我有Windows Server 2012,我读的所有东西都应该默认启用TLS 1.2。 但是当我进入 Regedit>HKEY_Local_Machine>System>SecurityProviders>SChannel>Protocols 那里唯一的关键是SSL 2.0,它只有一个客户端子项,其中disabledbydefault设置为1。 如果启用了TLS,那么至less在那里不应该存在TLS 1.2密钥?
什么可能导致Could not generate DH key pair on the destination URL错误Could not generate DH key pair on the destination URL ? EDI合作伙伴公司试图连接到我们的HTTPS服务器并遇到上述消息。 或者系统使用商业防火墙和反向代理(基于Apache),具有很高的安全等级(qualsys ssltest中的“A”)。 我怀疑我们的安全级别高于我们的EDI合作伙伴公司的能力,但他们声称与其他HTTPS合作伙伴有工作联系,他们说他们支持“2048位”。 不幸的是我们不能降低我们系统的安全级别来进行testing。 是否有标准的诊断工具,我们可以推荐我们的EDI合作伙伴,以便他们可以分析连接失败? 更新:我使用了Qualsys的SSL诊断工具,发现对于Java(Sun JRE)6客户端来说,没有可能的连接,因为 Java 6u45 – Client does not support DH parameters > 1024 bits 。 对于其他的A级服务器,Java 6客户端可以连接,似乎他们只是不使用DH: Java 6u45 – TLS 1.0 – TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 因此,如果我把这些部分放在一起,我假设我们的服务器坚持DH密钥交换(Java 6客户端不支持),而其他服务器能够协商不同的密码,以便Java 6客户端可以连接。 不过,我不是这方面的专家,所以请让我知道,如果我正在追逐一个红鲱鱼:)
我想在HAproxy-1.5.2中禁用安全重新协商,但在官方文档中找不到任何有关它的信息: http : //www.haproxy.org/download/1.5/doc/configuration.txt 我的SSL HAproxy conf: tune.ssl.default-dh-param 2048 ssl-default-bind-ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:… bind :443 ssl crt ./cert.pem no-sslv3 其实: root# openssl s_client -connect xxxx:443 |grep "Secure" Secure Renegotiation IS supported 我想要: root# openssl s_client -connect xxxx:443 |grep "Secure" Secure Renegotiation NOT supported 任何人都可以帮助我?
在DNS域中 domain.local. 有两台机器 host.domain.local. = 192.168.1.1 srv1.domain.local. = 192.168.1.2 host.domain.local. is KDC for Kerberos realm DOMAIN.LOCAL, srv1.domain.local. is a KDC for Kerberos realm RC.DOMAIN.LOCAL. RC.DOMAIN.LOCAL和DOMAIN.LOCAL之间存在单向信任关系: RC.DOMAIN.LOCAL ===trusts===> tickets from DOMAIN.LOCAL, 但反之亦然。 在srv1上的RC.DOMAIN.LOCAL的KDC已经build立了一个OpenLDAP-后端根据 http://web.mit.edu/kerberos/krb5-devel/doc/admin/conf_ldap.html 其OpenLDAP后端位于host.domain.local中,可通过 ldaps://host.domain.local:636. 在srv1上也安装了一个本地的OpenLDAP(但是是diabled),因此在srv1上存在本地的ldap.conf等。 当我在(srv1)根会话中手动启动srv1上的KDC时 root@srv1:~# krb5kdc 一切正常。 当我尝试通过系统init脚本在srv1上启动KDC时 root@srv1:~# /etc/init.d/krb5-kdc start 要么 root@srv1:~# service krb5-kdc start srv1上的krb5kdc与主机上的slapd之间的TLS对话框失败; 组合的系统日志是 14:46:44 host.domain.local slapd[1778]: daemon: […]
我知道CNAME和MXlogging不能存在于同一台主机上。 在这种情况下,我使用Alogging来pipe理350个DNS域的SMTP。 companyA.com MX myAlias.whitelabel.com companyb.com MX myAlias.whitelabel.com companyc.com MX myAlias.whitelabel.com companyd.com MX myAlias.whitelabel.com 假设myAlias.whitelabel.com是Alogging。 当你telnet到那个主机的端口25时,你会得到一个来自proofpoint的回应,说出不同的主机名: 220 mx0a-000a9001.pphosted.com ESMTP cm-m0074 题 有没有validationSMTP主机名称对DNS? SMTP主机名称是否必须与TLS证书相匹配? 我的目标是在将SMTP中继更改为另一个提供商时简化pipe理。
我需要使用startTLS和OpenLDAP客户端连接ApacheDS数据库。 我的ldaprc文件包含: URI ldap://127.0.0.1:7323 ldaps://127.0.0.1:7423 SSL start_tls SASL_MECH plain TLSCipherSuite HIGH:MEDIUM:+TLSv1:!SSLv2:+SSLv3 TLS_REQCERT allow 我用过的命令是: ldapsearch -H ldap://localhost:7323 -D "uid=admin,ou=system" -w secret -Z -d1 我已经检查过,我的服务器正在侦听这些端口,我可以连接其他客户端(例如ldapbrowser,jxplorer),但是使用OpenLdap的testing失败: … ldap_connect_to_host: Trying 127.0.0.1:7323 ldap_pvt_connect: fd: 3 tm: -1 async: 0 ldap_open_defconn: successful ldap_send_server_request ber_scanf fmt ({it) ber: ber_scanf fmt ({) ber: ber_flush2: 31 bytes to sd 3 ldap_result ld 0x7f81d95282a0 […]
DataPower中已禁用SSLv3。 我运行sslscan检查SSL握手期间当前可以使用的所有密码套件。 在sslscan输出中,我发现下面的密码套件正在被接受。 TLSv1 256 bits AES256-SHA TLSv1 128 bits AES128-SHA TLSv1 168 bits DES-CBC3-SHA TLSv1 128 bits RC4-SHA Preferred Server Cipher: TLSv1 256 bits AES256-SHA 然后,我禁用DataPower(服务器)上的sslscan并再次运行sslscan 。 结果不是我所期待的。 所有包括TLS1.0握手过程中接受的密码套件都被拒绝。 我怎么会知道,如果我禁用TLS1.0,我的服务器将接受哪个密码?
