我有一堆关于ssl,本地会话和负载平衡的问题,这些问题似乎是相互关联的,所以我对这个问题的长度提前道歉。 我有一个使用基于文件的会话的网站。 网站的性质大部分是http,但有些章节是ssl。 目前,由于基于文件的会话,任何ssl请求都必须与之前的任何http请求相同的服务器。 由于时间的限制,我想做最简单的事情来负载平衡增加http和sslstream量。 粘性负载均衡algorithm似乎有两个选项: 基于IP 基于cookie 基于IP的解决scheme可能会工作,但哈希algorithm可能会改变服务器,当服务器宕机或添加这是当前基于文件的会话设置不可取的服务器。 我还假设用户在浏览网站时合法地更改ips在技术上是可行的。 基于cookie的algorithm似乎更好,但是当sslencryption时无法检查cookie看起来呈现出自己的问题。 我一直在search如何负载平衡ssl的例子,我似乎无法find任何明确的例子,可以做基于cookie的负载平衡,并可以通过增加另一个ssl解码器来处理增加ssl负载的设置。 我见过的大多数显式示例都有位于浏览器客户端和负载平衡器之间的ssl解码器(通常是硬件,apache_mod_ssl或nginx)。 这些例子通常看起来像这样(从http://haproxy.1wt.eu/download/1.3/doc/architecture.txt中修改): 192.168.1.1 192.168.1.11-192.168.1.14 ——- + ———– + —– + —– + —– + | | | | | + – + – + + – + – + + – + – + + – + – + + – + – […]
到目前为止,我还没有用nginx来使用SNI。 但是,由于IP地址池相当充足,商业XP支持即将停止(最终),我正在考虑将几个网站转换为SNI。 我意识到SNI(XP问题,非常古老的浏览器)可能带来的一般限制和缺陷。 但除此之外,还有什么我应该知道的? 像 – 与使用SNI相关的陷阱 – 与最近(着名的!)浏览器的问题/错误
我必须在Windows 2003 Server上更新我的SSL证书。 供应商(Thawte)告诉我,我的证书签名请求是不可辞退的,我认为我需要提出一个全新的证书请求。 然而,在IISpipe理器中,只要我安装了当前的证书,我唯一的select是: 续订当前的证书 删除当前的证书 replace当前的证书 将当前证书导出到.pfx文件 将当前证书复制或移动到远程服务器站点 我认为“replace”将是显而易见的select,但它不能让我select创build一个新的请求来取代当前的证书; 我只能在服务器上已经安装的证书之间进行select。 如果我“删除”当前的证书以便申请一个新证书,是否会导致我的客户立即被告知我的服务器不安全? 还是我误解Thawte的文档,我真的可以续订? 我过去已经更新了证书,我无法想象没有任何办法可以解决这个问题,而不会中断“SSL安全”状态。 提前致谢。
换句话说,没有从证书权威人士(从用户的angular度)签署公钥证书的安全风险是什么? 我的意思是,数据仍然是encryption的…中间的一个人可以用一个没有签名的证书吗?
我不断收到这个错误: No cURL data returned for https://XXX.XXXX.XXX:XXXX [0] SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed 我不确定,或者我可以说,我不知道这个问题是什么。 以及如何解决这个问题? 请帮忙!
我有一个.p7b格式的SSL证书,我需要转换为.pfx。 如果我通过Windows证书pipe理来尝试这个选项,专家作为.pfx被禁用。 尝试openssl我已经find了以下两个命令来做转换: openssl pkcs7 -print_certs -in certificate.p7b -out certificate.cer openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out certificate.pfx -certfile CACert.cer 但是我不确定使用第二个命令或CACert.cer引用什么证书的关键。 如何将此密钥转换为.pfx格式?
对于网站scirra.com( 单击SSL Labs服务器testing结果 )Google Chrome报告以下图标: 这是一个EV SSL,它似乎在Firefox和Internet Explorer中运行良好,但不是Chrome。 这是什么原因?
最近我们的基础设施团队告诉我们的开发团队,你不需要https的证书。 他们提到,购买证书的唯一好处是让消费者放心,他们正在连接到正确的网站。 这违背了我对https所做的一切。 我阅读维基百科 ,它提到你需要一个可信任的证书或自签名证书来configurationhttps。 有没有可能configurationIIS响应HTTPS没有任何证书?
我正在调查是否可以使木偶生态系统利用我们现有的微软企业CA而不是自己的CA. 由于木偶吹嘘所有的系统都是“标准的SSL”,我的猜测是完全可以做到这一点,没有太多的傀儡变化,但是除非傀儡被编辑来正确地呼叫企业,否则这可能是一个巨大的人工头痛CA. 有没有人试过这个? 是“这里是龙,转身!” 情况?
我有一个问题在不同的问题上出现了,但是我仍然找不到解决scheme。 我的问题是,我在Debian上使用SSL和Internet Explorer 7在apache 2.4上托pipe了一个站点 Internet Explorer cannot display the webpage 我只有一个使用SSL的虚拟主机,但使用http的不同虚拟主机。 这是我启用SSL的网站的configuration(etc / sites-avaible / default-ssl没有链接) <Virtualhost xx.yyy.86.193:443> ServerName www.my-certified-domain.de ServerAlias my-certified-domain.de DocumentRoot "/var/local/www/my-certified-domain.de/current/www" Alias /files "/var/local/www/my-certified-domain.de/current/files" CustomLog /var/log/apache2/access.my-certified-domain.de.log combined <Directory "/var/local/www/my-certified-domain.de/current/www"> AllowOverride All </Directory> SSLEngine on SSLCertificateFile /etc/ssl/certs/www.my-certified-domain.de.crt SSLCertificateKeyFile /etc/ssl/private/www.my-certified-domain.de.key SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM SSLCertificateChainFile /etc/apache2/ssl.crt/www.my-certified-domain.de.ca BrowserMatch "MSIE [2-8]" nokeepalive downgrade-1.0 force-response-1.0 </VirtualHost> <VirtualHost *:80> […]