如果您在服务器上安装了数字证书,那么在将一个数字证书及其密钥replace为另一个时,是否存在任何潜在的问题? 有什么隐藏的后果吗? 我正在build立一个网站,将保存敏感数据。 我有一个运行Nginx的networking服务器,一个通过提供静态文件的NFS交叉装载的文件服务器,以及一个PostgreSQL数据库服务器。 理想情况下,我想购买商业/组织validation通配符证书,但它们非常昂贵。 我正在考虑的是购买带有域validation的证书来启动,然后弄清楚如何在所有三台服务器上运行SSL。 一旦我了解了这个过程,并开始获得客户,我会用BOV证书replaceDV证书。 如果我采取这种方法,会遇到什么问题?
所以,我正在尝试让Nginx通过https服务我的网站,但它一直在打我,拒绝连接错误。 所以这里的输出是: curlhttps://juristnet.ro (这是网站) curl: (7) Failed to connect to juristnet.ro port 443: Connection refused netstat -anltp tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN – tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN – tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN – tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN – tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN – tcp 0 0 […]
netstat输出: tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN – tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN – tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN – tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN – tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN – UFW处于非活动状态。 该网站在数字海洋上的一个水滴托pipe,他们允许所有的端口。 如果我运行tcpdump并尝试访问网站,它显示一个连接,但浏览器返回拒绝连接错误。 本地主机上显示端口443是打开的,但如果我在实际的服务器上运行它,它显示它是closures的。 如上所示,Nginx正在端口443上正确侦听。 Nginx.conf user admin root; worker_processes auto; error_log /var/log/nginx/error.log debug; pid /var/run/nginx.pid; events { worker_connections […]
我有一个有3个networking接口的linux服务器,一个用于局域网,另一个用于广域网(IPv4和IPv6)。 到目前为止,apache被configuration为使用80上的单个虚拟主机为external.domain.com (作为ServerName )和internal.domain.local (作为ServerAlias )提供同一个网站。 我现在已经获得了external.domain.com的证书,并用mod_rewrite重新configuration了虚拟主机,以将HTTP请求redirect到HTTPS。 从外部访问该网站时,效果很好。 但是,由于网站是用不同的主机名访问的,所以我认为来自局域网的请求应该使用普通的HTTP。 我是否需要创build一个单独的虚拟主机,或者我可以处理一切只有一个? 这是我目前的configuration: <VirtualHost *:80> ServerName external.domain.com RewriteEngine on ReWriteCond %{SERVER_PORT} !^443$ RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [NC,R,L] </VirtualHost> <IfModule mod_ssl.c> <VirtualHost *:443> ServerName external.domain.com ServerAlias internal.domain.local Header always add Strict-Transport-Security "max-age=15768000" DocumentRoot /data/htdocs/site1 <Directory /data/htdocs/site1> Options Indexes FollowSymLinks MultiViews AllowOverride None Require all granted </Directory> ErrorLog ${APACHE_LOG_DIR}/site1-error.log LogLevel […]
我有一个需要在SSL上运行的Nginx安装。 我的服务器块如下这个域,强制example.com和www.example.com路由到https://example.com 。 server { listen 9.9.9.9:80; server_name example.com; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; return 301 $scheme://example.com$request_uri; } server { ## SSL settings listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name example.com; root /home/example; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; include common.conf; include ssl.conf; } 这基本上起作用。 让我们encryption的东西正确安装。 […]
我试图让我的电子邮件服务器来encryption我的电子邮件服务器和其他人之间的连接。 它目前可以通过TLS连接到自己,但似乎无法通过encryption连接到其他服务器。 在postfix main.cf中 – 当通过设置强制内部encryption时: smtpd_tls_security_level = encrypt 一切工作与内部TLS连接和电子邮件传递到Gmail,雅虎等,但是当我尝试强制服务器通过设置服务器encryption : smtp_tls_security_level = encrypt 电子邮件没有得到交付。 他们正在被发送到正常的TLS电子邮件提供商,如Gmail,雅虎等。两者都有相同的证书。 smtpd_tls_key_file = /etc/letsencrypt/live/mail.example.com/privkey.pem smtpd_tls_cert_file = /etc/letsencrypt/live/mail.example.com/cert.pem smtpd_tls_CAfile = /etc/letsencrypt/live/mail.example.com/chain.pem smtp_tls_key_file = /etc/letsencrypt/live/mail.example.com/privkey.pem smtp_tls_cert_file = /etc/letsencrypt/live/mail.example.com/cert.pem smtp_tls_CAfile = /etc/letsencrypt/live/mail.example.com/chain.pem 可能是什么问题? 如果有必要,我会买一个更好的证书,但是我没有读过。 我已经尝试过使用自签名的Cloudflare TLS,并且让我们对证书进行encryption,并且它们都产生相同的结果。 请问master.cf有问题吗? 或main.cf?
