服务器 Gind.cn

Articles of tls

禁止JVM系统安全策略设置

我已经定义了一些参数来保存/usr/lib/jvm/jre-8-oracle-x64/lib/security/java.security以符合我们安全策略的JAVA安全设置。 我编辑的一些参数是 security.overridePropertiesFile=false jdk.tls.disabledAlgorithms= … jdk.certpath.disabledAlgorithms=MD2,… 我不清楚开发者是否可以在应用程序中设置自定义参数,JVM是强制执行这些参数还是可以重写? 我已经看到有关Java安全策略的这个问题,但我只是想要应用系统策略。

激活ldaps支持,得到实现特定的错误

系统:Ubuntu 16.04运行OpenLDAP 2.4.42 我正在按照教程来configurationOpenLDAP for TLS。 我最终创build的LDIF文件如下所示: dn: cn=config changetype: modify replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem – replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/mysite_slapd_key.pem – replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mysite_slapd_cert.pem 问题是,当我运行sudo ldapmodify -H ldapi:/// -Y EXTERNAL -f myFile.ldif ,我得到以下错误: $ sudo ldapmodify -H ldapi:/// -Y EXTERNAL -f myFile.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "cn=config" […]

如何禁用TLS 1.0而不破坏我的IIS / ASP.NET网站?

我们正在运行Windows Server 2008 R2。 一段时间以来,TLS 1.0已经不兼容PCI,通过Windowsregistry禁用它很容易。 但是,过去禁用TLS 1.0给我们带来了两个问题: 通过远程桌面连接到服务器是不可能的。 我们的IIS 6.1网站变得不可用。 问题#1已经修复了MS修补程序KB3080079 ,但是我们的网站在TLS 1.0被禁用后仍会崩溃。 禁用TLS 1.0时,我需要做些什么来保持ASP.NET的快乐,以及网站在线? 以下是错误消息,只有在registry中禁用TLS 1.0并且服务器重新启动后才会出现此错误消息: Server Error in '/' Application. The system cannot find the file specified Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and […]

在内部search域中使用TLS

考虑一个像service.internal.domain这样的域。 通过将内部search域设置为.internal.domain ,用户只需在浏览器中inputservice即可访问该地址。 但是,由于将TLS证书发布到service.internal.domain而不是service ,TLS域validation将失败。 有没有办法解决这个问题,例如让Chrome或类似的浏览器考虑完全合格的域名? 我没有内部CA权限设置,而是使用Lets Encrypt,所以我不能颁发service证书。

LDAPS握手失败errno 21是目录 – 遇到文件结尾

我已经build立了一个CentOS 7的openLDAP传递authentication服务器 。 它将通过Microsoft Active Directory上托pipe的数据库上的LDAP对用户进行身份validation。 如果我使用LDAP,则可以获得成功的查询响应:// 但是,LDAPS://将发生证书握手错误。 我正在使用以PFX格式从GoDaddy购买的证书。 我发现了一些可能的解决scheme,但目前为止没有任何作用 我努力了: 禁用SELinux进行testing 将PFX证书转换为PEM以及DER 使用certutil来解释这个MozNSS数据库: http : //www.openldap.org/faq/data/cache/1514.html pk12util -d / path / to / certdb -i /path/to/file.p12 我发现这个页面https://stackoverflow.com/questions/13732826/convert-pem-to-crt-and-key但是我不知道用什么命令来获得正确的格式证书为openLDAP。 我试过这些: openssl x509 -outform der -in certificate.pem -out certificate.der openssl x509 -outform der -in certificate.pem -out certificate.crt 当我运行一个ldapsearch时: ldapsearch -H ldaps://192.168.1.69 -b "OU=Administration,DC=domain,DC=com" -v -LLL -D "CN=ServiceLDAP,OU=Administration,DC=domain,DC=com" […]

通过子域的通配符SSL协商

我想尽快build立一个网站,作为其中的一部分,将使用多个子域来实质上增加浏览器中并发连接的数量。 我的问题是:我怎样才能避免必须为每个子域进行SSL协商? 如果我使用通配符证书(或SAN),则可以/将与主www.build立SSL会话www. 域重用于子域以避免重新协商SSL连接的延迟时间? 整个网站将落后于SSL,并将有2-3个额外的子领域,如media. , static. 等使用NGINX。

