在build立一个HTTPS网站的过程中,并在其中的最佳做法,首先我禁用ssl v3(没有问题),然后我禁用旧的不安全密码,只有启用: TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384 但是,这样做后,我不能通过远程桌面login。 可能有些密码不兼容? RD客户端在Windows XP上,服务器是Windows 2012 R2。 我该如何解决这个问题? 我不想为IIS重新启用旧的不安全密码。 先谢谢你
我有一个EC2实例,它是运行ASP.NET网站的Window Server 2016。 我获得了AWS颁发的SSL证书。 如何在此EC2实例上安装此证书? 这是Windows环境,所以我需要一个PFX或PEM文件。 如何从AWS Certificate Manager获取此文件?
上下文 出于某些原因,我有必要产生: 一个根CA 中间CA(由根CA签名) 证书(由中间CA签名) 连锁,链条 我在一个Docker化的环境中,有3个容器: 容器A:解码SSL(使用链+键)并转发请求到容器B的Nginx反向代理 容器B:Nginx(这里没有什么特别的,响应的应用程序) 容器C:一个需要curlA的应用程序(没有不安全标志)。 我需要在这个上安装中间CA. 它看起来像一个简单的问题,但是当容器C基于Debian时,我被卡住了。 例如,它在Ubuntu容器上就像一个魅力。 它也适用于Ubuntu桌面虚拟机。 我的中级CA也可以在我的Mac上使用OSX钥匙串存储。 这看起来像一个Debian特定的问题。 我是如何testing的 我遵循以下几个步骤: – 生成ca / certs /链 – 在我的mac上安装中间CA – 在terminal内部的curl -XGET https://service.local :OK 然后,使用Docker,在Ubuntu上安装中间CA,然后调用update-ca-certificates,并使用curl进行testing:OK 然后,使用Docker,在Debian上挂载中间CA,然后调用update-ca-certificates,并使用curl进行testing:KO 脚本部分 我已经编写了整个certs / ca / chain代码,这里没有问题,除非你需要,否则我不会详述。 Docker-compose为容器C. 我试着用不同的操作系统,这就是为什么有几个服务,它显示了我在Ubuntu和Debian的几个版本之间完全相同的东西。 我通过不调用update-ca-certificates来做了一些快捷方式; 而是直接在/ etc / ssl / certs中挂载这个文件,因为它没有做太多的事情……对于那些想知道的人:我也尝试在其他地方挂载文件,然后调用update-ca-certificates,然后curl另一个版本的入口点,但结果相同,它在Ubuntu上,而不是在Debian上。 version: '2' services: ubuntu: image : "ubuntu:16.04" volumes […]
我试图为外部世界和我的本地networking服务于同一个网站。 如果从我的本地networking访问,我不希望SSL(以避免添加证书)和附件没有用户login,而从外部世界,我希望authentication和SSL。 我正在考虑这样的事情,不幸的是从我的本地networking访问总是把我redirect到SSL服务器。 server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name my.server.com; ssl_certificate /etc/letsencrypt/../fullchain.pem; # managed by Certbot ssl_certificate_key /etc/letsencrypt/../privkey.pem; # managed by Certbot include snippets/ssl-settings.conf; auth_basic "Restricted Content"; auth_basic_user_file /etc/nginx/auth.d/auth.pwd; root /var/www/html; location / { try_files $uri $uri/ =404; } include /etc/nginx/locations-enabled/*.conf; } server { listen 80 http2; listen […]
我在多个网站前有一个负载均衡器,其中一个需要SSL证书。 当我在负载平衡器上为该站点安装SSL证书时,它将打破所有其他站点的HTTPS协议。 如何在不中断其他网站的HTTPS的情况下为此网站获取SSL? 我可以只为整个负载平衡器获得SSL证书吗? 这些url是不同的,不共享顶级域名。 提前致谢!
是否可以手动编辑X509v3证书的密钥用法? $ openssl x509 -in crt.crt -text … X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment X509v3 Extended Key Usage: TLS Web Client Authentication, E-mail Protection … 你怎么能改变这个 X509v3 Extended Key Usage: TLS Web Server Authentication ?
我有服务器上有一个公共网站和一个安全的网站。 在安全的网站上我有一个双向SSLauthentication。 目前,我在我的linux设备上有一个密钥,但是我想从其他计算机(主要在Windows上)访问禁区。 那些电脑不是威胁。 然后,我想要我的SSL证书存储在一个USB棒,但我不希望证书被传递。 我怎样才能确保安全? 我读了关于USB令牌,他们是有用的家庭服务器(没有任何商业)?
我将我的网站完全转移到SSL,到目前为止,我已经移动了移动版本。 我遇到的问题是,它的要求相当慢: 之前: 后: 例如最初的HTML页面(31.html),从5ms开始,达到高达303ms:/ 我假设这与我们现在使用SSL的事实有关。 我的SSL设置很简单,在我的域configuration文件中: ssl on; ssl_certificate /home/chambres/conf/web/ssl.chambresdhotes.org.pem; ssl_certificate_key /home/chambres/conf/web/ssl.chambresdhotes.org.key; 还有什么其他的技巧可以用来帮助加速吗? 我们首先在移动版本上推出,以了解它会如何影响速度 – 我只是担心,如果我们将其移动到桌面版本(更重),它会使速度变慢。 谢谢!
如果禁用了TLS 1.0和1.1,则在Windows 2008 R2上,SQL 2008存在问题。 在禁用TLS 1.0和1.1之后,我无法启动SQL服务。 和事件查看器显示这些错误: 我search每一个地方,但我找不到任何解决scheme。 任何人可以build议任何东西? 谢谢。
我是在Apache(Windows服务器)中手动创buildCSR以及安装生成的证书的全新产品。 但是,这是我所做的。 首先,我使用以下命令生成CSR … openssl req -new -newkey rsa:2048 -nodes -keyout [domainname].key -out [domainname].csr -config "C:\Apache24\conf\openssl.cnf" 然后我走过来回答提示。 我没有为密码input任何内容,只是简单地input并跳过它。 不知道这是什么原因导致了我有或没有的问题。 CSR生成后,我将其上传到我的SSL供应商,然后下载得到的证书.zip文件。 .zip文件虽然只包含2个文件。 一个是随机string文件名.crt,另一个是一个捆绑文件名.crt文件。 根本就没有.key文件。 然后,我将以下几行添加到Apache的VirtualHosts文件中。 <VirtualHost *:443> ServerAdmin [email protected] DocumentRoot "c:/sites/mydomain.com" ServerName mydomain.com ServerAlias www.mydomain.com SSLEngine on SSLCertificateFile "c:\ssl\mydomain.com\randomstringfilename.crt" SSLCACertificateFile "c:\ssl\mydomain.com\bundlefilename.crt" </VirtualHost> 但是当我尝试启动Apache服务时,它会炸弹,并在error.log文件中得到以下内容。 [Tue Nov 21 12:13:08.096246 2017] [ssl:emerg] [pid 10496:tid 500] AH02577: Init: SSLPassPhraseDialog builtin […]