我刚刚在https://wemarsh.com/上更新了我的证书。 当我以为我有一切工作,我做了一些在线SSLtesting,就像例行检查,一切正常configuration。 其中一些没有问题,但是有一些与OCSP相关的问题。 我不想给出太多的configuration细节,因为显而易见的原因,但我正在运行Apache,并有一个Comodo多域名证书。 以下是我的虚拟主机configuration的一些片段: … SSLUseStapling on SSLStaplingResponderTimeout 5 SSLStaplingReturnResponderErrors off SSLStaplingCache "shmcb:/var/run/ocsp(128000)" … <VirtualHost 50.116.58.63:443> … ServerName www.wemarsh.com ServerAlias wemarsh.com SSLEngine on SSLCertificateFile PATH_TO_CERT.crt SSLCertificateKeyFile PATH_TO_CERT.key SSLCertificateChainFile PATH_TO_CERT.ca-bundle … </VirtualHost> 我跑了https://www.ssllabs.com/ssltest 。 在authenticationpath下,它列出了2个path。 每个上的第一个项目有以下错误: OCSP ERROR: Request failed with OCSP status: 6 [http://ocsp.comodoca.com] 根据协议细节: OCSP stapling Yes 这里有什么问题? 我该如何解决报告中的这些错误? 谢谢。
我正在处理一个ASP.Net WebForms应用程序。 我们正在使用PayFort的开始API进行付款stream程。 该应用程序在我们的本地计算机(Windows 10)上运行良好,但当我们尝试使用我们的部署服务器上的API(Windows Server Web 2008)进行付款时,它显示以下错误。 客户端和服务器不能通信,因为它们不具有通用的algorithm。 他们网页上的文档( PayFort Start和SSL / TLS )声明他们使用Tls1.2进行通信。 他们的API已经包含了使用Tls1.2作为安全协议的代码 ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls12; 我们已经在.Net framework 4.5上构build了应用程序,因为Tls1.2只支持.Net 4.5或更高版本。 不用说,我们的服务器已经安装了.Net Framework 4.5。 我们还在Windowsregistry中添加了Tls1.1和Tls1.2的registry值 使用SSL实验室工具 ,我们也确认了两台服务器(我们的服务器和PayFort的API服务器)支持至less两个密码套件( https://api.start.payfort.com ) 由PayFort的API服务器支持的密码套件 (绿色概述是我们的服务器常见的那些) 密码套件由我们的服务器支持 我也使用了Nartac的IISencryption软件 ,它显示了以下信息作为Best Practices 我不确定它是否与问题有关,但是这里是我们服务器中安装的SSL证书的详细信息 任何人都可以指出我们做错了什么,我们应该怎么做,以便与所需的服务器进行通信,并从我们的服务器上部署的应用程序进行支付,因为我们在本地机器上完美地完成了任务。
我试图在stunnel后面获得一个rethinkdb集群。 该服务需要支持多个证书颁发机构(CA)。 目前,我将接受的CA连接成一个文件(/certs/ca.pem),但是stunnel似乎只接受匹配文件中第一个证书的连接。 我的stunnelconfiguration: foreground = yes sslVersion = TLSv1.2 options = NO_SSLv2 options = NO_SSLv3 [driver] client = no accept = 28415 connect = 127.0.0.1:28015 cert = /certs/server.pem key = /certs/server-key.pem CAfile = /certs/ca.pem verify = 2 Stunnel版本5.06 Stunnel的日志: 2016.02.18 22:18:51 LOG5[18]: Service [driver] accepted connection from 209.136.228.130:58728 2016.02.18 22:18:51 LOG4[18]: CERT: Verification error: […]
