我有一个.cer证书,我想将其转换为.pem格式。 如果我没有记错,我曾经可以通过在Base64中导出.cer来转换它们,然后将文件重命名为.pem 。 如何将.cer证书转换为.pem ?
使用来自这个网站的指示,但改变他们只是一点点我创build一个使用-newca的CA,我复制cacert.pem到我的cacert.pem ,并作为信任发行人在IE中导入。 然后我做了-newreq和-sign(注意:我做了/full/path/CA.sh -cmd而不是sh CA.sh -cmd )并将证书和密钥移到了apache。 我访问了IE中的网站,并使用.NET代码,它似乎值得信赖,伟大(除非我写在前面预期的WWW)。 但每次我重新启动Apache我需要input我的密码为网站(s?)。 我怎样才能让它,所以我不需要input密码?
我尝试将Nginx服务器configuration为反向代理,以便从客户端接收的https请求也通过https转发到上游服务器。 这是我使用的configuration: http { # enable reverse proxy proxy_redirect off; proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwared-For $proxy_add_x_forwarded_for; upstream streaming_example_com { server WEBSERVER_IP:443; } server { listen 443 default ssl; server_name streaming.example.com; access_log /tmp/nginx_reverse_access.log; error_log /tmp/nginx_reverse_error.log; root /usr/local/nginx/html; index index.html; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_certificate /etc/nginx/ssl/example.com.crt; ssl_certificate_key /etc/nginx/ssl/example.com.key; ssl_verify_client off; ssl_protocols SSLv3 TLSv1 TLSv1.1 […]
在Ubuntu上,它看起来像是用于签署证书(供nginx使用)的私钥的最佳位置在/etc/ssl/private/ 这个答案补充说,证书应该在/etc/ssl/certs/但这似乎是一个不安全的地方。 .crt文件需要保持安全还是被视为公共?
在雷鸟(我也承担了许多其他客户端),我可以select“SSL / TLS”和“STARTTLS”之间进行select。 据我了解,“STARTTLS”的意思是简单的说“如果两端都支持TLS,则encryption,否则不要encryption传输” 。 而“SSL / TLS”的意思是简单的说“永远encryption或根本不连接” 。 它是否正确? 换句话说: STARTTLS不如SSL / TLS安全,因为它可以回退到明文而不通知我?
在这个概述问题被问到之后,这是一个技术性的深入探索。 SSL和TLS之间的协议有什么区别? 是否真的有足够的差异来保证名称的改变? (相对于新版本的TLS,将其称为“SSLv4”或SSLv5)
是否需要在将托pipe我的Web应用程序和SSL证书的同一台机器上生成CSR(证书签名请求)? SSL Shopper上的这个页面是这么说的,但我不确定是否是这样,因为这意味着我必须为集群中的每个服务器购买单独的SSL证书。 什么是CSR? CSR或证书签名请求是服务器上生成的encryption文本块,证书将被使用。
我有几台服务器在同一台机器上运行,一些只使用http,一些使用http和https。 有几个服务器块定义在主configuration文件中包含的单独文件中。 我为httpbuild立了一个“默认”服务器,这个服务器将为通用的“维护页面”提供与其他configuration文件中其他服务器名称不匹配的请求。 http缺省服务器按预期工作,它使用server_name“_”,它首先出现在包含列表中(因为我已经观察到,在服务器间重复server_name的情况下,首先使用的是一个)。 这很好。 我期望相同的确切的服务器块(只有切换“听80默认服务器”“听443默认服务器”,而不是服务页面“返回444”),但事实并非如此。 相反,新的默认https服务器实际上是抓取所有传入的https连接并导致它们失败,尽pipe其他服务器块为传入请求提供了更合适的server_name。 删除新的默认https服务器将导致恢复半正确的行为:带有https的网站将全部正确加载; 但没有HTTPS的网站都将被路由到包含文件中的第一个HTTPS服务器(根据文档,如果没有“default_server”出现,那么出现的第一个服务器块将是“默认”)。 所以我的问题是,什么是正确的方式来定义一个“默认服务器”在Nginx的SSL连接? 为什么当我明确地设置一个“default_server”时,它变得贪婪并且抓住所有的连接,而当我隐式地让nginx决定“默认服务器”时,它就像我所期望的那样工作(把不正确的服务器设置为默认服务器,行为正确)? 这是我的“默认服务器”。 Http工作而不破坏其他服务器。 Https打破其他服务器,并消耗所有。 server { listen 443 ssl default_server; server_name _; access_log /var/log/nginx/maintenance.access.log; error_log /var/log/nginx/maintenance.error.log error; return 444; } server { listen *:80 default_server; server_name _; charset utf-8; access_log /var/log/nginx/maintenance.access.log; error_log /var/log/nginx/maintenance.error.log error; root /home/path/to/templates; location / { return 503; } error_page 503 @maintenance; […]
我一整天都在读关于Poodle漏洞的知识,现在我对安全和收入有点困惑。 如果我在服务器上禁用SSL V3(SSL V2和V3都将禁用Apache),那么不支持任何协议但SSL V3的客户端(浏览器)将无法将HTTPS连接到服务器。 所以这是客户端和服务器都必须与TLS 1.1 1.2等进行通信的情况 如果其中任何一个使用SSL V3,而另一个不支持较低版本,那么会发生什么? 没有连接到SSL。 我已经看到Firefox的一些更新,也许他们已经禁用了SSL V3,因为我们通常需要做的是select。 这将强制所有连接到较低的版本和TLS 但是禁用SSL V3真的是解决这个问题的方法吗?
因此,Windows Server 2012的发布已经删除了很多旧的远程桌面相关的configuration实用程序。 特别是,不再有远程桌面会话主机configuration实用程序,它允许您访问RDP-Tcp属性对话框,该对话框允许您configurationRDSH使用的自定义证书。 取而代之的是新的服务器pipe理器中整体“编辑部署属性”工作stream程的一部分,这是一个不错的新的整合GUI。 问题在于,如果安装了远程桌面服务angular色,则只能访问该工作stream程(据我所知)。 这对微软来说似乎有些疏忽了。 我们如何在Windows Server 2012上以默认的远程pipe理模式运行时为RDPconfiguration自定义SSL证书,而不必不必要地安装远程桌面服务angular色?