有没有一种方法来使用没有HTTP严格传输安全性的公钥固定? 两种协议(http和https)都通过相应的虚拟主机进行configuration 我需要一个旧的程序的HTTP连接,但要尽可能安全的其他领域。 谢谢
网站https://tremplinsdelimaginaire.com/最近升级密码和SSLconfiguration。 旧的浏览器不再工作,但Ubuntu 14.04上的Firefox 42不起作用(安全连接失败,无法访问网站,没有证书可读,没有任何东西)。 该站点的网站pipe理员没有任何问题,Debian上的Firefox 42。 我怀疑是一个图书馆,但是一个? 其他网站似乎运作良好。 我要求的Web服务器configuration。
我有Nginx运行作为一个Web服务器的代理,我想保护访问使用TLS / SSL客户端证书。 这是我的SSLconfiguration server { listen 443 ssl; server_name www.domain.com; ssl_certificate /etc/nginx/ssl/domain/server.crt; ssl_certificate_key /etc/nginx/ssl/domain/server.key; ssl_client_certificate /etc/nginx/ssl/clients/client_ca.pem ssl_verify_client on; 它工作得很好 – 但现在我需要允许访问我的网站没有来自一个特定IP地址的客户端证书。 有没有可能性与nginx做到这一点? 谢谢 :-)
今天,我在生产服务器上安装了monit,因为mysqld会周期性地崩溃。 几个小时后,monit试图重新启动apache,但失败了,我无法手动启动它。 错误是: [error] Unable to configure verify locations for client authentication [Sat Dec 12 05:32:49 2015] [error] SSL Library Error: 151441510 error:0906D066:PEM routines:PEM_read_bio:bad end line [Sat Dec 12 05:32:49 2015] [error] SSL Library Error: 185090057 error:0B084009:x509 certificate routines:X509_load_cert_crl_file:PEM lib 对文件date的检查显示,没有一个证书文件突然被破坏(所有的date都在一个月前),也没有/etc/httpd/conf.d/ssl.conf 我想我一个星期前成功地重启了apache。 什么是最好的方式再次获得网站(有或没有SSL) Mysql版本 – 5.5.46 CentOS版本 – 6.7 Apache版本 – 2.2.15
DataPower中已禁用SSLv3。 我运行sslscan来检查ssl握手期间当前可以使用的所有密码套装。 在sslscan输出中,我发现下面的密码套装正在被接受。 TLSv1 256 bits AES256-SHA TLSv1 128 bits AES128-SHA TLSv1 168 bits DES-CBC3-SHA TLSv1 128 bits RC4-SHA Preferred Server Cipher: TLSv1 256 bits AES256-SHA 然后,我禁用DataPower(服务器)上的TLS1.0并再次运行sslscan。 结果不是我所期待的。 包括在TLS1.0握手过程中被接受的所有密码套件都被拒绝。 我怎么会知道,如果我禁用TLS1.0,我的服务器将接受哪个密码?
我们正在使用Wowza实例在AWS基础架构上执行实时stream式传输。 我们有一个脚本,负责监视负载平衡器,并根据每个边缘服务器的连接数/查看器的需要启动/closures实例。 它很适合HTTP/RTMP/RTMPTstream媒体。 我们现在正在尝试为HTTPSstream式传输实现dynamic负载平衡,并使缩放过程自动化。 我们面临的主要问题是如何以最好的方式实现自动化? 我们不知道将要启动的边缘服务器的IP地址,因此无法预先创buildDNSlogging。 一种可能的解决scheme是预留一些弹性IP(即20)和相同数量的DNS名称,并在缩放期间使用它们。 但是这将会限制我们可以dynamic启动的服务器的数量。 有没有更优雅的解决scheme,我们可以尝试实施? 我们的LB基础设施位于AWS VPC内部,我们有一个我们可以使用的明星证书。 此外, Wowza Load Balancer仅用于告诉查看器可用边缘服务器的IP。 之后,查看器直接连接到边缘服务器。
我在/ etc / apache2 / ssl / domain / like中创build了一个.csr和.key文件 openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr 像GoDaddy说的,然后用apache指令链接到这些文件: <VirtualHost *:443> SSLEngine on SSLCertificateFile /etc/apache2/ssl/domain/domain.com.csr SSLCertificateKeyFile /etc/apache2/ssl/domain/domain.com.key DocumentRoot /clients/domain.com/www/ ScriptAlias /cgi-bin/ /clients/domain.com/cgi/ ServerAlias domain.com www.domain.com *.domain.com ServerName www.domain.com ErrorLog /clients/domain.com/logs/error_log LogFormat "%h %l %u %t \"%r\" %>s %b" common CustomLog "|/usr/bin/cronolog /clients/domain.com/logs/%Y/%m/%d/access_log" combined […]
我最近遇到了一个情况,我运行的Web服务器不能再提供HTTPSstream量(由于一些SSL证书问题)。 由于服务器无法处理此stream量,因此我无法使用Apacheredirect规则redirect到非https。 然后我尝试在防火墙/ NAT设备上将XXXX:443redirect到XXXX:80,但似乎无法使其工作。 我不问如何做到这一点,因为它是特定于我的基础设施和设备。 但是有没有可能做到这一点? 一位同事build议,由于客户端正在请求安全连接,因此我们可能无法做到这一点,因为我们正在以不安全的连接进行响应。 这将不同于用302响应,并强制客户端使用apacheredirect对非https进行新的请求。
我目前正在使用mod_rewriteredirect到https的所有子域名,但多个来源已经build议 使用mod_rewrite来做这不是推荐的行为。 请参阅RedirectSSL apache文档build议redirect和RedirectMatch: RewriteRule的一个常见用途是redirect整个类的URL。 例如,/ one目录中的所有URL都必须redirect到http://one.example.com/ ,或者所有http请求都必须redirect到https。 这些情况最好通过Redirect指令处理。 请记住,redirect保留了path信息。 也就是说,redirect一个URL /一个也会redirect所有的URL,比如/one/two.html和/one/three/four.html。 不幸的是,这些文档(以及其他所有我发现的)都只考虑匹配一个域,而不是所有的子域。 RedirectMatch似乎是这样一个相对简单的任务的好候选人,但我似乎无法得到“http”匹配,如我所料: RedirectMatch permanent "^http://(.*)$" "https://$1" 我的猜测,为什么这是行不通的,因为redirectMatch正在寻找一个path,而不是一个URI,但在这一点上,我卡住了。 是否有可能完成所有子域的redirect到https没有mod_rewrite,或者是最好的方法?
我有一个curl问题(Centos 6 env)不承认Geotrust中介证书: * Trying 192.168.6.6… connected * Connected to composer.graymatter.co.uk (192.168.6.6) port 443 (#0) * Initializing NSS with certpath: sql:/etc/pki/nssdb * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none * Peer's certificate issuer is not recognized: 'CN=GeoTrust DV SSL CA – G4,OU=Domain Validated SSL,O=GeoTrust Inc.,C=US' * NSS error -8179 * Closing connection #0 奇怪的是它最近才刚刚开始发生。 (大概一个月前)。 我已经更新了ca包文件: curl https://curl.haxx.se/ca/cacert.pem […]