Articles of tls

我们在Exchange 2010服务器前使用Securence入站过滤。 这基本上是垃圾邮件filter。 我试图在Securence和我们的服务器之间的传入连接上进行TLS通信。 我们在Exchange服务器上安装了GoDaddy的已签名证书，并将其分配给SMTP。 我也有分配给我的接收连接器的SSL证书的FQDN。 但是，Securence邮件日志状态： "failed TLS negotiation: Cannot accept self-signed certificate" 交换服务器上还有另外两个自签名证书。 他们没有删除选项，所以我认为他们是由交易所要求的，是正确的？ 假设他们是我从Securence提供的错误中得到的印象，他们看到这些证书，而不是我们从GoDaddy签署的证书。 我能想到的唯一原因是签名证书没有我们的Exchange服务器的内部名称。 你认为会导致这个问题吗？ 或者你觉得还有什么我失踪？ 更新： 我可以用这个命令删除自签名的证书： Get-ExchangeCertificate | ?{$_.IsSelfSigned -eq $true} | Remove-ExchangeCertificate -Confirm:$false 不幸的是我仍然得到上面提到的错误。 服务器上没有自签名证书。 我可以看到唯一的问题是我的证书没有内部DNS名称（server.domain.local）列为主题备用。 我将继续与过滤公司排除故障，也许在他们的最后有什么不对

我有一个使用tomcat4的非常旧的Web应用程序。 B / C的卷毛狗脆弱性我需要禁用SSL3和禁用一堆弱密码。 我的连接器看起来像这样，但显然根据www.ssllabs.com我仍然SSL3启用。 有人可以告诉我什么是错的？ 任何有识之士将不胜感激，谢谢！ （编辑，所以它出现在页面上，所以有一些字符丢失，但重要的属性在那里） Connector className="org.apache.coyote.tomcat4.CoyoteConnector" port="443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true" SSLEnabled="true" sslProtocols="TLSv1, TLSv1.1, TLSv1.2" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"> Factory className="org.apache.coyote.tomcat4.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" /> </Connector

我试图禁用运行IIS 7.5的2008 R2 Web服务器上的SSLv3，但只要我禁用SSLv3并重新启动，网站不再可及。 我运行了SSLv3的数据包捕获仍然启用，我的客户端正在build立一个TLS 1.2连接，所以我不明白为什么禁用SSLv3打破了网站。 我不是最强大的encryption，但知道的基础知识，所以任何洞察力，我什么是造成这个问题表示赞赏。 下面是我运行的PoSH脚本（将SSLv3registry项的值更改为1，以使站点重新联机）： # Add and Enable TLS 1.0 for client and server SCHANNEL communications md 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0' -Force md 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -Force New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -name 'Enabled' -value '0xffffffff' -PropertyType 'DWord' -Force New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -name 'DisabledByDefault' -value 0 -PropertyType 'DWord' -Force # Add and Enable TLS […]

Remmina可以和TLS和NLA一起工作。 但是，如果encryption设置为高而不是客户端兼容，那么它停止工作。 问题： 1.为什么设置高encryption阻止连接？ 2.使用TLS连接时，无论如何设置encryption的含义是什么？ 3.当使用RDPencryption的传统RDP连接不被允许时，它是否完全重要？

我有一个openldap服务器configuration和设置为基于主机的身份validation的Linux客户端login。 一切都很好，除了我想要TLS，并发现它不能工作到一个错误https://www.gc3.uzh.ch/blog/Fixing_LDAP_Authentication_over_TLS/ 我读了，我应该使用这个http://arthurdejong.org/nss-pam-ldapd/setup来代替。 我被困在如何设置基于主机的身份validation，我已经用旧的方式：在ldap.conf中： ubuntu LDAPClientAuthentication, the 3rd way nss_based nss_base_passwd ou=users,dc=valami,dc=valami?one?|(host=client23)(host=*) nss_base_shadow ou=users,dc=valami,dc=valami?one?|(host=client23)(host=*) nss_base_group ou=group,dc=valami,dc=valami?one sudoers_base ou=SUDOers,dc=valami,dc=valami 现在用nslcd.conf 。 我不知道怎么做？ 你能推荐一种方式，或有人做过吗？