我有问题从gmail发送安全的电子邮件到我的后缀服务器。 这里是main.cf中的TLS选项: # TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/cert.pem smtpd_tls_key_file=/etc/ssl/private/cert.key smtpd_use_tls = yes smtpd_tls_security_level = may smtpd_tls_CApath = /etc/ssl/certs smtp_tls_security_level = may smtp_tls_CApath = /etc/ssl/certs smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_mandatory_ciphers = high tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA smtp_tls_loglevel = 1 smtpd_tls_loglevel = 1 smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache 这里是来自mail.log的示例日志: Feb 24 21:06:05 myserver postfix/smtpd[31346]: Anonymous TLS connection established from […]
如果一个Apache服务器充当反向代理,终止ssl连接,是否能够caching响应? 我知道用sslencryption的响应本身不能被caching,但是如果apache终止了ssl连接,它应该可以访问未encryption的响应。 澄清一下,该站点当前的apacheconfiguration如下: <VirtualHost *:80> ServerName api.beta.robocubs4205.com Redirect permanent / https://api.beta.robocubs4205.com </VirtualHost> <VirtualHost *:443> ServerName api.beta.robocubs4205.com SSLEngine On SSLCertificateFile /etc/letsencrypt/live/beta.robocubs4205.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/beta.robocubs4205.com/privkey.p$ ProxyRequests Off ProxyPass "/" "http://127.0.0.1:8080/" ProxyPassReverse / http://127.0.0.1:8080/ </VirtualHost> 注意ProxyPass指令代理http而不是https。 我可以在这种情况下添加caching吗? 如果是这样,我可以使用与正常httpcaching相同的configuration吗?还是有什么特别的我需要做的? 另外,请随时指出我发布的configuration中是否有任何大的安全漏洞。 编辑:如果通过https与SSLProxyEngine代理到另一台服务器的答案是相同的?
我正在使用有效的证书,但是我无法获得客户端证书。 lighttpd服务失败,错误: (connections-glue.c.200)SSL:1错误:140890C7:SSL例程:SSL3_GET_CLIENT_CERTIFICATE:对等方没有返回证书 我的configuration是这样的: $SERVER["socket"] == ":443" { protocol = "https://" ssl.engine = "enable" ssl.disable-client-renegotiation = "enable" #server.name = "mywebsite.com" ssl.pemfile = "/etc/lighttpd/ssl/mywebsite.com.pem" ssl.ca-file = "/etc/lighttpd/ssl/mywebsite.com.csr" ssl.ec-curve = "secp384r1" ssl.use-sslv2 = "disable" ssl.use-sslv3 = "disable" ssl.honor-cipher-order = "enable" ssl.cipher-list = "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS" # HSTS(15768000 seconds = 6 months) #setenv.add-response-header = ( # "Strict-Transport-Security" => "max-age=15768000;" #) […]
我按照这个https://help.ubuntu.com/12.04/serverguide/openldap-server.html#openldap-tls教程来设置我的ldap服务器的tls。 但每次我尝试: dn: cn=config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem – add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem – add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ssl/certinfo.ldif 它发生错误错误18,但如果我用“replace”replace“添加”它出现错误80 这些错误只出现在我想编辑olcTLS *如果它想编辑另一个attribut,一切正常。 我希望你可以帮助我, GREENY