我在Debian / Squeeze下使用slapd,并尝试将系统configuration为仅允许在端口389上使用STARTTLS进行TLSencryption的连接。 所以我configuration了我的/ etc / default / slapd来侦听端口389: SLAPD_SERVICES="ldap://:389/" 我生成了一个证书并启用了TLS,将以下条目添加到/etc/ldap/slap.d/cn=config.ldif olcTLSCertificateFile: /etc/ssl/openldap/ca-cert.pem olcTLSCertificateKeyFile: /etc/ssl/openldap/ca-key.pem 最后,我添加了一个/etc/ldap/slapd.conf,内容如下: security tls=256 有了这个configuration,我可以运行TLSencryption连接使用: ldapsearch -ZZ -H ldap://127.0.0.1:389 -D "cn=admin,dc=example,dc=net" -w "password" 但除此之外,未encryption的连接仍在使用: ldapsearch -H ldap://127.0.0.1:389 -D "cn=admin,dc=example,dc=net" -w "password" 从我的angular度来看,似乎/etc/ldap/slapd.conf中的安全指令根本没有使用。 另外,当我尝试将slapd.conf转换为cn = configconfiguration格式时,我可以清楚地看到,安全性指令不包含在生成的cn = configconfiguration文件中。 有人知道那里发生了什么,以及如何改变configuration来禁止未encryption的连接?
运行Ubuntu 12.04并尝试configurationpostfix通过GMAIL中继发送和接收。 我遇到了连接问题,特别是TLS。 已经尝试了一堆故障排除解决scheme,并已改变我的main.cf来解决TLS,但仍然收到以下错误。 试图debugging连接问题: `root@mailservice:/etc/postfix# openssl s_client -connect localhost:587 -starttls smtp` 我承认这些错误 `connect: Connection refused' 'connect:errno=111` 在我的日志中我看到: Jun 11 13:54:31 mailservice postfix/smtp[3765]: warning: cannot get RSA certificate from file /etc/postfix/cert.pem: disabling TLS support Jun 11 13:54:31 mailservice postfix/smtp[3765]: warning: TLS library problem: 3765:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:696:Expecting: TRUSTED CERTIFICATE: Jun 11 13:54:31 mailservice postfix/smtp[3765]: warning: […]
我最近更改了我的Postfix安装,使用TLS和由StartSSL颁发的证书。 然后,我运行SMTP和TLS检查没有错误或警告。 一切似乎工作正常。 我现在的问题是,接收邮件似乎并不适用于任何情况。 似乎有邮件服务器,我无法收到邮件。 这些例如亚马逊或暴雪。 在亚马逊的情况下,我的后缀日志有这样的说: Jan 16 13:57:51 myhost postfix/smtpd[31551]: connect from mm-notify-out-127-214.amazon.com[176.32.127.214] Jan 16 13:57:51 myhost postfix/smtpd[31551]: lost connection after EHLO from mm-notify-out-127-214.amazon.com[176.32.127.214] Jan 16 13:57:51 myhost postfix/smtpd[31551]: disconnect from mm-notify-out-127-214.amazon.com[176.32.127.214] 从暴雪收到邮件时,日志看起来是一样的,只是缺less“丢失的连接”行。 我怀疑StartSSL证书可能不被这两家(也可能是更多的)公司所信任,而且我必须从一个大型的“可信任”的CA购买证书。 任何人都可以告诉我怀疑是否正确,或者在我的后缀configuration中是否有错误? 提前感谢您的帮助。 编辑:这是我从远程login会话的输出: telnet host 587 Trying ip… Connected to host. Escape character is '^]'. 220 host ESMTP Postfix […]
我有以下问题:在设置Intranet Jabber / XMPP服务器后,我询问了服务器的SSL证书,这样人们可以使用有效的证书安全连接。 example.com的DNS被configuration为redirect root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com _xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net. root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com _xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net. 问题是,当我尝试连接到XMPP客户端时,我得到了example.com和xmpp.example.net之间的主机名不匹配? 只要DNSredirect到另一个域,为什么客户端询问原始域上的证书? 详细信息:example.net是企业内部网使用的一个域,内部大部分内容都在这个域内。 显然,人们应该用他们的电子邮件地址和域名密码login。 我想如何解决这个问题? 我很确定,安全不会给我一个公共领域的根域证书。 我认为指向DNS将工作,但似乎没有。 任何解决方法?