我正尝试使用XCA软件创build自己的证书颁发机构。 我已成功创build了根CA( Fisir Technologies CA )和中间CA( Fisir Technologies Intermediate CA X1 )。 但是,我希望在第一个中间CA( Fisir Technologies Intermediate CA X1 )下有另一个中间CA( Fisir Technologies Endpoint CA WWW )。 第二个中间CA应该发布最终实体证书。 我已经完成了这一切,并导入我的根CA作为受信任的根证书颁发机构(在Windows上)。 然后,我创build了一个由第二个中间CA签名的新HTTPS证书。 我试图用Windows上的默authentication书查看器打开它,但它告诉我,它没有足够的信息来validation证书。 这是我所期望的,因为我只安装了根CA. 所以我创build了一个证书链,包括根CA,两个中间CA和HTTPS证书。 我把它上传到我的VPS上,在nginx中设置了HTTPS服务器并尝试访问它。 但谷歌浏览器欢迎我的NET::ERR_CERT_INVALID错误。 我点击了地址栏中的红色锁,表示证书无效。 所以我select查看证书,并在Windows默authentication书查看器中再次打开证书。 但是没有显示任何错误。 我查看了证书path,显示正确: 证书path 还说这个证书是有效的。 此外,我所能find的每个在线HTTPS检查器都没有显示任何设置问题(当然,除了不受信任的根CA之外)。 我试图修改证书的各种属性,但它永远不会工作。 然后我尝试了第一次发出完全相同的证书,但是这次我用第一个中间CA签名。 我刷新页面,它的工作。 但是我想使用第二个中间CA来颁发证书。 任何人都知道问题可能是什么? 您可以通过https://php.technologies.fisir.net查看自己的问题。 谢谢。
我试图通过tls从rsyslog转发日志到graylog。 rsyslogconfiguration: # make gtls driver the default $DefaultNetstreamDriver gtls # # # certificate files $DefaultNetstreamDriverCAFile /etc/ssl/rsyslog/ca.pem $DefaultNetstreamDriverCertFile /etc/ssl/rsyslog/rsyslog-cert.pem $DefaultNetstreamDriverKeyFile /etc/ssl/rsyslog/rsyslog-key.pem # $ActionSendStreamDriverAuthMode x509/name $ActionSendStreamDriverPermittedPeer graylog.mydomain.com $ActionSendStreamDriverMode 1 # run driver in TLS-only mode *.* @@graylog.mydomain.com:6514 # forward everything to remote server 我生成了必要的证书,如rsyslog文档中所述: certtool –pkcs8 –generate-privkey –outfile ca-key.pem certtool –pkcs8 –generate-self-signed –load-privkey ca-key.pem –outfile ca.pem […]
在公司networking中设置新的Lync 2013安装除了客户端login之外,我几乎可以使用所有的东西。 这里似乎是在TLS区域的function或某些设置的不匹配 – 连接失败,我得到了很多Schannel事件36874. EventData是: <EventData> <Data Name="Protocol">TLS 1.2</Data> </EventData> 一般文字是: 从远程客户端应用程序收到TLS 1.2连接请求,但服务器不支持客户端应用程序支持的任何密码套件。 SSL连接请求失败。 没有清楚的文档如何处理它 – 它与TLSencryption问题的一些sorting相关,但Windows甚至不想告诉什么。 还有就是一个关于允许的encryption的GPO设置,但是我无法find它 – 可能是暂时的失明,或者是隐藏的。 自己的CA,这一切工作。 服务器是全新安装的2012,并为客户端安装了全新的Windows 8。 该域较旧(因此GPO中的旧默认设置可能会导致此问题)。 这很令人沮丧。 链接到Internet上的事件ID主要是find有问题的人,没有明确的信息如何处理。 任何人都可以指出我正确的方向?
为了符合我们的PCI-DSS要求,我被要求禁用TLS 1.0(显然它有一个在TLS 1.1和更高版本中被纠正的缺陷)。 但是,这样做后,远程桌面无法连接到该服务器。 有没有办法连接到远程桌面服务器没有TLS? 也许为远程桌面configuration更新版本的TLS?
LDAP服务器上的SLL证书最近已过期,因此不可能将其他严格依赖LDAP的Linux机器SSH。 作为一个自签名的证书,我的理解是它不能被更新。 知道我需要生成一个新的证书,关于如何certificate在客户端机器上传输的任何想法,因为旧的SSL已经过期,因此无法进行远程authentication。
我安装了sasl的centos 6.4 posttfix和TLS postconf -e alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix debug_peer_level = 2 home_mailbox = Maildir/ html_directory = no inet_interfaces = all inet_protocols = all mail_owner = postfix mailq_path = /usr/bin/mailq.postfix manpage_directory = /usr/share/man mydestination = $myhostname, localhost.$mydomain, localhost, […]
HTTP(S)是无状态的,对吗? 但是,如果我通过HTTPS访问某个站点,我认为我不需要每个页面请求的SSL握手。 它是SSL会话caching和Cookie的组合吗?