我目前正在设置两个同步的OpenLDAP服务器,通过starttls / ldaps进行访问。 在客户机/从机上,我遇到了TLS连接问题。 我正在使用基于目录的configuration,并设置了olcTLSCACertificateFile: /etc/ssl/certs/root-ca.pem对于用户ldap是可读的。 但是,starttls和ldaps连接失败: ldapwhoami -x -H ldap://192.168.56.201/ -ZZ ldap_start_tls: Connect error (-11) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed (unable to get local issuer certificate) 如果我用下面的条目添加一个ldaprc文件到当前目录 TLS_CACERT /etc/ssl/certs/root-ca.pem 按预期运作。 所以似乎olcTLSCACertificateFile设置被忽略,或者可能有任何其他错误/我错过configuration错误? OS是Suse Enterprise 11sp4,OpenLDAP版本是2.4.26
看起来,在HTTPS连接上configurationHAProxy进行主机名路由时,至关重要的是包含一个tcp-request inspect-delay指令来“让HAProxy有机会查看连接”。 有没有办法让NGINX一样,或者我应该开始打包,并将我的整个服务器移动到HAProxy? (作为参考,这个问题来自我此前expression的误解) 编辑 迈克尔在评论中说: 他似乎希望从客户端的握手尝试中“嗅探”SNI,而不实际终止TLS连接,以便作出低层的连接代理决定,并盲目地将有效载荷传送到后续的terminal机,以终止TLS,因为某些原因,他不希望代理上的TLS证书和密钥,或代理完成TLS – 只需嗅探SNI,并使用从其内容派生的规则build立内部TCP连接。 理由是我需要后端应用程序中的证书和密钥(有些需要这个或那个原因),所以我必须提供给他们。 不得不在代理中设置它们本质上是维护工作的两倍,并且有可能出现错误。 如果我不能保持对代理证书的访问,就会使我的架构变得更容易,并减less错误的机会。
我使用OpenSSL创build一个私钥和自签名的公共证书。 然后,我创build了包含私钥和公共证书(mail.example.com.pem)的证书颁发机构文件。 在局域网中的客户端计算机上,我使用OpenSSL连接到端口587(SMTP)上的Postfix,并告诉OpenSSL使用证书颁发机构文件(mail.example.com.pem)。 openssl s_client -connect mail.example.com:587 -starttls smtp -CAfile /etc/pki/tls/private/mail.example.com.pem 这产生了相当多的输出。 包含在输出中的是来自证书颁发机构文件的公共证书。 所有的TLS,证书和其他安全信息后,我有一个闪烁的光标,所以我试图对你说Postfix。 EHLO mail.example.com 这个命令产生“没有客户端证书”。 这很奇怪,因为我可以从字面上看到前一个输出中的公共证书。 我有一种感觉,我在这里错过了一些概念。 例如,我是否需要告诉客户发送或使用公共证书? Postfix服务器上的公共证书是否与客户端证书不同? 目标:我的总体目标是configurationPostfix来encryption邮件,而不是发送没有encryption的邮件。 这是postconf -n命令的输出: data_directory = /var/lib/postfix home_mailbox = Maildir/ inet_interfaces = all inet_protocols = all mail_owner = postfix mailbox_command = mydestination = example.com, localhost.example.com, localhost mynetworks_style = host queue_directory = /var/spool/postfix smtpd_recipient_restrictions = permit_sasl_authenticated, […]
我一直试图根据本教程在我的Debian安装上设置一个自签名的SSL证书https://www.digitalocean.com/community/tutorials/how-to-create-an-ecc-certificate-on-nginx -for-debian-8,但连接时出现以下错误: openssl s_client -connect vpsipaddr:443 -state -debug CONNECTED(00000003) SSL_connect:before/connect initialization write to 0x7d3380 [0x7d3f10] (289 bytes => 289 (0x121)) 0000 – 16 03 01 01 1c 01 00 01-18 03 03 62 c4 ec 46 0b ………..b..F. 0010 – 47 d3 35 9a f1 b4 54 11-fe 85 66 b8 e7 70 a2 e6 […]
当我的防火墙启用时,我的FTP(s)不起作用。 过去我一直在为我设置iptables,我昨天大致了解到如何设置一个iptables,但是我错过了这个要求。 这是我的iptables.rules #由iptables-save v1.4.4于2010年11月16日23:23:50生成 *过滤 :FORWARD ACCEPT [0:0] :input接受[0:0] :OUTPUT ACCEPT [0:0] -Ainput-i lo -j接受 -A INPUT -m状态-i eth0 – 状态RELATED,ESTABLISHED -j接受 -A INPUT -p tcp -m tcp –dport 20:21 -j ACCEPT -A INPUT -p tcp -m tcp –dport 989:990 -j ACCEPT -A INPUT -p tcp -m tcp -i eth0 –dport 22 -j ACCEPT […]
