅地重新加载apacheconfiguration，SSL证书是否需要密码？ 或者只有在服务器完全重启时才会发生？

我目前有一个服务器，它会自动将所有的HTTP请求redirect到相应的HTTPS站点。 问题是，似乎有些浏览器不接受SSL证书（StartSSL.com）或不支持SNI，因此他们得到证书警告，用户将不会继续在网站上冲浪。 是否有任何机制试图使浏览器使用HTTPS而不是普通的HTTP，当这种方式不起作用时（例如，证书不被接受或者SNI不被支持），它将继续使用HTTP。 目前我使用的Apache 2.4与多个虚拟主机，所有redirectHTTP连接Redirect / https://domain.example/ 。

我们有一个目前拥有2个应用程序的networking服务器场 – 两个应用程序都在所有服务器上运行。 我们想分割这个，所以我们有一个专用的服务器场为每个应用程序（我们有很好的理由）。 我们希望在所有的服务器前都有一个负载均衡器，这个负载均衡器会根据主机名将stream量路由到正确的服务器场，但是我们希望维护到服务器的SSL。 看来我们提供的路由器不这样做。 我很欣赏，如果没有SNI，这是不可能的，但我们预计几乎所有的stream量的SNI指标。 现在我是程序员，而不是networking人员，但是当新的SSL连接请求进入时，路由器不能检查SNI头，并且路由到正确的场。 假设传入的SSL连接由{source IP：source port}标识，那么对于后续传入的数据包（如果SNI仅存在于第一个数据包中），它不能记住这一点吗？ 据我可以告诉Haproxy这样做，但似乎硬件负载平衡器不。 这是有什么理由的，还是我们应该推动的？ （对于最后一名在XP上使用不包含SNI的IE，我们希望将stream量发送到旧的农场，并在必要时pipe理代理到新的农场。

这里是我简写的nginx vhost conf： upstream gunicorn { server 127.0.0.1:8080 fail_timeout=0; } server { listen 80; listen 443 ssl; server_name domain.com ~^.+\.domain\.com$; location / { try_files $uri @proxy; } location @proxy { proxy_pass_header Server; proxy_redirect off; proxy_set_header Host $http_host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto https; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Scheme $scheme; proxy_connect_timeout 10; proxy_read_timeout 120; proxy_pass http://gunicorn; […]

我只是将我的debian wheezy服务器更新到最新版本的openssl软件包，它已修复了心跳错误。 我确实在我的服务器上支持SSL，但只能使用snakeoil证书。 我只是想知道是否实际上有任何安全问题关于更新snakeoil证书，或者我可以离开它，因为它是反正snakeoil证书？ 这个问题可能来自我对ssl缺乏的知识……但是如果我要改变我的snakeoil证书，提前感谢任何解释，如果是的话，为什么:)