我只是按照这个教程来设置一个带有dovecot和mysql的postfix邮件服务器作为虚拟用户的后端。 现在我得到了大部分工作,我可以连接到POP3(S)和IMAP(S)。 运用 echo TEST-MAIL | mail [email protected] 工作正常,当我login到我的Hotmail帐户,它显示电子邮件。 它也可以反向工作,因此我的example.com的 MX条目最终被传播了,所以我可以接收从[email protected]发送到[email protected]的电子邮件,并使用STARTTLS通过IMAP在Thunderbird中查看它们。 在尝试使用login到[email protected]的 Thunderbird将邮件发送到[email protected]时,我收到错误消息“ 5.7.1:中继访问被拒绝 ”后做了一些调查,我发现我的服务器正在执行作为一个“开放的邮件中继”,这当然是一件坏事。 深入挖掘教程的可选部分, 如此评论和其他内容 ,我决定完成这些步骤,以便能够通过[email protected]通过Mozilla Thunderbird发送邮件,而不会收到错误消息“ 5.7.1 :中继访问被拒绝 “(因为常见的邮件服务器拒绝打开中继的电子邮件)。 但是现在我遇到了一个错误,试图使用SMTPS来处理postfix,在/var/log/mail.log中读取它 Sep 28 17:29:34 domain postfix/smtpd[20251]: warning: cannot get RSA private key from file /etc/ssl/certs/postfix.pem: disabling TLS support Sep 28 17:29:34 domain postfix/smtpd[20251]: warning: TLS library problem: 20251:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:650:Expecting: ANY PRIVATE […]
一些电脑,但不是大多数,拒绝从我的networking服务器的SSL证书。 问题似乎是一些电脑拒绝CA证书。 这个问题似乎在Mac OS X 10.6上没有完全更新时显现出来。 根据http://www.sslshopper.com/index.php?q=ssl-checker.html#hostname=beta.asana.com – 没有问题。 根据http://certlogik.com/sslchecker/ ,没有中间证书被发送。 我的证书来自Starfield Technologies,我从这里使用sf_bundle.crt :certs.godaddy.com/anonymous/repository.seam 我通过以下stunnel.conf通过stunnel在我的服务器上处理SSL: cert = $CODEZ/admin/production/proxy/asana.pem CAfile = $CODEZ/admin/production/proxy/sf_bundle.crt pid = client = no [<forwarded port>] accept = 443 connect = 8443 任何想法我可能做错了什么?
在Debian Squeeze上,我使用nginx 1.2.7和OpenSSL 0.9.8o共30个域名。 在其中两个我启用了SSL,这两个工作正常。 SSLconfiguration用于两个域: listen 443 ssl; ssl_certificate /etc/nginx/ssl/example.org-unified.crt; ssl_certificate_key /etc/nginx/ssl/example.org.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; add_header Strict-Transport-Security max-age=600000; 使用ssllabs.com检查器检查两个域我得到一个域的通知“这个网站只适用于具有SNI支持的浏览器”。 对于其他域我没有得到这个消息。 似乎nginx默认情况下将按字母顺序排列的第一个域的证书发送给没有SNI支持的客户端。 我可以改变这种行为吗? 换句话说:我想configurationnginx使一个具有SSL的特定域,即使对于没有SNI支持的客户端也是如此。 其他域也应该与SSL一起工作,但是如果它仅适用于启用了SNI的客户端,则可以。 谢谢!
您可以使用* .domain.com作为名称来创buildSSL证书。 但不幸的是,这不包括https://domain.com 有没有解决这个问题?
