我试图在不同的服务器上指向一个不同的IP地址,但由于某种原因,它只能在一段时间内每隔一段时间工作(比如20次中的1次)。 浏览到http // galera.domain.com会抛出一个“花费很长时间来响应”错误,并将URL更改为https // galera.domain.com。 直接浏览IP地址一直正常。 这是我目前的设置: 服务器1(nginx): IP_ADDRESS_1。 已启用HSTS [严格的传输安全(max-age = 63072000; includeSubdomains)] domain.com / www.domain.com的DNS指向IP_ADDRESS_1 server { listen 80 default_server; listen [::]:80 default_server; server_name domain.com www.domain.com; return 301 https://$server_name$request_uri; } server { # SSL configuration listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; include snippets/ssl-domain.com.conf; include snippets/ssl-params.conf; root /var/www/html; index […]
我试图创build一个公司内部的CA来摆脱我们的服务器所需的所有SSLexception,但是在创build证书时,我对这样做的安全性提出了一些疑问。 我已经理解了如何做到这一点的方法是: 使用CA标志创build自签名证书(openssl给我一个.pem和.key文件)作为ca.mycompany.org 将这些文件转换为.pfx 将.pem安装到我们客户的Firefox证书商店的可信根CA存储中 在Windows客户端的系统可信根CA存储中安装.pfx(适用于IE和Chrome) 为我们所有的内部服务器创build由ca.mycompany.org签名的证书 我现在的疑惑是:没有私钥就无法创build一个有效的PFX,而且一旦在PC上安装了证书,每个人都可以再次从信任库中导出PFX。 这意味着每个人在理论上都有权访问CA私钥,理论上可以颁发由我们新的内部CA签署的自己的证书。 这将打开所有的stream氓服务器和其他欺骗的门(因为最糟糕的攻击者经常来自内部…) 我很确定我的想法在某个地方出了问题,PFX / SSL概念不能被devise成有这么大的错误,但我似乎无法find我的错误。 请给我启示。
我当前的应用程序部署正在接收HTTP端口上的stream量,Nginx将其redirect到HTTPS。 这工作正常。 现在我们打算让另一个Nginx服务器像这个现有的Nginx服务器(也称为Upstreams)一样负载平衡器。 下面是我正在尝试的configuration upstream web_rack { server xxxx; } server { location / { proxy_pass https://web_rack; } } 但以下日志得到502 Bad Gateway错误: 2017/03/14 06:23:49 [error] 2402#2402: SSL SSL握手到上游客户端:189.166.35.243,服务器SSL_do_handshake()失败(SSL:错误:140770FC:SSL例程:SSL23_GET_SERVER_HELLO:未知协议) :,请求:“GET / HTTP / 1.0”,上游:“ https:// xxxx:80 / ” 提前致谢。
我想通过https服务我的网站,因此我完全按照给定的方式跟随了本教程 。 在第5步sudo nginx -t给出了积极的结果,因为configuration是好的。 当我跑sudo systemctl restart nginx它给出了以下错误 Job for nginx.service failed because the control process exited with error code. See "systemctl status nginx.service" and "journalctl -xe" for details. 当我检查/var/log/nginx/error.log错误日志,如果显示此错误 2017/03/14 07:35:20 [emerg] 12111#12111:bind()到0.0.0.0:443失败(98:地址已经在使用) 2017/03/14 07:35:20 [emerg] 12111#12111:bind()到0.0.0.0:443失败(98:地址已经在使用) 2017/03/14 07:35:20 [emerg] 12111#12111:bind()到0.0.0.0:443失败(98:地址已经在使用) 2017/03/14 07:35:20 [emerg] 12111#12111:bind()到0.0.0.0:443失败(98:地址已经在使用) 2017/03/14 07:35:20 [emerg] 12111#12111:bind()到0.0.0.0:443失败(98:地址已经在使用) 2017/03/14 07:35:20 [emerg] 12111#12111:仍然无法绑定() […]
大家下午好, 我完全卡住了。 不知道如何跟随,我做了什么错了。 我希望你能帮助我,因为我已经读了很多东西来解决这个问题,但没有成功。 我有: Windows 2012 R2服务器 Apache 2.4.23安装在它上面,MOD_JK代理将所有请求都传递给另一台机器上的Tomcat服务器。 我已经在GoDaddy上购买了EXTENDED证书,所以我可以在url栏上填写“绿色徽章”。 现在,我已经从GoDaddy下载了证书,在de ZIP里面,出现了证书证书和一个G2 + G1 + ROOT绑定证书。 所以里面有2个文件。 把它们放在一个文件夹中,正确地指定在443 VHOST内,下一步将会看到,但是我在互联网上进行的每一个SSLtesting(SSLLabs,DigiCert …)都只是在链接过程中失败 。 