我的Web服务器configuration为使用Let's Encryt证书,并且在尝试从特定networking(我的共同工作空间)访问我的一些子域(具有相同证书)时,我不断收到错误SSL_ERROR_RX_RECORD_TOO_LONG。 我有4个子域正在工作,其余(4个)没有。 每个域使用一个虚拟主机,如: <VirtualHost *:80> ServerAdmin [email protected] ServerName app.covevent.be DocumentRoot /home/covevent/app <Directory /home/covevent/app> Require all granted </Directory> </VirtualHost> <IfModule mod_ssl.c> <VirtualHost *:443> ServerAdmin [email protected] ServerName app.covevent.be DocumentRoot /home/covevent/app <Directory /home/covevent/app> Require all granted </Directory> SSLCertificateFile /etc/letsencrypt/live/www.covevent.be/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/www.covevent.be/privkey.pem Include /etc/letsencrypt/options-ssl-apache.conf </VirtualHost> </IfModule> 对于api.covevent.be,www.covevent.be等configuration是完全一样的。你在这个configuration中看到错误吗? 我检查并访问http://www.covevent.be:443不起作用,并被Apache阻止。 此外SSL也启用,因为我的其他域正在工作…
我有一个证书,使用以下密码EDCHE-RSA-AES256-GCM-SHA384在tomcat 6(只能使用TLS1 ,我知道它是旧的)。 我读过这个密码是TLS1.2 。 这是否意味着您需要TLS1.2或者也适用于TLS1.2 。 它会使用TLS1.0吗? 谢谢。
我将puppet服务器设置为docker-composition的一部分。 我有直接连接到容器的组成内的节点。 这可以正常工作,因为Puppet master使用本地名称自动创build一个SSL证书(只在docker组合中可用) ,其格式类似于: puppet.upgrades.jjk32jl.svc.dockerapp.io 我也有外部节点,这不是组成部分,需要通过外部链接upgrades.myorg.com连接。 当我尝试与外部节点连接时,我得到: 错误:无法请求证书:服务器主机名“puppet.upgrades.jjk32jl.svc.dockerapp.io”与服务器证书不匹配; 预计其中一个是upgrades.myorg.com,DNS:木偶,DNS:upgrades.myorg.com 我可以设置第二个用于处理外部节点的证书(或使用alt-name)来处理这种情况吗? 或者是否需要redirect节点之间的内部通信,以在upgrades.myorg.com从外部进行连接? 更新: 我已经添加了几个alt-name到我的主证书现在看起来像这样当我使用puppet cert -la : (SHA256)4B:A6:1F:C6:EA:8E:69:17:E3:43:C6:AE:A1:AE: BB:7B:9A:4F:09:5C:6F:92:BD:E7:C8:56:43:D8:03:12:59:58(alt名称:“DNS:puppet”,“DNS:puppet- 1.upgrades.fdafdafda.cont.dockerapp.io“,”DNS:puppet.c9039f55-d345-45d1-a8bd-8fec89481559.local.dockerapp.io“,”DNS:puppet.upgrades.jjk32jl.svc.dockerapp.io“ ) puppet.upgrades.jjk32jl.svc.dockerapp.io被列为alt-name,但我得到: 错误:无法请求证书:服务器主机名“puppet.upgrades.jjk32jl.svc.dockerapp.io”与服务器证书不匹配; 预计其中一个puppet.64b21c37-fa14-4406-b931-5add61cf582e.local.dockerapp.io,DNS:puppet,DNS:puppet.64b21c37-fa14-4406-b931-5add61cf582e.local.dockerapp.io 这是令人困惑的,因为puppet.64b21c37-fa14-4406-b931-5add61cf582e.local.dockerapp.io没有被提及作为主证书上的替代名称。
我正在部署我们的LetsEncrypt SSL证书。 我有每天运行的cron作业,如果需要使用certbot更新certificatse。 我也有一个将证书部署到负载平衡器的脚本。 当证书更新时,Certbot会有一个部署callback。 Certbot将在更新证书后立即致电我的脚本。 这似乎工作正常 – 主要是。 但是,如果部署因任何原因失败,我希望在第二天再次尝试。 它看起来没有任何内置于certbot的function。 我如何实现具有以下逻辑的脚本: if [ /etc/letsencrypt/live/example.com/cert.pem != certfrom https://example.com/ ] then example.com-cert-deploy.sh fi
我为多个在线博客撰写文章,并将在这些文章中embedded的图像托pipe在我的个人网站上。 我想在我的网站上实现SSL,因为托pipe这些文章的网站之一切换到HTTPS链接和图像被打破,这看起来非常不专业。 不幸的是,另一个也在使用我的图像的网站仍然使用HTTP链接,我无法将它们切换到使用HTTPS。 我已经看到网站的HTTP和HTTPS版本的图像工作,但如何完成? 请问HTTP URL是否仍然适用于切换后的embedded图像,否则会被破坏,除非我实现了一些特殊的东西? 我一直无法find任何有关这方面的信息,所以我希望这里有人能够提供帮助。 我还没有购买SSL证书,但是通过Dotster(我的托pipe服务提供商),我可以保证一切都不会中断。 谢谢!
