这个问题已经让我发疯了很长时间了。 我们有三个Web服务器,服务于东,西和中央办事处。 我们首先构build了中央服务器,对其进行了映像,并在通过内部安全扫描后将映像复制到其他两个站点,并确保符合FIPS 140-2标准。 这些服务器运行的是Windows 2008 Standard R2,IIS 7.5,并且与它们各自的环境所允许的接近。 所有这三个Web服务器在端口443上都被限制为https。每个服务器的证书都是使用相同的证书颁发机构和encryptionalgorithm生成的。 我们的用户可以很好地连接到东部和中部。 但是,当他们访问West时,除非启用SSL 2.0,否则一些(不是全部,但有些)不能连接。 我们的大多数用户在他们的工作站和笔记本电脑上都有一个标准的设置:Windows 7,IE8。 既然不会发生在每个人身上,而那些不能进入西方的用户也不会遇到别人的麻烦,那么对我来说就不是一个客户端的问题。 任何服务器上都不启用SSL 2.0。 仅启用TLS – 在任何服务器上都不启用SSL版本,甚至不支持3.0。 我运行了诊断软件来检查安装的密码,他们回来确认服务器上没有运行SSL 2.0。 我甚至运行过实际的testing:我已经禁用了浏览器中的TLS,并尝试使用SSL 2.0,3.0或两者进行连接。 我的联系被拒绝,因为它应该是。 我还在我的位置上运行了几个networking嗅探器,然后IT检测到我并closures了我,并确认SSL 2.0被禁用。 我认为encryption的连接必须是直接的和未修改的,以保持安全。 但是,在我们的服务器和客户端请求之间的networking上是否会有某种东西 – 例如一个糟糕的代理 – 在某些情况下会干扰连接? 如果有人有任何build议,我会很感激。 我在我的智慧结束。 (请注意,我不在这三个地点的任何一个地方,而且我也没有直接访问networking基础设施进行诊断,我必须知道我想在解决IT问题之前要解决的具体问题。 !)
有时用户想要使用Exchange的POP3 / SMTP。 他们报告说,由于服务器使用域证书进行encryption,因此发送邮件时出现证书问题。 当然,我可以安装根CA,但我希望有一种方法可以从一个受信任的根发送一个CA. 我想看看这是什么设置,所以我可以改变它使用第三方(受信任的根CA)证书。 这可能与Exchange 2007? 我如何获得/设置在587端口上使用的证书?
嗨! 我正在设置postfix的过程中。 我想实现的是所有内部方之间可信任的TLS连接。 我们为所有内部证书部署了具有Windows Server 2012 R2 CA的PKI基础结构。 我们使用这些后缀机器作为互联网中继,所有交换机都通过这些后缀机器发送他们的出站电子邮件。 我们的Exchange Server 2013具有来自内部CA分配的证书。 CA根证书被转出到后缀机器。 后缀机器本身拥有comodo颁发的证书。 我可以使用opensslvalidationExchange和Postfix: openssl s_client -starttls smtp -connect XXXXXX:25 -CAfile /etc/ssl/certs/ca-certificates.crt Exchange的结果是: —–END CERTIFICATE—– subject=/C=DE/ST=NRW/L=XXX/O=XXX/OU=IT/CN=exdb04.XXX issuer=/DC=XXX/DC=XXX/CN=XXX-AD05-CA — No client certificate CA names sent — SSL handshake has read 1955 bytes and written 553 bytes — New, TLSv1/SSLv3, Cipher is AES128-SHA Server public key […]
按照本指南,我已经在ubuntu 14.04上build立了一个包含tls的openldap服务器。 在testing连接的时候,我得到了我找不到解释的结果。 ldapsearch -xLLL -Z -W -D cn=admin,cn=config -b cn=config cn=config 结果是 dn: cn=config objectClass: olcGlobal cn: config olcArgsFile: /var/run/slapd/slapd.args olcLogLevel: none olcLogLevel: stats olcPidFile: /var/run/slapd/slapd.pid olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem olcToolThreads: 1 如预期。 但增加debugging级别 ldapsearch -d 2 -xLLL -Z -W -D cn=admin,cn=config -b cn=config cn=config 结果是 ldap_write: want=31, written=31 0000: 30 1d […]
我configuration了OpenLDAP,今天我已经configuration了TLS,以便遵循以下指导原则: 使用TLSconfigurationOpenLDAP =必需 用config文件修改cn = config.ldif: dn: cn=config changetype: modify add: olcSecurity olcSecurity: tls=1 并且: ldapmodify -Y EXTERNAL -H ldapi:/// -f mod_ssl.ldif 现在,当我试图做一个ldapsearch ,我得到这个错误: ldap_start_tls: Connect error (-11) additional info: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. ldap_result: Can't contact LDAP server (-1) 例如 : ldapsearch -Z -x […]
是否有一个使用Strict-Transport-Security头到WebLogic的实现? 我认为它将使用<security-constraint>下的web.xml中的东西 我知道如何为基于Apache的服务器执行此操作,但我不确定如何将其添加到WebLogic中。 请注意,在这个实例中,我无法在WebLogic之前使用Apache。