网站: cliente.merchbanc.es https://www.ssllabs.com/ssltest/analyze.html?d=cliente.merchbanc.es&hideResults=on https://www.sslshopper.com/ssl-checker.html#hostname=cliente.merchbanc.es 不知道我在做什么错误…我已经准备好了HTTPD.CONF(当然有正确的和需要的模块),但没有任何与VHOSTS和SSL有关的东西。 然后,在额外的configuration文件VHOST,我已经添加了所有的VHOST的事情+ SSL(所以我没有使用SSLconfiguration文件,它被评论,所有在VHOSTS conf文件)。 它看起来像这样: ################################################################################################################## # VHOSTS HTTP # redirect all HTTP to HTTPS (optional) <VirtualHost *:80> ServerAlias * RewriteEngine On RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [redirect=301] </VirtualHost> ################################################################################################################## # […]
我读过“openssl cookbook”( https://doc.lagout.org/security/openssl-cookbook.pdf ),build议: encryption您的网站的100% 但是安装和部署一个“通过sslauthentication的安全Web服务器”,是否意味着文件被encryption? 我的意思是,如果服务器包含一些文件,例如www.example.com/myfile.xml,这个文件是否必须encryption才能使ssl正常工作? 据我所知,它不需要encryption,即使在SSL Web服务器。 我打算使用Nginx的Web服务器(尽pipe这个问题并不重要)。
[更新] – 我把它贴到了错误的网站上,所以我会把这个主题复制到Unix / Linux社区。 所以请删除这个话题! 我在我的networking服务器上安装了SSL证书,并启用了将所有http请求redirect到https。 到目前为止,当我尝试打开www.example.com而不是使用example.com时,这是有效的。 只是为了logging,我用example.com更改了我的domain.com。 我已经检查了我的access_log和error.log ,当我尝试在浏览器中打开example.com时,它们都不显示任何新条目。 curl https://example.com curl: (60) Issuer certificate is invalid. More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bundle" of Certificate Authority (CA) public keys (CA certs). If the default bundle file isn't adequate, you can specify an alternate file using […]
是否有可能通过将握手后的所有数据转发到不同的端口来使用openssl s_server作为一种反向代理。 更具体地说,我想创build一个简单的tftp-over-dtls设置用于testing目的。
我们其中一个站点的SSL证书已过期,我已被授予续订任务,尽pipe不是任何types的服务器pipe理员。 我已经完成证书请求并将其添加到服务器证书。 然后,我将这个新证书分配给相关站点的https绑定。 当我查看证书时,它显示了从Entrust提供者到2020年期满,使用sha256 hash和sha1指纹。 如果我在我们公司的networking上访问网站,我可以看到正确的新证书。 但是,此networking以外的任何用户(包括如果断开连接)都将收到“证书不可信”错误。 在检查了正在服务的证书之后,它将显示旧的SHA1哈希过期证书。 我已经使用DigiCertUtil检查了certlog,并validation了没有与现有有效证书相对应的SSL哈希值。 也没有其他与此网站相关的HTTPS绑定。 我在这里错过了什么?
我正在使用NodeJS托pipeHTTPS Express服务器。 我的服务器configuration如下: var options = { key: fs.readFileSync('domain_com.key'), cert: fs.readFileSync('domain_com-bundle.crt') } https.createServer(options, app).listen(8082, function() {…} ); 我按照这个网站的说明连接了.crt和.ca-bundle文件。 更新:更新我的代码,但它仍然给出了相同的错误 var options = { key: fs.readFileSync('domain_com.key'), cert: fs.readFileSync('domain_com.crt'), ca: fs.readFileSync('domain_com.ca-bundle') } https.createServer(options, app).listen(8082, function() {…} ); 有了这段代码,我没有按照上一个链接的指示,而是将每个文件分别包含到NodeJS的https模块中 现在,当我尝试在移动Android上使用Chrome 56访问我的网站时,出现了问题。 一切工作就像应用在桌面上的Chrome应该。 我运行了一个SSL分析器,这是返回: 破碎的证书链 简单的说,我可能试过每个key / cert / bundle组合都可能试图让它工作,但是chrome仍然给出了ERR_CERT_AUTHORITY_INVALID。 我不完全确定我在做什么,因为这是我第一次设置和SSL证书,所以只要告诉我,如果你需要任何其他信息。