我有问题理解多米诺骨牌行为提供SSL或TLS出站连接到WebService。 我们有一个访问WebService的代理。 WebService只接受TLS 1.0 有时连接崩溃,我打开了DEBUG_SSL_ALL = 3看看发生了什么 我想通过服务器提供SSLV3.0而不是TLS1.0来连接失败,请参见05:45:58上的日志示例 服务器怎么突然这样做? 我在另一篇文章中读到,有时候会发生这种情况,因为“恢复”应该是一些要记住和连接更快的行为。 这听起来像是件好事,但在这种情况下,它并不是原因。 我有这个代理自己运行了几个小时,它突然改变了protocoll。 我们的服务器需要保持使用SSL的能力,因为其他原因所以我不能做DISABLE_SSLV3 = 1的时刻,接收服务器不能使用SSL。 这里是我的日志希望有一些帮助连接的开始是一样的,我看到它,是否有智能debugging语句,可以给我更多? Domino 9.0.1 FP4 [10A4:000C-082C] 01/13/2016 05:26:59.36 PM SSLInitContext> 0 Available cipherspec: 0x0035 [10A4:000C-082C] 01/13/2016 05:26:59.36 PM SSLInitContext> 1 Available cipherspec: 0x002F [10A4:000C-082C] 01/13/2016 05:26:59.36 PM SSLInitContext> 2 Available cipherspec: 0x000A [10A4:000C-082C] 01/13/2016 05:26:59.36 PM SSLInitContext> 3 Available cipherspec: 0x0005 […]
为了在我的Postfix服务器上使用TLS,我直接使用了来自其他服务器的nginx ssl文件,这也使用了我想用于postfix的域。 我已经以下面的方式将这些文件整合到main.cf中: smtpd_tls_cert_file = /etc/ssl/subdomain.example.com.crt smtpd_tls_key_file = /etc/ssl/subdomain.example.com.key smtpd_tls_CAfile = /etc/ssl/subdomain.example.com.pem 我没有做任何openssl或东西,我只是用我在nginx我的另一台服务器的文件。 但是,我猜这不应该是一个问题,因为邮件服务器也使用与nginx相同的域名。 通过shell( mail ) mail是不是一个问题,但是当我想使用我的postfix服务器作为中继服务器,我得到以下错误(sceanrio:我想在我的smtp服务器在PHP-CMS ): cannot enable STARTTLS, though 'subdomain.example.com:25' advertised it: 4.7.0 TLS not available due to local problem (454) mail.log: Feb 5 15:40:09 koto postfix/smtpd[8911]: warning: TLS library problem: error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c:172: Feb 5 15:40:09 koto postfix/smtpd[8911]: warning: […]
我有一台一般工作正常的服务器,但试图连接SSL时卡住了20秒(SSH或HTTPS显示相同的模式)。 我尝试了各种不使用SSL的连接,例如telnet: telnet server-name 80 input一个GET命令 GET http://server-name/ Host: server-name Accept: text/html, */* Accept-Language: en-us User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) 答案是100%即时。 但是,当我尝试在浏览器中通过HTTPS连接到服务器,或者使用SSH连接到同一台服务器时,连接前大约需要20秒。 对于SSH,它将很好地工作(即不再缓慢)。 对于HTTPS,每次重新连接时都会很慢。 但是,没有closures的连接将继续快速运行。 我添加了在Firebug中出现的networking信息的屏幕截图。 正如我们所看到的,每次尝试新的连接时,20秒。 用htop来看服务器的使用情况,CPU是0%,当发生什么事情时,在1分钟内达到百分之零点一。 使用情况报告 所以服务器总体上并不是以任何方式挂钩的(例如,在这一点上它是一个testing服务器,我们也没有被别人点击)。 所以我的问题是:什么会导致这样的放缓? 我想也许可能是OpenSSL试图使用/ dev / random,但我从来没有听说过这样的问题。 随机设备在该VPS上根本不输出多less。 不过,/ dev / urandom工作得很好。 我可以在几秒钟内获得1Mb的随机数据。 我可以考虑什么来解决这个问题? /etc/resolv.conf看起来像Google DNS。 应该快… # Dynamic resolv.conf(5) file for glibc resolver(3) […]