search了这个,但找不到任何明确的答案 – 一个证书SAN可以包含像“citrix * .domain.com”的名称,以允许使用citrixdirector.domain.com和citrixprod.domain.com,例如?
我在Ubuntu上有一个监视许多其他Ubuntu服务器的nagios服务器。 他们已经configuration了厨师,他们正在正确地监控NRPE的事情(即NRPE检查工作,当事情中断时,我得到一个警报)。 一切安好。 除了我监控的主机上的syslog有很多这样的错误信息: Jul 20 15:07:10 HOSTNAME nrpe[26360]: Error: Could not complete SSL handshake. 5 每5分钟左右,系统日志将会得到另一个这样的消息。 没有失败的testing。 我有大约20个受监视的主机,他们在系统日志里都有类似的东西。 更新: nagios服务器的IP地址在allowed_hosts列出,并且已经很长时间了。 我怎样才能阻止这个消息从打印到系统日志?
我一直在运行我的Nginx Web服务器近一个星期,突然之间,它开始抛出这个错误(只使用HTTPS)并redirect到/defaultsite当使用HTTP。 网站链接是https://leakkiller.com ,如果你想看看自己发生了什么。 我已经尝试清除浏览器caching。 我的doamin注册商是1&1(我生命中最大的错误),但我使用数字海洋的VPS,所以我路由我的DNS通过他们。 下面你可以find我的服务器块为Nginx。 server { listen 80 default_server; listen [::]:80 default_server; server_name leakkiller.com www.leakkiller.com; return 301 https://$host$request_uri; } server { listen 443 ssl; listen [::]:80 ssl ipv6only=on; ssl_certificate /etc/letsencrypt/live/leakkiller.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/leakkiller.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA'; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_stapling on; ssl_stapling_verify on; add_header Strict-Transport-Security […]
我想在服务器上安装一个Magento平台。 我使用Centos和nginx,并希望redirect所有http连接到https我已经在nginx domain.conf上设置了一个http httpsredirect,并且这些工作正常,但我怎样才能确保所有的连接是安全的。 我问,因为如果我也使用HSTS的第一个请求可能仍然是http。 我的example.org.conf文件的审查 server { listen 80 default_server; listen [::]:80 default_server; server_name example.org www.example.org; return 301 https://$server_name$request_uri; } server { #listen 80 reuseport; #listen 443 http2 ssl reuseport; listen 443 ssl; #listen 80; … … } 所以我又怎么能确定所有的连接都是安全的呢? 我问的第二个原因是我注意到,如果我打开与移动数据速度慢的智能手机的域名,它开始只是第二个不安全的url或我只是错了? 希望你能给我一个build议
我已经使用jMeter代理来检查来自我的iPhone的SSLstream量,通过在iPhone上安装jMeter证书,然后configuration我的wifi在手机上使用jMeter代理。 如果我想阻止这个MITM嗅探某个网站/服务器,我可以在服务器上执行TLS 1.2吗? TLS1.2实际上是否防止这种MITM嗅探,如果它贯穿始终?
我正在专用硬件上安装一个CentOS 7安装邮件服务器,我遇到了让Postfix通过Dovecot为SASL设置SMTP连接的问题。 我已经遵循了关于编辑main.cf和master.cf以及Dovecot的.conf文件的每个指南。 其他一切都运行良好。 我已经设立了达夫科特(Dovecot),并且安全地进行了authentication,没有问题。 SMTP工作正常,如果我设置smtpd_tls_auth_only = no但密码显然发送明确。 我已经运行openssl s_client -connect sub.domain.com:25 -starttls smtp来检查,它正确地返回证书,一切似乎是好的。 运行ehlo sub.domain.com之后,返回: 250-sub.domain.com 250-PIPELINING 250-SIZE 20480000 250-ETRN 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN 我认为这是TLS“握手”后的预期。 当我尝试使用邮件客户端进行连接时,拖拽日志给了我以下内容: 请参阅粘贴 当我尝试发送时,OS X中的邮件告诉我以下内容: 邮件无法使用默认端口上的SSL连接到服务器“sub.domain.com”。 确认此服务器支持SSL并且您的帐户设置是正确的。 我试图通过所有的标准端口连接。 Roundcube给我一个错误代码250:身份validation失败。 编辑:下面是postconf -n的输出: alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = […]
我已经在Windows Server 2008 R2上configuration了IIS,不允许使用TLS 1.0。 我已经通过设置这些registry项来重新启动 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server\DisabledByDefault set to 1 (as a DWORD) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server\Enabled set to 0 (as a DWORD) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client\DisabledByDefault set to 1 (as a DWORD) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client\Enabled set to 0 (as a DWORD) 在客户端,我使用FireFox 48.0和IE 9进行testing。 (我不能使用更高版本的IE浏览器,因为networkingpipe理员的设置被locking)。 这是我如何configurationIE来强制TLS 1.0: 这是我如何configurationFireFox强制TLS 1.0: 我正在使用WireShark来确认正在使用的协议。 这是我在浏览器中强制使用TLS 1.0时的样子: 我还使用了下面build议的OpenSSL命令来确认TLS 1.0仍在使用中: openssl s_client -tls1 -connect […]
我想要分析和logging进出某个机器的SSL / TLSstream量。 具体来说,我想知道有多lessSSL / TLS连接,有多less连接使用TLSv1.2,多less使用旧的SSL / TLS版本,以及在分析过程中使用了哪些域。 我想要在实时stream量上完成这个分析,并且把它写入一个pcap文件。 有没有人知道一个可以轻松完成的工具?
我有一个Windows 2k8 R2 IIS 7 Web服务器在DMZ中,由于策略本身不在域和工作组中。 服务器名称是“server131”。 我正在使用颁发给“server131.my.domain.com”的SSL证书,并通过URL“app.my.domain.com”访问该网站。 这会导致SSL名称不匹配。 什么是正确的方式Web服务器应该被命名? 它是否必须在同一个域名? 当我要求一个新的CSR的通用名称应该是“app.my.domain.com”? 我是否需要使用通配符证书“* .my.domain.com”? 我从来没有configuration一个工作组中的SSL框,并且不能在这个特定的设置上find任何信息。
我正在尝试使用Apache创build以下设置: UserBrowser —-Client Certificate—> LoadBalancer (Apache 2.4) then LoadBalancer (Apache 2.4) —-LB Client Certificate —-> Apache 2.2 Web Server 所以用户连接到负载均衡器,并提供一个客户端证书 – 这工作正常。 反向代理然后使负载均衡器连接到Web服务器,Web服务器从负载均衡器请求证书,我得到以下错误: Proxy client certificate callback: (0.0.0.0:443) entered Proxy client certificate callback: (0.0.0.0:443) downstream server wanted client certificate but none are configured [remote 0.0.0.1:443] SSL Proxy connect failed [ssl:info] SSL Library Error: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 […]