我正在使用CentOS 5.I在OpenLDAP服务器上启用TLS(或ssl)时遇到问题。 我遵循这个教程 。 我生成了证书,并在slapd.confconfiguration了path,如下所示 TLSCertificateFile /path/to/server-certificate.pem TLSCertificateKeyFile /path/to/private-key.pem TLSCACertificateFile /path/to/CA-certificates 我使用了这个命令 slapd -h "ldap:/// ldaps:///" 在端口636上启用侦听器。 我不能创build一个连接到ldaps://myhost:636 (我试图与客户端和liferay ldapbuild立连接) 我没有问题,如果我不使用TLS。 我在这里错过了configuration中的一些步骤吗? 编辑 使用命令: openssl s_client -connect host:port 我得到了
我有一个与MMA的QMAIL Plesk 10.5服务器。 我们在向某些域发送电子邮件时遇到了问题,我想知道您是否知道如何通过QMAIL发送电子邮件时禁用STARTTLS。 我看了一下xinetd文件,找不到任何强制TLS(FORCE_TLS = 1)的东西。 来自TCPDUMP的日志: TCP协议> [Y-SRC] [X-SRC]> SMTP SYN TCP> [X-DST] [Y-SRC]> SYN ACK TCP> [Y-SRC] SMTP> [X-DST] [Y-SRC]> 220 mail.domain.tld ESMTP后缀TCP> [Y-SRC] [X-SRC]> ACK SMTP> [Y-SRC] [X-DST]> EHLO mail.mydomain.tld TCP> [X-DST] [Y-SRC]> ACK SMTP> [X-DST] [Y-SRC]> 250 mail.domain.tld 250 PIPELINING 250 SIZE 204800000 250 VRFY 250 ETRN 250 STARTTLS 250 […]
在我们的Exchange 2010 POP3configuration为只允许安全login(TLS连接进行身份validation)。 现在,“普通”POP3的默认端口是110 ,而对于带有SSL的POP3是995 ,因此使用给定的Exchange设置,POP3目前只能在995上使用SSL。 另外,Exchange服务器将一些请求传递给另一个接受“纯文本”authentication的电子邮件服务器。 因此,在这种情况下,端口110起作用。 假设端口995被阻塞或因任何原因无法使用,是否可以将Exchangeconfiguration为在端口110上使用两者 (在SSL上不安全的POP3和POP3)? 我试图做到这一点,但它没有工作( 错误“SSLauthentication失败,由于意外的数据包格式”/“服务器不接受encryptiontypes” ): TLS or unencrypted – IPv4: 110 – IPv6: 110 SSL – IPv4: 995 – IPv6: 955 – IPv4: 110 <– I've added this 我觉得我还是不完全明白这一点。
我试图设置一个ldaps支持的LDAP服务器。 服务器托pipe在ec2上,并且在路由53上有一个域名。我得到了53域的SSL证书(比如example.com)。 当我尝试从ldap客户端使用ldaps进行连接时,出现以下错误。 TLS:证书[CN = ip-xx-xx-xx-xxx.ec2.internal]无效 – CA证书无效TLS:证书[CN = ip-xx-xx-xx-xxx.ec2.internal]无效 – 错误-8172:对方的证书颁发者已被标记为不受信任的用户。TLS:错误:连接 – 强制握手失败:errno 21 – moznss错误-8172 TLS:无法连接:TLS错误-8172: Peer的证书颁发者已被标记为不受用户信任。ldap_err2string ldap_sasl_bind(SIMPLE):无法联系LDAP服务器(-1) 问题是ldapparsing到ec2实例的内部IP。 我如何解决这个问题?
我正尝试使用使用http://docs.tigase.org/tigase-server/5.3.0/adminguide/#_server_certificates生成的自签名证书来启动XMPP服务器。 但是,服务器不会在logs/tigase-console.log中logs/tigase-console.log下面提到的exception错误 SSLContextContainer.init()警告:无法从文件加载证书:certs / tigase.mydomain.crt java.security.KeyStoreException:不能存储非PrivateKeys 在sun.security.provider.JavaKeyStore.engineSetKeyEntry(JavaKeyStore.java:250) 在sun.security.provider.JavaKeyStore $ JKS.engineSetKeyEntry(JavaKeyStore.java:55) 在java.security.KeyStore.setKeyEntry(KeyStore.java:909) 在tigase.io.SSLContextContainer.addCertificateEntry(SSLContextContainer.java:199) 在tigase.io.SSLContextContainer.init(SSLContextContainer.java:421) 在tigase.io.TLSUtil.configureSSLContext(TLSUtil.java:89) 在tigase.conf.ConfiguratorAbstract.setProperties(ConfiguratorAbstract.java:815) 在tigase.conf.ConfiguratorAbstract.setup(ConfiguratorAbstract.java:550) 在tigase.conf.ConfiguratorAbstract.componentAdded(ConfiguratorAbstract.java:182) 在tigase.conf.Configurator.componentAdded(Configurator.java:50) 在tigase.conf.Configurator.componentAdded(Configurator.java:33) 在tigase.server.AbstractComponentRegistrator.addComponent(AbstractComponentRegistrator.java:115) 在tigase.server.MessageRouter.addRegistrator(MessageRouter.java:141) 在tigase.server.MessageRouter.setConfig(MessageRouter.java:696) 在tigase.server.XMPPServer.start(XMPPServer.java:142) 在tigase.server.XMPPServer.main(XMPPServer.java:112) 这里似乎出了什么问题。 我试图生成密码和没有密码,但我得到这个相同的例外。 放置在certs/目录中的文件是client_truststore , keystore , rsa-keystore , tigase.mydomain.crt , tigase.mydomain.csr , tigase.mydomain.key , tigase.mydomain.pem和truststore 我使用了openssl req -nodes -new -newkey rsa:2048 -keyout tigase.mydomain.key -out tigase.mydomain.csr来生成.key和.csr 。 我用openssl x509 -req -days 365 […]