我一直在遵循Ubuntu服务器指南OpenLDAP，并遇到了我怀疑是复制的问题。 如果我在访问服务器的客户端上运行以下命令： ldapsearch -ZZ ldapi:/// -D "cn=admin,dc=auth,dc=<us>,dc=com" -W 在哪里被消毒。 客户端输出如下： <Listing of users and groups> # search result search: 3 result: 0 Success 服务器上/ var / syslog的输出是： Feb 20 14:59:42 LDAP slapd[875]: conn=1448 fd=30 ACCEPT from IP=192.168.1.1:46870 (IP=0.0.0.0:389) Feb 20 14:59:42 LDAP slapd[875]: conn=1448 op=0 EXT oid=1.3.6.1.4.1.1466.20037 Feb 20 14:59:42 LDAP slapd[875]: conn=1448 op=0 STARTTLS […]

我们有一个带有Tomcat和Nginx Web服务器的Ubuntu 12.04服务器来服务两个不同的门户。 Tomcat服务于443端口，Nginx服务于8443端口。 这个服务器得到最新的openssl和libssl。 当我运行以下命令时，Nginx端口列出了不同的TLS服务器扩展比Tomcat端口！ openssl s_client -connect myserver.com:8443 -tlsextdebug 2>&1 | grep 'server extension' TLS server extension "renegotiation info" (id=65281), len=1 TLS server extension "EC point formats" (id=11), len=4 TLS server extension "session ticket" (id=35), len=0 TLS server extension "heartbeat" (id=15), len=1 openssl s_client -connect myserver.com:443 -tlsextdebug 2>&1 | grep 'server extension' TLS […]

我有Nginx作为基于主机名的请求的网关和反向代理。 但是，与LAN中的实际服务器的通信并不安全。 连接是否保持以下设置进行encryption，还是我应该在实际的Web服务器中保护Apache？ 必须指出的是，局域网不能完全信任。 server { listen 443 ssl; ssl_certificate /etc/nginx/ssl/wildcard.xxxx.edu.ar.crt; ssl_certificate_key /etc/nginx/ssl/wildcard.xxxx.edu.ar.key; server_name tracker.yyyy.xxxx.edu.ar; location / { proxy_pass http://192.168.yy.xx:8080; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } } server { listen 80; server_name tracker.yyy.xxxx.edu.ar; return 301 https://$server_name$request_uri; }

https://weakdh.org/sysadmin.html上的Tomcat修复列出的非GCM密码是否有错别字？ 在“Apache Tomcat”标题下和“在server.xml文件（对于JSSE）”文本下面，有以下连接器密码configuration。 我的问题涉及底部的14个密码（名称中没有GCM的密码） （为了便于阅读，添加了新行） <Connector ciphers="[GCM Ciphers], TLS_ECDHE_RSA_WITH_AES_128_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_SHA256, TLS_ECDHE_RSA_WITH_AES_128_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_SHA, TLS_ECDHE_RSA_WITH_AES_256_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_SHA384, TLS_ECDHE_RSA_WITH_AES_256_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_SHA, TLS_DHE_RSA_WITH_AES_128_SHA256, TLS_DHE_RSA_WITH_AES_128_SHA, TLS_DHE_DSS_WITH_AES_128_SHA256, TLS_DHE_RSA_WITH_AES_256_SHA256, TLS_DHE_DSS_WITH_AES_256_SHA, TLS_DHE_RSA_WITH_AES_256_SHA " /> 应该是这些CBC密码吗？ <Connector ciphers="[GCM Ciphers], TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA256, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_DHE_RSA_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA " /> 看来他们错过了CBC_的名字。 例： TLS_DHE_RSA_WITH_AES_256_SHA应该是TLS_DHE_RSA_WITH_AES_256_ CBC_ SHA。 根据https://www.openssl.org/docs/apps/ciphers.html ，后者存在，而前者不存在。 如果您查看weakdh.org网站上的其他修复程序，则可以看到其他产品使用不同的密码命名约定。 使用OpenSSL密码列表，您可以将这些名称映射到Tomcat使用的名称，并找出它们映射到CBC密码。 我尝试使用从我的server.xml中发布的weakdh.org密码，但它没有效果。 如果即使是一个密码拼写错误或者不是一个合法的密码名称，Tomcat也会忽略这些密码，并且Tomcat会回退到使用JVM的默认密码。 […]

我正在为客户端 – 服务器应用程序实现TLS。 但是，问题是客户端和服务器都在同一台服务器上：都只和一个端口号通信。 那么通用名称（CN）应该代理和服务器是什么？ 如果我使用系统的IP以外的其他名称，则会收到“不可信证书警告”的警告消息。 如果我使用相同的CN名称，则应用程序失败。