(请不要closures它,它不是SSLCipherSuite的重复- 禁用弱encryption,基于cbc cipher和md5的algorithm ) 我使用Apache 2.2。 我已经开始从扫描仪得到以下消息: Configure SSL/TLS servers to only use TLS 1.1 or TLS 1.2 if supported. Configure SSL/TLS servers to only support cipher suites that do not use block ciphers. Apply patches if available. 不幸的是我不能使用TLS 1.1版本(我打算只在下一个主要版本中使用)。 我想阻止CBC密码,但我没有成功做到这一点。 我configuration了以下密码,但没有帮助: SSLCipherSuite HIGH:!ADH:!MD5:-EDH-RSA-DES-CBC3-SHA:-EDH-DSS-DES-CBC3-SHA:-DES-CBC3-SHA 如何在Apache中使用TLS 1.0时防止CBC密码? 添加 我已经按照OWASP的build议使用TestSSLServertesting了我的环境: https ://www.owasp.org/index.php/Testing_for_Weak_SSL/TLS_Ciphers,_Insufficient_Transport_Layer_Protection_%28OTG-CRYPST-001%29 我得到以下输出: Supported versions: TLSv1.0 Deflate […]
我需要能够使用Gmail的networking界面发送电子邮件,但让他们似乎来自我自己的域名,而不是源于一个Gmail地址。 为了做到这一点,gmail要求我的smtp服务器的信息(url,帐户等),并进行validation,实际上,我被允许使用我自己的smtp服务器发送来自所述域的电子邮件(postfix,托pipe在我的的Linode)。 Gmail的回应是:“您的其他电子邮件提供商的响应速度太慢,请稍后重试,或联系您其他域的pipe理员以获取更多信息。” – 无法获得比他们更多的细节。 我根据Linode的Centos 7教程,为Centos 7设置了Postfix,Dovecot,MariaDB,并且试图根据我的需要,在Chuan Ji的教程中find一些题为“使用postfix和gmail定制域名邮件”的说明(即I根据那里的build议生成一个单一的.pem文件,其中包括我的smtp服务器的名称作为通用名称 – mail.tcs-usa.com在证书中,以使Gmail快乐)。 我可以使用postfix作为我的smtp服务器发送电子邮件与雷鸟,我有postfixconfiguration为转发到我的域中的任何地址的传入电子邮件)到我的gmail帐户。 这工作得很好。 我也检查了我的smtp服务器与mxtoolbox.com,它也发现一切顺序。 我在下面摘录了postfix的日志。 唯一跳出来的是#11线上的“match_list_match:mail-yk0-f169.google.com:不匹配”和#12线上的另一个。 如果我包括太多的信息,请提前感谢您的帮助和道歉,但我已经在这里已经两天了,没有到任何地方。 亚历克斯 以下是/etc/postfix/main.cf中的所有活动行: command_directory = /usr/sbin daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix mail_owner = postfix inet_interfaces = all inet_protocols = all mydestination = localhost, localhost.localdomain alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases debug_peer_level = 2 #alexw- added google debug_peer_list = […]
我们有一个遗留的Web应用程序,运行在Java 6下的tomcat中 – 升级到7或8目前是不可行的。 我们现在需要通过TLS 1.2连接客户端,但是java 6只支持1.0。 我们使用Apache作为我们的Web服务器和OpenSSL的传入连接,这很高兴地支持TLS 1.2等 您之前是否遇到过类似的情况,或者您可以对以下潜在的解决方法发表评论: 回送到本地主机(或以其他方式redirect)并使用OpenSSL创buildTLS 1.2连接, 有效的内部代理 可以打开一个客户端吗? 我们需要s_client吗? 使用我们当前的防火墙来升级连接 这需要有select性 很明显,这将取决于防火墙 使用“充气城堡”( https://www.bouncycastle.org/ )
我目前正在设置一个RabbitMQ集群,要求集群内的所有通信都要encryption。 我按照https://www.rabbitmq.com/clustering-ssl.html上的指南 – 使用cert和key创build了一个文件,并将SSL参数作为环境variables传递给rabbitmq-server: RABBITMQ_SERVER_ADDITIONAL_ERL_ARGS='-pa /usr/lib/erlang/lib/ssl-7.1/ebin -proto_dist inet_tls -ssl_dist_opt server_certfile /etc/ssl/certs/rabbit.pem' RABBITMQ_CTL_ERL_ARGS='-pa /usr/lib/erlang/lib/ssl-7.1/ebin -proto_dist inet_tls -ssl_dist_opt server_certfile /etc/ssl/certs/rabbit.pem' 服务器启动正常,并启用TLS侦听,但我不能通过rabbitmqctl发出任何命令: # rabbitmqctl status Status of node rabbit@rabbit01 … Error: unable to connect to node rabbit@rabbit01: nodedown DIAGNOSTICS =========== attempted to contact: [rabbit@rabbit01] rabbit@rabbit01: * connected to epmd (port 4369) on rabbit01 * epmd reports node 'rabbit' […]