我有一个运行Apache 2.2.22的mod_ssl和OpenSSL v1.0.1的Ubuntu 12.04.2 LTS服务器。 在我的虚拟主机configuration(其中所有其他行为像我所期望的),我有的SSLProtocol线与-all +SSLv3 。 有了这个configuration,TLS 1.1&1.2被启用并正常工作 – 这对我来说是非常直观的,因为我期望在给定configuration的情况下只能启用SSLv3。 我可以使用-/+TSLv1启用/禁用TLSv1,并且按预期工作。 但是+/-TLSv1.1和+/-TLSv1.2不是有效的configuration选项 – 所以我不能以这种方式禁用它们。 至于为什么我想要这样做 – 我正在处理一个第三方应用程序(我无法控制),有TLS启用的服务器有一些错误行为,我需要完全禁用它前进。
我们的networkingpipe理员最近在防火墙/路由器上启用了HTTPS检查。 对于IE用户来说,这是没有问题的,因为证书已经通过活动目录分发给join域的计算机。 但是,我们有许多Firefox用户现在几乎在每个HTTPS站点上都出现证书错误。 Firefox使用自己的CA商店, 他们也为此感到自豪 。 有什么办法让Firefox默认信任系统证书存储? 我在Linux上看到很多关于如何做这个的post,但是对于Windows来说没有什么。 我怀疑这个post是不可能的,但那个post已经快4年了。
我有一个服务器https://www.groups.example.com – 在FireFox我得到了“ This Connection is Untrusted ”的消息和“技术细节”说 www.groups.example.com uses an invalid security certificate. The certificate is only valid for the following names: *.example.com, example.com (Error code: ssl_error_bad_cert_domain) 我需要提供哪些其他信息才能解决这个问题? 刚刚得到设置的确认,但99%肯定是Linux和使用VHOSTS。 确认后立即更新问题。 www.groups.example.com是否被视为有两个子域名? 发行人是DigiCert
我想保留我们网站的SSL密钥。 它存储在2个USB存储棒上,一个放在保险箱里,另一个保持安全。 然后我是唯一一个将它应用到Web服务器的人,因此它是完全安全的。 除… 在IIS上至less可以导出密钥。 所以,任何pipe理员都可以获得密钥的副本。 有没有办法解决? 或者按照定义,所有pipe理员都可以完全访问所有密钥? 更新:我有我完全信任的系统pipe理员。 导致这种情况的原因之一是他们中的一个退出了(他们有一个小时的通勤时间,5分钟到新的通勤时间)。 虽然我信任这个人,但正如我们在某人离开时禁用他们的Active Directory帐户一样,我想我们应该有办法确保他们不能保留使用我们的SSL的能力。 而最简单的是,如果我是唯一拥有它的人。 我们的证书在一月份到期,所以现在是时候改变做法了。 根据答案,看起来我们不能。 因此,这导致了一个新的问题 – 当有人获得证书的时候,获得新的证书并撤销现有的证书是标准做法。 或者,如果离开的人是值得信赖的,那么我们是否继续拥有我们所拥有的证书?
我们需要SSL证书来方便less数员工进行远程访问和pipe理。 我不想让一群非技术用户在他们的家用电脑上安装一个自己发布的证书,所以我宁愿从一个值得信赖的供应商处购买一个。 我们不会把它用于任何types的电子商务或类似的东西,所以似乎很难certificate支付一些大牌供应商所要求的价格。 谁是一些很好的低成本提供者考虑? 在不同价位的产品之间有什么重要的区别? (证书业务真的和现在一样多吗?)
我想知道如何手动(使用openssl而不是puppet ca命令)创build可以由Puppet使用的CA? 目标是创build这样的CA,将其部署到多个puppetmasters上,而不是通过puppet cert命令在其上创build证书。 任何想法如何做到这一点? 我只能find这样的东西: https ://wiki.mozilla.org/ReleaseEngineering/PuppetAgain/HowTo/Set_up_a_standalone_puppetmaster但它没有工作 – 在创buildCA和客户端证书并将其应用到puppetmaster后,它抱怨: Feb 16 09:35:20 test puppet-master[81728]: Could not prepare for execution: The certificate retrieved from the master does not match the agent's private key. Feb 16 09:35:20 test puppet-master[81728]: Certificate fingerprint: 4F:08:AE:01:B9:14:AC:A4:EA:A7:92:D7:02:E9:34:39:1C:5F:0D:93:A0:85:1C:CF:68:E4:52:B8:25:D1:11:64 Feb 16 09:35:20 test puppet-master[81728]: To fix this, remove the certificate from both the […]