Articles of tls

当我尝试通过Filezilla FTP客户端连接站点文件时，出现以下错误 Status: Connecting to 91.109.7.88:21… Status: Connection established, initializing TLS… Error: GnuTLS error -15: An unexpected TLS packet was received. Error: Could not connect to server 如何解决这个错误？

我有一个kvm服务器，有6.6位客人的Centos 6.6主机。 我们运行一个基于php的web应用程序，为我们的客户使用LDAP身份validation。 我们刚刚将一个客户端移到了这个设置中，他们报告说所有的ldapstream量都是以TLS v1.1而不是TLS v1.2发送的。 我已经validation了OpenSSL和OpenLDAP的版本在旧版本和新版本之间是一样的。 我到处挖掘，似乎find原因。 vms全部在私有ip上，通过NAT规则和Nginx上行指令共享公共ip。 任何人都有一个想法，为什么交通突然成为v1.1？ 链接的OpenSSL版本： host： libssl.so.10 => /usr/lib64/libssl.so.10 guest： libssl.so.10 => /usr/lib64/libssl.so.10 Nginx： built with OpenSSL 1.0.1e-fips

这是一个常见的问题，很容易出现在search中，似乎与防火墙有关，但我似乎无法弄清楚如何解决这个问题。 其实我之前已经问过了 ，但是这次我回来了更多关于这个问题的信息，并且更好的理解了这个问题。 当我的openvpn服务器（位于一个NAT之后）有其外部IP改变，因为我的互联网连接有一个dynamicIP，问题出现。 所以，只要我的外部IP变化，我的VPN客户端不能再连接到服务器。 这是一个令人头疼的问题，因为在重新启动（openvpn服务器，也许还有防火墙）之后，事情通常不会被纠正。 几次重新启动后，虽然事情会得到工作几天，直到我的IP更改。 以下日志是从2（服务器和客户端）slackware linux系统获得的。 我的服务器configuration如下： cd /etc/openvpn proto udp port 32456 comp-lzo verb 1 log-append /var/log/openvpn/server.log status /var/log/openvpn/server-status.log daemon dev tun persist-tun persist-key server 192.168.26.0 255.255.255.0 ifconfig-pool-persist /var/log/openvpn/ipp.txt client-to-client client-config-dir ccd route-gateway 'dhcp' route 192.168.114.0 255.255.255.0 route 192.168.18.0 255.255.255.0 push "route 192.168.112.0 255.255.255.0 vpn_gateway" push "route 192.168.114.0 255.255.255.0" push "route […]

我正在尝试将TLS支持添加到在AWS EC2实例上运行的syslog-ng服务（正在将日志发送到日志logging）。 没有TLS的基本configuration工作，但是当我在config中replace目的地时： destination d_loggly { tcp("logs-01.loggly.com" port(6514) tls(peer-verify(required-untrusted) ca_dir('/opt/syslog-ng/keys/ca.d/')) template(LogglyFormat)); }; 重新启动syslog-ng服务时出现以下错误： [ec2-user@ip-10-0-1-123 syslog-ng]$ sudo /etc/init.d/syslog-ng restart Stopping syslog-ng: [ OK ] Error parsing afsocket, syntax error, unexpected LL_IDENTIFIER, expecting ')' in /etc/syslog-ng/syslog-ng.conf at line 74, column 5: tls(peer-verify(required-untrusted) ca_dir('/opt/syslog-ng/keys/ca.d/')) ^^^ syslog-ng documentation: http://www.balabit.com/support/documentation/?product=syslog-ng mailing list: https://lists.balabit.hu/mailman/listinfo/syslog-ng 我可以确authentication书位于/opt/syslog-ng/keys/ca.d/： [ec2-user@ip-10-0-1-123 /]$ ls -l /opt/syslog-ng/keys/ca.d/ total […]

使用CoreOS和保护不同的组件需要TLS。 还有etcd，docker和其他需要CA签署证书的服务。 使用相同的CA证书签署所有服务的不同证书是否可以，或者我真的应该为每个服务创build一个CA吗？ 我知道这是主观的，我可能会得到很多“意见”，但是真的有什么好的理由来创build几个CA吗？