我通过stunnel隧道HTTP连接。 客户端本身不支持HTTPS,因此使用客户端模式的stunnel。 在典型的网页浏览中设置TCP_NODELAY = 1是否有助于响应? 按照我的理解,Nagle的algorithm将数据包聚集起来,并以整个数据包的大小发送数据。 我自己的基准似乎显示了零差异,虽然可能是因为我的互联网连接到服务器太好了。
我正试图理解这个Google Poodle漏洞稍微好一些。 所以我有一个服务器,我需要做的一件事是禁用SSL。 这不是一个问题,因为仍然使用SSL的用户数量会很低(我相信Windows XP – IE6)。 所以,SSL现在被禁用,一切正常。 现在是问题,到现在为PCI标准,到2016年6月,你必须禁用TLS 1.0支持。 不想这会是一个问题,我继续前进,并在服务器上禁用它。 现在我发现一些常见的配对,例如IE8上的Windows XP无法连接到我的网站。 如果他们访问我的网页,他们会显示一个错误,他们无法连接。 这可能不是什么大不了的,因为你可能想知道谁使用XP和IE8这样的东西。 不pipe你信不信,它在很多大的场所还是一个很常见的组合。 一方面,我别无select,只能做到PCI兼容,但另一方面,在这样做的时候,我的访问者大约有5%无法查看我的网站(而5%的数量相当多)。 那么,我有什么select? 有了TLS 1.0禁用,有没有办法让没有支持TLS 1.1和更高版本的用户查看我的网站? 谢谢
我已经安装了我的OpenVPN服务器和客户端, 上个月它工作的很完美 。 但是,现在我无法连接到服务器没有任何configuration更改。 这里是无声的日志(Win7): Mon Feb 18 08:26:06 2013 NOTE: OpenVPN 2.1 requires '–script-security 2' or higher to call user-defined scripts or executables Mon Feb 18 08:26:06 2013 Re-using SSL/TLS context Mon Feb 18 08:26:06 2013 LZO compression initialized Mon Feb 18 08:26:06 2013 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 […]
我是程序员,而不是系统pipe理员。 我有一个DreamHost VPS,用于我的个人网站和一些通常只是通过HTML5进行多媒体实验的副项目。 没什么特别严重的,他们都在客户端运行。 我已经开始在我的网站上包含签名证书了A)这对用户来说是好事,B)我可能会考虑在模糊的将来为一些多人游戏function设置用户帐户,C)它也允许我请求访问某些HTML5 API一次又一次。 例如:每次在HTTP上启动语音识别需要重新确认,一分钟后自动停止收听。 但是通过使用HTTPS,我可以使其重新开始监听,而无需用户再次确认; 第一个确认就足够了。 我有两个单独的服务器运行: Apache端口80: https : //seanmcbeth.com 基于Node.js的自定义Web服务器端口8080: https ://seanmcbeth.com:8080。 我保持这种方式,因为Apache服务器已经运行,它运作良好,我还是很新的节点。 我一直在运行Apache,以便为我的网站提供静态页面,作为我工作的一个组合,并且相信DreamHost的configuration比我自己能够做得更好。 Node服务器有时会崩溃,有时候我没有注意到,纯粹是编程的错误。 保持两个分开似乎现在是一个好主意。 对于Apache,DreamHost自己configuration了证书,并且我已经设置了htaccess规则来将HTTPstream量redirect到HTTPS。 这工作正常。 对于Node服务器,我将证书和私钥从DreamHost CPanel中复制出来,因为我找不到它们的位置,以便使用Apache使用的相同副本。 我没有复制中间证书,因为我不知道该怎么办。 Node服务器也不会自动redirectHTTPstream量,但这可能只是我还没有研究过这个问题。 我今天写的主要问题是,有时当我直接在我的智能手机(Android 4.4.2:Chrome 37)上input地址时,它告诉我该站点“不安全”。 然后,我不得不跳过篮圈,继续前进。 这从来没有发生在我的电脑上(Windows 7:Chrome 37,Firefox 31或IE 11),如果我使用Apache服务器提供的页面上的链接访问节点服务器,它从来就不会在智能手机上发生。 我在这里发布,因为我认为这是一个比编程问题更多的configuration问题。 我会在“不安全”的部分更具体一些,但我现在似乎无法复制这个问题。 我很担心,我可能已经把这个网站标记为例外,现在只是确认一下,但是任何新用户都会看到这个警告。
我试图创build一个安全的node.js服务器没有websocket服务器在同一端口上。 端口是8080。 我可以访问浏览器中的URL,并且可以在指定端口时连接到WebSockets。 https://ws.site.com //工作 wss://ws.site.com //不要工作 wss://ws.site.com:8080 //工作 为什么是这样? 我究竟做错了什么? 这是nginxconfiguration upstream ws.site.com { server 127.0.0.1:8080; } server { listen 443; server_name ws.site.com; ssl on; ssl_certificate /path/ssl-bundle.crt; ssl_certificate_key /path/myserver.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; location / { access_log off; proxy_pass https://ws.site.com; proxy_redirect off; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_read_timeout 86400; proxy_http_version […]