随着最近对POODLE的恐慌,我们开始改变每个人与TLS的连接,而不是SSL。 虽然这个过程对HTTPS来说很顺利,但似乎Dovecot&Postfix拒绝(或者说,连接尝试超时),邮件客户端尝试通过TLS进行连接— 但是,当我运行: openssl s_client -connect {our IP}:465 -tls1_2 //也在993上工作 它返回: CONNECTED […] New, TLSv1/SSLv3, Cipher is […] Server public key is 4096 bit […] SSL-Session: Protocol : TLSv1.2 […] 在/etc/postfix/main.cf ,相关的行如下: smtpd_use_tls = yes […] smtpd_tls_security_level = may smtpd_tls_auth_only = no smtp_tls_note_starttls_offer = yes smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom 在/etc/dovecot/${grep […]
我被要求在我们的Web服务器上禁用SSL v3和TLS v1。 但是Apache报告: [error] No SSL protocols available [hint: SSLProtocol] 当我在下面的SSLProtocol节中包含-TLSv1时。 如果我删除-TLSv1它工作正常,但TLS版本1当然然后启用。 AFAIK'All'表示OpenSSL v 1.0.1中的+ SSLv2 + SSLv3 + TLSv1 + TLSv1.1 + TLSv1.2,这是我正在使用的版本。 那为什么它拒绝-TLSv1? SSLProtocol All –TLSv1 -SSLv2 -SSLv3 SSLHonorCipherOrder on SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
一年多来,我一直在经营一个基于照片的网站,允许客户订购印刷品,印刷公司随后履行。 订单以XML格式发布到指定的URL。 最近的订单没有发布,我在检查服务器日志时遇到以下错误: [Mon Dec 01 21:17:38 2014] [error] [client XXX] cURL error: [35] Cannot communicate securely with peer: no common encryption algorithm(s). 印刷公司的技术团队能够为我提供一些方向,但我仍然感到困惑。 最初他们告诉我,服务器目前仅支持SSLv2,SSLv3和TLS1.0,并且很可能我们只在端点上启用了TLS1.2。 他们声称没有任何改变,我个人也知道,我们几个月来没有任何修改。 当我最初遇到这个问题时,我试图更新服务器软件包,但是这个问题没能解决。 后来我想也许这个问题围绕着亚马逊EC2实例的安全组织,但我不完全确定。 假设尚未启用,我将如何去启用TLS1.0? 我将如何检查当前启用的传输层证券和安全套接字层? 还有其他build议吗?
我的curl请求如下所示: curl –header "Authorization: Basic BASE_64" https://example.com –tlsv1 -k (我需要明确提供TLS并跳过validation) 它的工作。 我想设置nginx作为中间件和处理远程服务器的身份validation。 location / { proxy_pass {{ remote_server }}; proxy_set_header Host $host; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header Authorization "Basic {{ base64_token }}"; } 不幸的是,在这些设置下,我得到了403个禁止。 我在做什么不同于curl请求? 我的error.log显示: 2014/12/20 02:40:12 [error] 15676#0: *13 connect() failed (111: Connection refused) while connecting to upstream, client: MY_OWN_IP, server: _, request: "GET […]
我正试图获得通过节点代理访问的节点https服务器。 我买了证书,并有一个独立的https服务器工作正常。 最初由于多个证书在一个文件中有一些打嗝,但是这个post有助于: http://stackoverflow.com/questions/16224064/running-ssl-node-js-server-with-godaddy-gd-bundle-crt. 早些时候,我已经通过一个基于节点的反向代理nodejitsu的http代理模块的所有连接,它有效地代理http – > http。 现在,正如所料,在将目标服务器更改为https后,代理不起作用,因为它基本上是: client -> http-proxy(public IP) -> https connection(local IP) 这实际上是https中寻求消除的中间人情况。 另外,我从https服务器得到以下错误: Error: Hostname/IP doesn't match certificate's altnames 证书是正确的,因为HTTPS没有在中间代理正常工作。 从阅读一些post,我意识到以下应该工作: client -> https-proxy (Public IP) -> http connection (local IP) 实际的本地服务器在哪里运行http和公共https。 这是基于http-proxy文档中的解释: https://github.com/nodejitsu/node-http-proxy 在这篇文章中: https://nadeesha.silvrback.com/creating-a-https-proxy-in-node-js 在http代理模块文档中,似乎有一个客户端的解释 – > https(代理公共IP) – > https(代理本地IP)。 如果是这样,我需要在目标https服务器上设置哪些证书? 在尝试这些可能性之前,我想知道: 什么是处理这个需求的标准最佳实践,以及如何在节点下实现它。 我不想介绍Nginx或Apache只是为了处理这个。 我完全偏离这里吗?