我有一个dovecot服务器运行，强制执行TLS1.2 ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 TLSv1.2 这曾经工作得很好，直到有人试图与iPhone连接，抱怨服务器没有响应，我看到服务器上的日志消息： imap-login: Error: SSL: Stacked error: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol 我发现如果我允许TLSv1 ，它就可以正常工作。 这是真的吗？ 我发现其他人抱怨这件事（ http://www.clift.org/fred/frustration-with-apple-mail-app-on-ios-and-yosemite.html ），但我真的不能相信。 请告诉我，我错过了一些明显的东西。 TLSv1.2仅支持特殊的密码吗？ 这是我完成sslconfiguration： $ egrep -v "^#|^$" /etc/dovecot/conf.d/10-ssl.conf ssl = yes ssl_cert = </etc/ssl/my_certs/mail.xyz.tld.crt ssl_key = </etc/ssl/my_certs/mail.xyz.tld.key ssl_dh_parameters_length = 2048 ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 TLSv1.2 ssl_cipher_list = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK ssl_prefer_server_ciphers = […]

我有一个使用HTTPs传输安全性的第三方Web服务调用。 第三方将升级他们的证书到SHA-2，撤销SHA-1。 我的电话是否需要能够使用TLS1.2继续连接，或者TLS1.1或更低版本能否与SHA-2证书进行交互？

我感兴趣的关于TCP上游SSL终止的特性。 我正在评估NGINX开源和NGINX Plus。 我们有一个应用程序接受来自客户端的TLS消息（TCP）。 用NGINX，我想在NGINX终止TLS，然后NGINX会把解密后的数据包转发给应用程序。 请注意我的应用程序不会通过HTTP接收消息，而是通过TCP（因此HTTP（S）相关模块对我的用例无效）。 客户端 – （TLS） – > NGINX – （解密） – >应用程序 我已经configurationNGINX进行TCP负载均衡（Non-SSL）。 为此，我必须使用以下两个模块构build源代码： ngx_stream_core_module ngx_stream_ssl_module 现在，我想在NGINX和客户端之间启用SSL的相互authentication。 我看到这个文档谈到服务器端身份validation（客户端validation服务器的证书），但我无法findconfiguration相互身份validation（客户端和服务器都validation对方的证书）的步骤。 你能帮我吗？ 在“ngx_stream_ssl_module”中我找不到任何提及客户端证书的选项。 以下是我的nginx.conf的内容： stream { server { listen *:5222 ssl; proxy_pass backend; ssl_certificate /usr/local/nginx/certs/server.crt; ssl_certificate_key /usr/local/nginx/certs/server.key; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ssl_session_cache shared:SSL:20m; ssl_session_timeout 4h; ssl_handshake_timeout 30s; } upstream backend { […]

我如何正确地configurationMongoDB在Ubuntu上使用Letsencrypt SSL？ 我已经使用Letsencrypt创build了一个SSL证书，并通过以下方式进行组合： cat /etc/letsencrypt/live/example.com/fullchain.pem /etc/letsencrypt/live/example.com/privkey.pem > /etc/ssl/mongo.pem 并设置如下mongoconfiguration： net: port: 27017 bindIp: 0.0.0.0 ssl: mode: requireSSL PEMKeyFile: /etc/ssl/mongo.pem 但是在尝试启动Mongo时出现这个错误： No SSL certificate validation can be performed since no CA file has been provided; please specify an sslCAFile parameter 我如何正确设置CAFile？ 不是Ubuntu通常在自己的文件中使用一系列不同的根证书的“CApath”？ 我尝试使用CURL CA软件包，但也没有工作。 我使用Mongo v3.0.12和Ubuntu 14.04

我有一个来自可信CA的SSL证书和密钥（不是自签名的）。 这给了我Fedora系统上的以下文件： /etc/pki/tls/certs/mydomain.crt /etc/pki/tls/certs/mydomain.csr /etc/pki/tls/private/mydomain.key 我的sendmail.mc文件包含这些行： define(`confCACERT_PATH', `/etc/pki/tls/certs')dnl define(`confCACERT', `/etc/pki/tls/certs/ca-bundle.crt')dnl define(`confSERVER_CERT', `/etc/pki/tls/certs/mydomain.crt')dnl define(`confSERVER_KEY', `/etc/pki/tls/private/mydomain.key')dnl 请注意，我没有任何.pem文件，这些文件通常显示在如何让TLS在sendmail中工作的示例中。 当我开始sendmail，我得到这个错误： Aug 22 15:10:17 cs sendmail[23424]: STARTTLS=server, error: SSL_CTX_use_PrivateKey_file(/etc/pki/tls/private/mydomain.key) failed 我假设错误的原因是它正在寻找.pem文件，但我只有一个.key文件给。 我应该创build一个.pem文件吗？ 如果是这样，我怎么从我现有的文件做到这一点？ 当我尝试运行make mydomain.pem它想要从头创build一个CSR。 解 如下所示，密钥文件上有一个密码。 我使用openssl命令将其删除，sendmail能够加载该文件。 我还需要启动saslauthd才能使所有的工作。