我尝试用sslconfigurationapache-tomcat,但是发现一些问题 [root@manage conf]# openssl s_client -state -debug -connect 10.104.1.38:443 -key server.key -cert server.crt CONNECTED(00000003) SSL_connect:before/connect initialization write to 0x80f1e98 [0x811d5e8] (121 bytes => 121 (0x79)) 0000 – 80 77 01 03 01 00 4e 00-00 00 20 00 00 39 00 00 .w….N… ..9.. 0010 – 38 00 00 35 00 00 16 00-00 13 […]
我不知道当两个域名parsing为相同的IP时,浏览器是否可以重复使用相同的连接,并且在一个网站上同时使用一个证书(SAN)时,浏览器可以重复使用同一个连接。 例如:我在SubjectAltName中有一个覆盖example.com和example.org的证书。 在https://example.com/上,我embedded了https://example.org/中的图片。 example.org需要一个(或许很慢的)SSL / TLS握手?
我有一个通用SSL证书(* .ourdomain.com)+信任链,这个信任链是从部署在域中的所有Windows服务器上的公共第三方CA发出的。 但是我们的环境超出了我们的部署脚本,我需要一个更好的方式来pipe理和审计域中的证书(每台服务器上的证书列表,证书何时到期,在新部署的服务器上安装证书)。 我最初的研究指出,Active Directory证书服务(ADCS)是一种解决scheme。 这看起来好像在ADCS机器上生成证书一样可以正常工作,但是我不清楚如何将ADCS用于第三方证书。 是甚至可能或推荐?
通过一篇关于安全实验室的文章,我读到了Google明年在Chrome上弃用SHA-1的签名。 现在我想编辑我们的HAProxy SSLconfiguration,以适应新的安全需求。 什么是推荐的密码,以及如何阻止HAProxy使用SHA-1来提供这些签名? 那我以后怎么检查是否是正确的签名方法呢? 另外,从SHA-1切换到SHA-256时,性能是否会受到影响?
我有一台运行Windows 8主机的Windows Server 2012虚拟机。 主机将所有http通信redirect到端口81到服务器的80端口,在那里我有一个IIS Web服务器。 我想要做的是定义一个使用安全连接的私人区域,以便访问example.com/private或example.com/private/anythingelse的用户应该被redirecthttps://example.com/private和https:// example.com/private/anythingelse 。 问题是我不想redirect主机中的另一个端口(例如,端口444到端口443)。 我希望用户继续使用具有相同端口的URL(81)。 这可能吗? 编辑:澄清我的问题。 Windows Server(运行在VMware上的虚拟机)将使用标准端口(80和443)。 我想要的是访问我的主机IP到端口81redirect到Windos服务器80端口和强制SSL连接到私人区域(没有必须添加新的redirect到主机)。
假设: application.house.com apache tomcat : physical server email.house.com apache tomcat : virtual finance.house.com Oracle Wallet Manager : physical server document.house.com apache httpd : physical server room.house.com IIS 7 : windows : physical server person.house.com apache tomcat : virtual portal.house.com apache : physical server 假设:portal.house.com域将是该SAN证书的公用主题名称,其余域将位于“主题备用名称”扩展名中。 对于证书签名请求(CSR),我将在SAN扩展中使用openssl包含的FQDN域在apache服务器上生成CSR。 够了吗? 每个服务器的每个域可以在那之后识别这种types的证书吗?
我有一个域通配符证书,并在负载平衡器上configuration它。 负载均衡器分配了一个EC2实例。 我正在使用域名通过Amazon Route53指向负载平衡器。 http调用例如:http: //test.example.com工作正常。 但是,当我使用https://test.example.com浏览器需要很长时间,然后给出消息“此网页不可用”。 用于https的密码是“ELBSecurityPolicy-2014-01” 为了testingpourpose我从另一个帐户的HTTPS为该域的工作,并尝试在这里从AMI。 即使这也给了同样的问题。 任何想法为什么发生这种情况?
我的nginxconfiguration有问题。 我在同一台服务器上有几个虚拟主机。 但是,我试图添加另一个虚拟主机,这是一个SSL网站。 网站返回的网站是不正确的。 如果我从听443转到听80,正确的网站被恢复。 我无法弄清楚为什么会发生这种情况。 任何帮助将不胜感激,谢谢。 以下是有关虚拟主机的configuration。 虚拟主机,configuration server { listen 443 ssl default_server; server_name *.website.com; root /var/www/vhost/www.website.com/public_html/httpdocs/; index index.php; ssl_certificate /etc/nginx/ssl/www.website.com/website.com.crt; ssl_certificate_key /etc/nginx/ssl/www.website.com/website.com.key; location / { try_files $uri $uri/ /index.php?$args; } location ~ \.php$ { fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; fastcgi_split_path_info ^(.+\.php)(/.+)$; fastcgi_param REQUEST_URI $request_uri; fastcgi_param DOCUMENT_URI $document_uri; fastcgi_param […]
我最近为我的VPS上的域设置了一个SSL证书。 后来我发现它需要一个中间证书才能在所有设备上正常工作。 有问题的SSL是123-reg的基本SSL 。 他们说这个包的中级证书就在这里 。 据我所知(我的系统pipe理员技能是非常基本的)我需要去 WHM >> SSL/TLS » Install an SSL Certificate on a Domain , 挑出我想要使用/更新的证书,并将123registry提供的root ca粘贴到Certificate Authority Bundle字段中。 但是当我这样做,它告诉给我以下错误: The CA bundle does not match the certificate. 任何关于这里发生了什么的build议?
PS:这是最初发布在这里的问题的第二部分。 我想为特定的虚拟主机完全禁用HSTS标头 。 我有(每个build议 )在443容器中为这些虚拟主机中的每一个redirect。 它工作正常,但Apache 不build议使用RewriteRule,除非绝对必要。 是否有可能执行下面的redirect只使用redirect ,而不是重写? <VirtualHost xxxx:443> <IfModule mod_headers.c> Header unset Strict-Transport-Security Header always set Strict-Transport-Security "max-age=0;includeSubDomains" </IfModule> SuexecUserGroup "#520" "#520" ServerName dev.domain.com ServerAlias www.dev.domain.com ServerAlias subdomainjr2b.dev.domain.com ServerAlias www.subdomainjr2b.dev.domain.com ServerAlias subdomainblah.dev.domain.com ServerAlias www.subdomainblah.dev.domain.com RewriteEngine On RewriteRule ^(.*)$ http://%{HTTP_HOST}$1 [redirect=302] PS1:Domain.com有一个通配符证书,通配符只适用于sub.domain.com,而不是sub.sub.domain.com,因此需要禁用这些虚拟主机的hsts。 PS2:不要问我为什么我需要使用Header unset当我已经使用Header always set 。 它是在实现Header unset之前向客户端发送两个头文件,并且从我理解的不应该这样做 。