我正在为Apache 2configurationSSL。 我的系统是Ubuntu Server 10.04 LTS 。 在我的虚拟主机configuration中,我有以下与SSL有关的设置: SSLEngine On SSLCertificateKeyFile /etc/ssl/private/server.insecure.key SSLCertificateFile /etc/ssl/certs/portal.selfsigned.crt (附注:我正在使用.insecure作为密钥文件,因为该文件不是密码保护的,而且我想清楚地看到它是一个不安全的密钥文件) 所以,当我重新启动Apache,我得到以下消息: Syntax error on line 39 of /etc/apache2/sites-enabled/500-portal-https: SSLCertificateKeyFile: file '/etc/ssl/private/server.insecure.key' does not exist or is empty Error in syntax. Not restarting. 但文件在那里,并不是空的(实际上它包含一个私钥): sudo ls -l /etc/ssl/private/server.insecure.key -rw-r—– 1 root www-data 887 2012-08-07 15:14 /etc/ssl/private/server.insecure.key sudo ls -ld /etc/ssl/private/ drwx–x— […]
从Chrome 58开始,它不再接受依赖Common Name自签名证书: https : //productforums.google.com/forum/#! topic/chrome/zVo3M8CgKzQ;context-place = topicsearchin/chrome/category $ 3ACanary% 7Csort:相关%7Cspell:假 相反,它需要使用Subject Alt Name 。 我以前一直在关于如何生成一个自签名的证书的指南: https : //devcenter.heroku.com/articles/ssl-certificate-self哪些工作好,因为我需要server.crt和server.key文件我在做什么 我现在需要生成包括SAN新证书,但是我所有的尝试都没有使用Chrome 58。 这是我所做的: 我遵循上面提到的Heroku文章中的步骤来生成密钥。 然后我写了一个新的OpenSSLconfiguration文件: [ req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = san extensions = san [ req_distinguished_name ] countryName = US stateOrProvinceName = Massachusetts localityName = Boston organizationName = MyCompany […]
我们正在使用不同的IP地址块将服务器移动到另一个设施。 一旦移动已经发生,我们是否需要获得新的SSL证书? 如果是这样的话,有没有办法在服务器移动之前做好准备,而不是等待它启动,然后经过从IIS请求到证书供应商等的过程?
我试图设置一个服务器与多个Web应用程序,这将通过Apache的VirtualHost(在同一台服务器上运行的Apache)服务。 我的主要限制是每个Web应用程序都必须使用SSLencryption。 在googlesearch了一会儿之后,在stackoverflow上查看其他问题,我为VirtualHost编写了以下configuration: <VirtualHost 1.2.3.4:443> ServerName host.domain.org <Proxy *> Order deny,allow Allow from all </Proxy> SSLProxyEngine On ProxyRequests Off ProxyPreserveHost On ProxyPass / https://localhost:8443/ ProxyPassReverse / https://localhost:8443/ </VirtualHost> 即使https://host.domain.org:8443可以访问,但是https://host.domain.org不是,这打破了我的虚拟主机configuration的目的。 Firefox抱怨说,即使成功连接到服务器,连接也被中断。 我也在apache error.log中得到以下警告: proxy: no HTTP 0.9 request (with no host line) on incoming request and preserve host set forcing hostname to be host.domain.org for uri […]
我已经在我的debian 6服务器上设置了ispconfig3,这里有一个通过SSL的smtp: 服务器是后缀 AUTH PLAIN (LOL!) 235 2.7.0 Authentication successful MAIL FROM: [email protected] 250 2.1.0 Ok RCPT TO: [email protected] RENEGOTIATING depth=0 /C=AU/ST=NSW/L=Sydney/O=Self-Signed Key! Procees with caution!/OU=Web Hosting/[email protected] verify error:num=18:self signed certificate verify return:1 depth=0 /C=AU/ST=NSW/L=Sydney/O=Self-Signed Key! Procees with caution!/OU=Web Hosting/[email protected] verify return:1 DATA 554 5.5.1 Error: no valid recipients 但事情是,如果我只是通过25端口做一个香草telnet我可以validation和发送邮件像疯子…希望这是足够的信息! (而不是'mail.app不能处理ssl!')
我们最近为我们的域名购买了通配符SSL证书。 我们将所有的证书都转换成Java密钥库,但现在我们正在问自己应该在哪里存储这些证书以备后用。 人们使用像BitBucket这样的源代码控制来处理这些types的文件,或者只是在每次需要的时候生成,或者其他的东西? 我们想知道是否有一个标准的解决scheme或任何有关存储这些证书以供将来使用的“最佳实践”。
我们希望支持使用TLS 1.1和1.2的Web浏览器,这已经由Microsoft显然实现,但是默认情况下是closures的。 于是我在Google上search,发现了一些似乎每个人都在看的页面: http://support.microsoft.com/kb/245030 http://derek858.blogspot.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html 然而! 它似乎并没有为我工作。 我为TLS 1.1和1.2设置了DisableDByDefault和Enabled的DWORD值。 我可以确认我的客户端正在尝试与TLS 1.2进行通信,但服务器只响应1.0。 我重新启动了IIS,但并没有改变这种情况。 Microsoft指出:“警告:Protocols项下的registry项中的DisabledByDefault值不会优先于SCHANNEL_CRED结构中包含Schannel凭据的数据所定义的grbitEnabledProtocols值。 那么,这对我来说很模糊。 我找不到SCHANNEL_CRED被定义或设置的任何地方,我可以确定它是在Microsoft库中定义的结构。 这是我唯一的猜测,为什么这不起作用,但我找不到足够的信息来确定这是否是真正的问题。
我可以从根CA获得证书,然后我可以使用它来签署我自己的Web服务器证书吗? 如果可能,我会使用签名证书作为中间人签署其他证书。 我知道我必须用“我的”中间证书以某种方式configuration我的系统,以便向我的客户提供关于信任链的信息。 这可能吗? 根CA是否愿意签署这样的证书? 这个很贵吗? 背景 我熟悉SSL的基础知识,因为它涉及通过HTTP保护Webstream量。 我还对信任链的工作方式有了一个基本的了解,因为如果您使用具有有效链的证书进行encryption,那么根据浏览器的确定,networkingstream量将被“默认”保护/ OS供应商。 我也知道,许多根CA已经开始用中级证书为最终用户(如我)签名证书。 这可能需要在我的一端更多的设置,但否则,这些证书将正常工作。 我想这与保护CA的全部有价值的私钥以及如果我曾经被盗用过的灾难有关。 例子 https://www.microsoft.com https://www.sun.com https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs 现在,我们绝对不是这些组织的规模,但他们似乎正在做这样的事情。 这肯定会使这些证书的pipe理更加可口,尤其是考虑到我们正在扩大电子商务平台的范围。
我知道build立SSL需要一个专用的IP。 如果我们为共享IP的域添加SSL,会发生什么? (了NameVirtualHost)
我正尝试使用OpenSSL连接到SSL服务器。 当我运行: openssl s_client -connect myhost.com:443 以下SSL客户端configuration工作得很好: Windows( OpenSSL 0.9.83e 23 Feb 2007 ) Linux( OpenSSL 0.9.8o 01 Jun 2010 ) Linux( OpenSSL 1.0.0-fips 29 Mar 2010 ) 任何成功连接的输出如下所示: New, TLSv1/SSLv3, Cipher is DES-CBC3-SHA Server public key is 2048 bit Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : […]