我听说,当很多名称被添加到一个单独的SAN Cert(主题备用名称)性能开始降低。 有人可以解释SAN证书是如何处理的,所以我知道是什么原因导致性能成本随着SAN上的名称的增加而增加?
我试图build立一个Apache的Ubuntu的PHP的Web服务器。 我的networking服务器将托pipe多个SSL站点,每个SSL站点将拥有自己的IP地址(除非有更好的方法来做到这一点)。 所以我想第一步是让Apache能够识别至less两个不同的IP地址。 现在,我有一个网站的SSL和非SSL版本,这是http://mysite.com和https://mysite.com 。 虽然两者都在我的服务器上运行,但我不能同时使用不同的IP地址。 目前,两者都使用IP 1.1.1.1。 我购买了第二个IP地址2.2.2.2,但是https://mysite.com不会接受它,而且firefox抱怨错误“ssl_error_rx_record_too_long”。 这里看看我的2个虚拟主机文件 / 000-缺省的/ etc / apache2的/启用站点 #NameVirtualHost 1.1.1.1:80 #<VirtualHost 1.1.1.1:80> <VirtualHost *:80> ServerAdmin webmaster@localhost DocumentRoot /var/www <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride None Options +ExecCGI […]
我刚刚买了一个SSL证书,这里是我得到的所有证书文件: Root CA Certificate – xxCARoot.crt Intermediate CA Certificate – x1.crt Intermediate CA Certificate – x2.crt Intermediate CA Certificate – x3.crt Your EssentialSSL Wildcard Certificate – mydomain.crt 现在在apache上安装我的证书: 我需要公开根CA证书吗? 由于Apache只允许1 SSLCertificateChainFile指令,我应该创build中间CA的捆绑文件? 如果是这样。 将包文件中的证书顺序颠倒如下: 猫x3.crt x2.crt x1.crt> myca.bunndle 如果必须添加根证书,它是否进入最后(在z1之后)或者第一个(在x3之前)包中(假设顺序是正确的)?
我想主持一个网站,应该听取子域名(如sub.domain.com)与多个网站,住在二级域名(如domain2.com,domain3.com)与IIS和SSL。 对于具有子域名的网站,我有一个通配符证书(*。domain.com),我也有专门针对其他网站(domain2.com和domain3.com)的证书。 可以将这样的设置托pipe在同一个IIS上(如果这很重要,则在Azure云服务Webangular色中)? 问题正是titobf 在这里解释的 :从理论上讲,我们需要使用SNI进行绑定,为domain2 / 3.com指定主机,然后为* .domain.com指定主机。 但是在实践中,不pipe如何设置绑定,如果所有网站都处于打开状态,它也会收到所有对domain2 / 3.com的请求(虽然据说它只是作为最后一招)。 任何帮助,将不胜感激。 仍然没有解决 不幸的是,我无法解决这个问题:它似乎只能以非常复杂的方式解决,比如创build一个位于IIS和Internet之间(基本上是防火墙)的软件,并修改传入的请求(在SSL握手发生之前! )以允许该场景。 我相当有信心,这是不可能的,无论如何,甚至不从本地模块。 我必须澄清:我们使用Azure云服务,所以我们有一个进一步的约束,我们不能使用多个IP地址(请参阅: http : //feedback.azure.com/forums/169386-cloud-services-web-and -worker-role / suggestions / 1259311-multiple-ssl-and-domains-to-one-app )。 如果您可以将多个IP指向您的服务器,那么您就不会遇到这个问题,因为您也可以为IP创build绑定,并且这些将一起使用通配符绑定。 更具体地说,您需要通配符站点的IP(但由于您现在拥有单独的IP,因此您不必configuration通配符主机名绑定),而为所有其他非通配符configuration另一个IP。 其实我们的解决方法是使用非标准的SSL端口8443.所以SNI绑定实际上绑定到这个端口,因此它和其他绑定一起工作。 不好,但是可以接受的解决方法,直到你可以使用多个IPangular色。 现在是非工作绑定 第一个https绑定是带有简单证书的SNI,第二个不是SNI,带有通配符证书。 http站点和SNI https站点一样工作,但带有通配符绑定的站点提供了“HTTP错误503.服务不可用”。 (没有任何进一步的信息,没有失败的请求跟踪或事件日志条目)。 最后得到它基本上工作 如Tobias所述,启用ETW跟踪日志显示根错误如下: 请求(请求ID 0xF500000080000008)由于原因而被拒绝:UrlGroupLookupFailed。 据我了解这意味着http.sys不能将请求路由到任何可用的端点。 使用netsh http show urlacl检查注册的端点netsh http show urlacl确实有一些注册为端口443的东西: Reserved URL : https://IP:443/ User: NT AUTHORITY\NETWORK […]
我的网站https://www.snipsalonsoftware.com/的SSL证书不适用于Android。 在解决这个问题时,我把我的网站插入到Qualys SSL Labstesting工具中: https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104 这份报告似乎告诉我,我有“连锁问题”。 有些东西是“不完整的”。 但是我很难理解什么是不完整的。 在下一节中,在“authenticationpath”下,我看到橙色(我猜橙色意味着“有点不好”)“额外下载”。 我不知道这意味着什么或如何解决这个问题。 我发现这个线程 ,但我不知道如何将他们正在说的解释为我。 我该怎么办?
