我已经通过一个中间人创build了我的SSL证书,并将证书,密钥和(链)CA连接到[General]下的Samba4configuration。 重新启动Samba时,LDAP服务器不再起作用。 这个问题似乎只发生在我使用我的可信证书时,自签名证书工作正常。 在smb.conf我添加了以下内容: tls enabled = yes tls keyfile = tls/dc1.example.com-key.pem tls certfile = tls/dc1.example.com-cert.pem tls cafile = tls/ca-chain-root.pem 当用下面的方法进行testing时,我得到一个OK回应,并且应该很好的去做: openssl verify /usr/local/samba/private/tls/dc1.example.com-cert.pem -CAfile /usr/local/samba/private/tls/ca-chain-root.pem 一旦这些更改生效,LDAP将停止运行, nmap也会确认端口636上没有任何内容,下面的testing不会返回任何内容,因为LDAP不处于活动状态: openssl s_client -showcerts -connect localhost:636 -CAfile /usr/local/samba/private/tls/ca-chain-root.pem 我确定我在这里错过了一些简单的东西,我已经正确地为我的其他服务器生成了SSL证书,没有任何问题。 任何帮助,将不胜感激。 用于生成证书的OpenSSL命令: openssl genrsa -out intermediate/private/dc1.example.com-key.pem 2048 openssl req -config intermediate/openssl.cnf -key intermediate/private/dc1.example.com-key.pem -new -sha256 -out intermediate/csr/dc1.example.com-csr.pem openssl ca […]
我的设置 Mac OS X Server(El Capitan)作为OpenDirectory服务器 RHEL 6.5通过LDAP连接进行身份validation 我已经将RHEL服务器上的/ etc / sysconfig / authconfig设置为“FORCELEGACY = yes”来testingLDAP连接。 但是,现在我需要通过TLS实现LDAP。 我需要使用自签名证书,但不幸的是,我对SSL的了解有限。 我已经阅读了数十篇指南和文档,都指向我做一些不同的事情来在RHEL上的可信数据库中添加证书。 到目前为止没有任何工作。 我需要完成什么 从OS X下载相应的证书(格式正确) 将证书放在RHEL上的正确位置 将证书添加到RHEL的可信证书数据库 我一直在我的头撞墙,所以任何input赞赏。 由于我对SSL的知识有限,以及在线信息数量众多,请在您的回复中提供尽可能详细的信息! 谢谢 :) 以供参考 我按照以下步骤尝试导入SSL证书: openssl s_client -connect server:443 <<<'' | openssl x509 -out /root/ca.pem cp /root/ca.pem /etc/pki/ca-trust/source/anchors/ update-ca-trust enable; update-ca-trust extract 这没有做什么。 命令执行得很好,但是我仍然在/var/log/messages发现错误,说TLS由于不可信证书而无法启动。 然后我尝试手动添加证书: cp /root/ca.pem /etc/pki/tls/certs cd […]
我正在寻找一种方法来监视用户使用RDP(SSL或RDP,encryption级别)loginWindows 2012 R2服务器时使用的安全层。 在GPM编辑器的“高级审计策略configuration”中我没有find任何有用的东西,但也许我错过了一些东西。
我目前第一次用nginx设置了一个(半认真的)服务器。 我有几个域名和子域名,并希望尽可能使用SSL,以保持来自我的网站的stream量合理安全。 最近遇到的一个问题是,我发现自己无法正确处理SSL请求到不存在通配符证书的不存在的子域。 基本上,我的设置非常接近这个 (nginx,redirect到https,多个子域名,让我们encryption所有有效的子域名的证书,全无形的域名)。 这是真正的NotNice™,错误input一个子域名的用户将会遇到“这个连接不可信任”的错误(或者更糟,取决于浏览器)。 这可能会破坏我的网站的信任。 例如https://www.my-domain.com作品,但https://ww.my-domain.com会告诉用户我的网站不被信任。 由于我期望有相当数量的读者不是精通技术,所以我不能指望他们自己理解或诊断。 所以我想要的是,当有人访问一个不存在的子域名时,基本上只是中止连接,这样他们会得到一个“连接被拒绝”的错误,而不是“这个网站是邪恶的,你可能会被黑客攻击”的错误。 这不仅更接近事实(这个网站是可以信任的,那里什么也没有),也可能帮助他们发现错误,因为它指出地址是错的,而不是证书。 事实上,这就是我为非SSL连接所做的。 我在nginx中有一个catchall服务器伪指令,它只返回404端口80上的任何内容,并且与已知的子域不匹配。 那么我怎么才能在nginx中拒绝ssl连接呢? 我知道我不能使用HTTP返回码,因为在这种情况下,首先没有连接。 这是ssl的重点。 我不能使用通配符证书,因为它们太昂贵了。 我想避免接触iptables,因为当我更改子域名时,这很难保持。 但是,如果这是最好的解决scheme,我可以研究它。 有没有聪明的DNS条目可以帮助?