如何在smbpasswdconfiguration中为LDAP后端服务器设置CA证书文件

我遇到了smbpasswd,LDAP后端服务器和SSL / TLS证书的问题。 运行smbpasswd的客户端机器是Debian Etch机器,而Ldap服务器是在Solaris上运行的Sun DS。 以下全部发生在客户端上。 当禁用SSL时,通过在smb.conf中设置“ldap ssl = no”,smbpasswd程序可以正常工作。 当我设置“ldap ssl = start tls”时,以下消息由smbpasswd打印,并且在任何密码被请求之前有一个很长的超时时间 Failed to issue the StartTLS instruction: Connect error Connection to LDAP server failed for the 1 try! ….. long delay ….. New SMB password: Retype new SMB password: Failed to issue the StartTLS instruction: Connect error Connection to LDAP […]

在Debian Lenny上打开StartTLS的OpenLDAP

我试图让Lenny上的OpenLDAP和StartTLS一起工作。 我有一个Fedora 13机器,我正在使用它作为客户端进行testing。 到目前为止,当我尝试使用ldapsearch进行连接时,Fedora客户端忽略了/etc/ldap.conf中的“host”指令。 即使我使用ldapsearch指定-H ldaps://server.name,客户端也想连接到127.0.0.1:389。 客户端机器上的/etc/ldap.conf处于模式444。 但即使当我尝试本地连接从SSH会话,我看到这样的错误: ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1) 有人打了我一个cluebat,plz。 更新:您必须使用〜/ .ldaprc来进行“主机”等设置。 另外,我刚刚使用nmap来对付ldap服务器,并显示636和389处于打开状态。 这里是什么打印屏幕,当我尝试连接, ldapsearch -ZZ –x '(objectclass=*)'+ -d -1 ldap_create ldap_extended_operation_s ldap_extended_operation ldap_send_initial_request ldap_new_connection 1 1 0 ldap_int_open_connection ldap_connect_to_host:TCP 192.168.10.41:636 ldap_new_socket:3 ldap_prepare_socket:3 ldap_connect_to_host:尝试192.168.10.41:636 ldap_pvt_connect:fd:3 tm:-1 async:0 ldap_open_defconn:成功 ldap_send_server_request ber_scanf fmt({it} ber: ber_dump:buf = 0x9bdbdb8 ptr = 0x9bdbdb8 end = […]

TLS 1.1与Oracle HTTP Server?

有没有办法在Oracle HTTP Server上启用TLS 1.1(我相信这是Apache的自定义版本)? 现在我得到一个SSLv3响应,需要使用TLS 1.1

为什么Firefox上的Firefox报告“连接不受信任”

对于熟悉RFC 4366 TLS “服务器名称指示”(SNI)扩展名(允许在同一IP地址上使用多个SSL证书)的用户 ,可以使用以下scheme: URL: http : //puny.it/serverfault02 (redirect到实际的HTTPS URL。) 如SNI所允许的,服务器在同一个IP地址上有多个证书。 此站点的证书不是默认的非SNI / IP特定的证书 浏览器: Firefox / 3.6.10 (全新安装) 客户端操作系统: Windows XP 已知此版本的Firefox可在Windows XP下与SNI一起使用。 ( 符合标准的浏览器列表 ) 它适用于许多configuration,但在这种情况下浏览器报告: 当前连接不可信任 您已经要求Firefox安全连接到example.com ,但我们无法确认您的连接是否安全。 通常情况下,当您尝试连接安全时,网站将显示可信的身份certificate,以certificate您要去正确的地方。 但是,这个网站的身份无法validation。 我该怎么办? 如果您通常连接到这个网站没有问题,这个错误可能意味着有人试图模仿该网站,你不应该继续。 有关如何解决这个问题和/或具体不兼容的地方的build议?
Intereting Posts
根据哪个逻辑微软安装程序select他们的临时文件夹? 亚马逊AWS上的A-2-Znetworking托pipe 4000个请求中有1个出现HTTP 499错误是否正常? Windows Server 2003 DC中的域用户连续帐户locking错误 ProCurve 2610 Java错误? 通过多个防火墙进行networkingWAN负载平衡 设置Apache 2.2.19,MySQL 5.5.13和PHP 5.3.6 为什么是fail2ban发现,但不禁止 木偶 – 限制每个环境的行动? 使用parted更改gpt表中分区的名称是否安全? 低stream量VPS的移动应用程序 在Windows Services for NFS中调整性能 – 从客户端到服务器的写入性能变慢 Linux的dynamicloader.ld-linux.so.2 – 未find 针对指定域的SSL证书 邮箱数据库需要什么权限才能为所有邮箱调用FindAppointments?