我有一个由Verisign根CA颁发的Verisign中间证书。 但是,当我要求OpenSSLvalidation链而不提供根CA证书时,OpenSSL说链是有效的。 为什么? 中间证书中的主题和发行者字段是不同的。 这是我正在使用的命令: openssl verify -verbose VSIntermediate.pem 这里是证书: Certificate: Data: Version: 3 (0x2) Serial Number: 2c:48:dd:93:0d:f5:59:8e:f9:3c:99:54:7a:60:ed:43 Signature Algorithm: sha1WithRSAEncryption Issuer: C=US, O=VeriSign, Inc., OU=VeriSign Trust Network, OU=(c) 2006 VeriSign, Inc. – For authorized use only, CN=VeriSign Class 3 Public Primary Certification Authority – G5 Validity Not Before: Nov 8 00:00:00 2006 GMT Not […]
我通过我们的Apache服务器的ssl.conf文件中的“SSLProtocol All -SSLv2 -SSLv3”应用了Apache的POODLE修复程序,但是在通过“SSLVerifyClient require”进行CAC客户端身份validation时遇到问题。 我已经确认,如果我设置“SSLVerifyClient none”我们的Web应用程序可以通过HTTPS访问,并使用正确的TLSv1协议,但是一旦我设置“SSLVerifyClient require”(因为我们的Web应用程序启用了CAC,在IE中显示(IE禁用了SSLv2和SSLv3,但启用了TLS1.0-3)。 客户端是IE 8的Windows 7 32位。服务器是Windows 2003 SP2。 我已经做了客户端和服务器之间的数据包捕获。 第一个客户问候是TLSv1.2然后发送致命错误closures通知。 因为我的服务器不支持TLSv1.1或TLSv1.2,所以客户端Hello是为TLSv1发送的。 该过程一直到客户端证书申请服务器你好完成然后另一个致命错误closures通知是由客户端发送.. 屏幕盖在这里: http : //i.imgur.com/y3GvjlP.jpg 这里是完整的TCPstream: 第一个stream客户端hello发送并尝试协商TLSv1.2服务器拒绝,因为它不支持并发送一个closures通知。 第二个stream通过TLSv1.0发送一个客户端hello发送等。但这是从一个单一的连接到web服务器.. 第一stream:i.imgur.com/pmiXn9t.jpg第二stream:i.imgur.com/NIh1lsZ.jpg 连接是在TLSv1,我已经从https://www.ssllabs.com/ssltest/validation。 服务器甚至同意使用TLS密码。 即使通过“chrome.exe –ssl-version-min = tls1”禁用了SSLv2和SSLv3,Chrome也能正常工作 另外这个版本的Apache使用mod_ossl“mod_ossl模块为Oracle HTTP Server提供了强大的encryptionfunction,这个Oracle模块是Oracle HTTP Server的一个插件,它使服务器能够使用SSL,与OpenSSL模块mod_ssl非常相似。 mod_ossl模块基于Oracle的SSL实现,它支持SSL版本3和TLS版本1,并基于Certicom和RSA Security技术。 我不知道如何升级这个以支持TLS v1.1和TLS v1.2,因为我在Oracle上发布了最新的OHS 11g版本,这是由Oracle制作的一个自定义模块。 更新: 我已经在OHS Apache日志上启用了debugging日志级别。 使用IE尝试访问Web应用程序时,我现在收到以下错误: [Mon Nov 10 08:16:05 2014] [error] [client XXXX] […]
如何禁用安装在Windows Server 2008 R2上的Apache 2.4.9上的SSLv1,SSLv2和SSLv3协议作为服务? (我没有使用IIS。) 我仍然想在我的服务器上安装TLSv1.2协议。 这里是我的一些环境variables: SERVER_SOFTWARE Apache/2.4.9 (Win32) PHP/5.5.12 OpenSSL/1.0.1g SSL_PROTOCOL TLSv1.2 Registered Stream Socket Transports tcp, udp, ssl, sslv3, sslv2, tls
我们正在尝试为Cisco ASA上的VPN用户设置客户端证书身份validation。 正在使用用户证书存储区来完成身份validation。 我们遇到的问题是用户没有访问私钥的权限,从而导致证书validation失败。 但我的问题是,为什么我们甚至需要访问私钥来完成身份validation过程。
我们有一个系统需要提供数据库和Web服务。 我们希望尽可能lockingTLS安全设置。 它在Windows Server 2008 R2上运行MS SQL 2008。 我知道SQL Server 2008不支持任何高于TLS 1.0的协议。 但是,我仍然希望Web服务拒绝传入的TLS 1.0协商尝试。 最好我可以告诉,虽然都似乎通过相同的SCHANNELregistry项来控制。 有没有什么办法可以在同一个系统上分别控制MSSQL和IIS的TLS协商,这样MSSQL就可以使用TLS 1.0,但IIS只能强制使用TLS 1.1 / 1.2?
我在使用中间CA(自行创build)时遇到了一些nginx客户机authentication的困难。 尽pipe相同的证书包(单个.pem文件中的中间+根证书)适用于IMAP(dovecot)和SMTP(后缀)中的客户端身份validation,但我似乎无法使其与nginx一起使用。 相反,我得到以下错误: [info] 23383#23383: *14583139 client SSL certificate verify error: (27:certificate not trusted) while reading client request headers, client: 82.39.81.156, server: <hostname>, request: "GET /mailboxes HTTP/1.1", host: "<hostname>" 据我了解,来自openssl的错误types27是X509_V_ERR_CERT_UNTRUSTED ,或某种特定用途的证书不可信的问题,但是我无法再详细说明。 个人和捆绑的证书似乎都用openssl verifyvalidation正确openssl verify (我可以validation客户端证书对中间或捆绑,中间证书validation根证书,即在我能想到的每个组合中都是有效的)。 为了validation我的客户端证书,我的根和中间CA应该使用正确的扩展名进行设置,以下是我的自定义openssl.conf文件的相关示例: [ v3_ca ] # Extensions for a typical CA (`man x509v3_config`). subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer basicConstraints = […]