我在Apache服务器后面运行两个服务:Jenkins(端口8080)和SonarQube(端口9000)。 我的apacheconfiguration如下所示: <VirtualHost *:80> ServerName server Redirect permanent / https://server.domain.com/ </VirtualHost> <VirtualHost *:80> ServerName server.domain.com Redirect permanent / https://server.domain.com/ </VirtualHost> <VirtualHost *:443> ServerName server.domain.com SSLEngine on SSLCertificateFile /etc/ssl/certs/server.crt SSLCertificateKeyFile /etc/ssl/private/server.key ProxyPass /jenkins http://localhost:8080/jenkins nocanon ProxyPassReverse /jenkins http://localhost:8080/jenkins ProxyPassReverse /jenkins http://server.domain.com/jenkins ProxyPassReverse /jenkins https://server.domain.com/jenkins ProxyPass /sonar http://localhost:9000/sonar nocanon ProxyPassReverse /sonar http://localhost:9000/sonar AllowEncodedSlashes NoDecode ProxyRequests Off ProxyPreserveHost […]
我有一个只能通过HTTPS访问的Web应用程序。 是否有可能完全closures80港口? closures端口80有什么缺点,除了浏览器不能以非encryption的方式打它? search引擎可见性不是优先事项。
当试图运行任何rpm命令时,我得到跟随错误。 我不知道为什么我得到一个curl错误,但我已经尝试了许多不同的选项,都失败了。 运行CentOS7和代理 [root@CentOS7]# rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm Retrieving https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm curl: (60) Peer's certificate issuer has been marked as not trusted by the user. More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't adequate, you can specify […]
我试图说服客户为需要login的网站支付SSL费用。 我想确保我正确理解有人可以看到正在发送的密码的主要情况。 我的理解是,沿途的任何一跳都可以使用数据包分析器来查看正在发送的内容。 这似乎要求任何黑客(或他们的恶意软件/僵尸networking)与包到达目的地所经过的任何一跳相同。 是对的吗? 假设这个子网需求的某些风格是成立的,我是否需要担心所有的跳跃或只是第一个? 第一个我可以担心,如果他们在公共Wifinetworking,因为任何人都可以在监听。 我应该担心子网中会发生什么事情,数据包将穿越外面呢? 我不知道networkingstream量是多less,但是我认为它是stream经主要运营商的数据中心,那里没有很多多汁的攻击媒介,但如果我错了,请纠正我。 是否有其他媒介在使用分组分析仪进行监听的人之外担心? 我是一个networking和安全noob,所以如果我在这里使用了错误的术语,请随意设置我。
在工作中,我有一堆使用普通http或自签名证书(负载平衡器pipe理接口,内部wiki,cacti,…)的Web界面。 没有可从特定的vlans /networking到达。 对于家庭使用,我使用cacert SSL证书。 我想知道是否应该build议我的雇主使用cacert SSL证书而不是自签名证书和普通的http。 任何人在生产中使用cacert ssl? 什么是亲/缺点? 它提高了安全性吗? pipe理更容易吗? 什么意外? 它可以影响扫描吗? 我怎样才能说服他们? 当然,公共网站的支付证书将保持不变。 编辑: (只是好奇)从公司免费ssl证书似乎不是第3类。我必须显示我的护照,并在身体礼物从cacerts 3级。 浏览器中是不是每个class 1都有警告? 无论如何,我会有任何免费的CA相同的问题:是否比使用自签名和普通的http更好, 为什么 ? 我会为了便于pipe理而做到这一点,服务器端。 我错过了什么? 免责声明 :我不是一个cacert协会成员 ,甚至没有Assurer,只是一个普通的快乐的用户。