根据我阅读文献的方式,带有脱机根CA的双层PKI提供冗余和额外的安全层,以防下属CA的私钥遭到破坏。 但是这是如何工作的? 假设我有一个脱机根CA,并使用它来签署从属CA,然后使用从属CA签署一个内部Web服务器。 现在让我们说从属CA的密钥被攻破。 根据文献没有问题。 你只需要焚烧你的下属,build立一个新的。 然后,你启动根CA,并签署新的下属,你又回来了。 问题在于Web服务器使用现在无效的从属CA证书进行签名,信任链被破坏。 那么我是否还需要用新的下属的密钥重新签署Web服务器? 如果我必须与新的下属重新签署所有协议,那么将脱机根CA放在第一位的目的是什么? 显然我不是在这里理解的东西。
我想知道,如果我configuration我的openssl服务器显式使用TLSv1.2,我也不得不提到不使用3DES(通过添加“!3DES”的string),或TLSv1.2的明确使用删除支持3DES。 从这个链接我可以看到,TLS1.2在其可用的密码列表中没有3DES。 所以我猜这不支持? 我使用的string是"HIGH+TLSv1.2:!MD5:!SHA1"
我有一个网站groupsitedev.com。 它不会强制网站httpd总是。 我已经完成了下面的设置,但仍然从http加载一些链接。 这里是configuration: server { listen *:80 default_server; if ($scheme = http) { return 301 https://$host$request_uri; } } 我试图只使用返回301,如果没有,这里是我得到错误的截图 https://www.dropbox.com/s/mqqdbmwl4vf43qp/error.JPG?dl=0 但仍然不会强制所有链接转移到https。
一些强制性的Wifi门户要求在允许访问互联网之前,能够将用户301/302redirect到authentication/服务条款页面。 这与SSL不一样,典型的咖啡店无法为客户提供wifi服务。 在这种情况下,用户在连接到https://Facebook.com时可能会遇到SSL错误,并且证书是私人发行的。 显然是一个安全禁忌。 所以现在使用Wifi + HTTPS,连接将失败。 智能用户可以导航到站点的“http://”版本来“触发”redirect,但是由于无法发送门户redirect,所以HSTS和证书locking不再可靠。 随着HSTS和固定日益stream行,用户“猜测”的许多网站将导致浏览器错误,并且不会redirect到本地鉴定点。 题 这是什么理想的缓解? 哪些具体的最佳做法? 我应该考虑在裸体/根,没有SSL和www域执行redirect? 我应该有一个完全不同的顶级域的HSTS? 我在问,所以我可以逐个案例的可用性与安全权衡。
我不确定这是一个交换的问题,但现在它只是popupwebmail,我会在这里发布,希望任何人有线索… scheme:单个Exchange 2016环境。 为webmail.domain.com拆分DNS。 基本身份validation用于OWA。 客户都join域,并在内部networking。 使用的浏览器是Internet Explorer 11,Edge和Chrome。 症状:当用户尝试打开webmail.domain.com时,会popup一个凭证popup窗口,提示是否提供了正确的凭证,并且不会访问邮箱。 这个问题有两个解决方法: 打开autodiscover.domain.com/owa =>这也提供了一个凭证popup,但login是可能的和成功的。 请注意,autodiscover.domain.com指向与webmail.domain.com完全相同的IP地址,即Exchange服务器的内部IP地址。 连接IP地址也可以。 用Chrome打开webmail.domain.com =>这也没问题 我完全不知道是什么原因导致了这种情况,但我觉得这与身份authentication有关。 为什么? 当我在Exchange服务器上打开Internet Explorer并打开webmail.domain.com时,我也会popup一个凭证窗口,但系统已经填写了用户ID,而不是用户IDloginExchange服务器。 在这种特定情况下,它是用“存档”帐户填写的,该帐户是用于日记邮箱/存档应用程序的function帐户。 因此,似乎与网站的连接是用错误的用户实例进行的。 当我尝试从Exchange服务器打开autodiscover.domain.com时,我得到一个空的凭证popup窗口(没有用户ID填充),这是我应该相信的。 我不是第一次遇到这样的问题:在另一个客户端,通过代理/防火墙阻止大多数用户访问互联网。 互联网访问被允许在每个用户的基础上。 我在Exchange服务器上使用的用户有权访问互联网,但是,有时我的互联网仍然被阻止,阻止页面显示如下:“应用程序被阻止用户”domain.local \ HealthMailbox04ca435d49044cf4b4f41c48dg52641“ 所以在这里,访问网站似乎是由错误的用户实例发起的。 我不知道这两个问题是否完全一样,但是无论如何看起来都非常相似。 有没有人经历过这样的事情? 有没有人有一个想法,我可以看看解决这个问题,或在哪个论坛,我应该发表这种问题? 其他信息:如果客户端计算机被从域中取出,则问题消失。 如果再次join域,则问题再次出现。 任何人有一个想法,我需要看的方向? 感谢和亲切的问候