我试图设置stunnel来提供一个TLS包装到HTTP本地支持TLS的服务。 没有使用TLS客户端证书,我可以很好地工作。 添加客户端证书configuration时: CAfile = /path/to/trusted.crt verify = 4 我似乎无法连接使用openssl s_client 。 (请注意,我有点作弊 – 使用我的TLS服务器的证书作为客户端证书,但证书说,它有一个X509v3 Extended Key Usage: TLS Web Client Authentication, TLS Web Server Authentication ,所以我图它应该工作。) $ openssl s_client -state -connect [my-host-name]:[port] -cert [my-host-name].crt -key [my-host-name].key-nopass CONNECTED(00000003) SSL_connect:before/connect initialization SSL_connect:SSLv2/v3 write client hello A SSL_connect:SSLv3 read server hello A depth=2 C = IL, O […]
我在我的Ubuntu 14.04 LTS服务器上运行Prosody。 我安装了OpenSSL 1.01f,通过运行openssl version来确认。 TLSv1.2支持并通过运行openssl ciphers -v 'TLSv1.2' 我遵循这个指南来启用前向保密。 尽pipe如此,似乎我的Prosody服务器仍然使用TLSv1.0,通过检查XMPP天文台以及运行命令openssl s_client -connect mydomain.com:5222 -starttls xmpp < /dev/null这导致了TLS1.0连接。 添加protocol = "tlsv1_2"; 到我的configuration下SSL选项导致Prosody错误日志报告“无效的协议”。 这里是我的韵律configuration的副本: admins = {"[email protected]"} modules_enabled = { — Generally required "roster"; — Allow users to have a roster. Recommended 😉 "saslauth"; — Authentication for clients and servers. Recommended if you want to […]
我们目前在我们的Exchange使用安全的OWA,但也不安全和未encryption的SMTP,POP3和IMAP。 我们将这些映射到smtp.domain.com,pop.domain.com和imap.domain.com,而对于OWA @ IIS,我们使用为secured.domain.com发布的公开信任的证书。 我知道一个解决scheme是获取多个域的一个证书。 但是,如果这不是一个select呢? 如何在没有通用证书的SMTP,POP和IMAP等经典邮件服务上实现TLS? 我也想在我们的DNS中保留别名smtp,pop和imap,以防止用户访问这些服务。 所以我们应该以某种方式从例如smtp.domain.comredirect到secured.domain.com。
在我的apache + opensslconfiguration上启用RFC 5746(TLS Renegotiation Indication Extension)可以吗? 如果启用此扩展程序,我将无法支持哪些浏览器/客户端?
SQL Server 2005 SP3在Force Encryption打开时使用哪种版本的SSL(或TLS)? 我正在运行Windows Server 2003 SP2。
我是TLS身份validation的新手,但已经阅读并遵循以下文档的详细细节: http : //technet.microsoft.com/en-us/library/bb266978(EXCHG.80).aspx 我已经在虚拟testing环境中configuration了这一切,似乎所有的工作…邮件stream…我可以检查详细的电子邮件日志,我可以看到在日志内发送和接收的证书。 我只是不能100%确定这意味着TLS正在工作! 有没有人知道具体100%的确定在邮件标题和/或详细的日志logging哪些字段表示TLS启用和运作?