我为我的邮件服务器购买了一个certicifate,并在Postfix中configuration它,如下所示: smtpd_tls_security_level=may smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtpd_tls_cert_file = /somepath/chain.crt smtpd_tls_key_file = /somepath/myserver.key 我通过连接我的证书和两个中间CA证书,为每个Postfix指令创build了chain.crt 。 (确切地说,我自己的证书,然后COMODORSADomainValidationSecureServerCA.crt ,然后COMODORSAAddTrustCA.crt )根据日志,我的邮件服务器的大多数连接现在encryption,所以一切似乎工作。 但是,当我连接到服务器使用openssl s_client -connect mail.example.com:25 -starttls smtp我得到以下输出,这似乎表明有什么错: CONNECTED(00000003) depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority verify error:num=20:unable to get local issuer certificate verify return:0 — […]
我正在使用Postfix / Dovecot / Roundcube安装程序,目标是可以通过Internet发送邮件的虚拟用户邮件系统,如此处所述。 一切似乎运作良好; 鸽舍显示没有问题,我可以telnet到我的所有港口; 然而,每当我尝试通过Roundcube发送邮件,我得到的错误: SMTP Error (220): Authentication failed. 而从日志: [17-Jan-2015 05:27:31 +0000]: SMTP Error: SMTP error: Authentication failure: STARTTLS failed (Code: ) in /usr/share/webapps/roundcubemail/program/lib/Roundcube/rcube.php on line 1505 (POST /roundcube/?_task=mail&_unlock=loading1421472451594&_lang=en_US&_framed=1?_task=mail&_action=send) 自从Postfix负责SMTP之后,我觉得它一定是罪魁祸首。 在我的Postfix日志中,我看到: Jan 16 21:14:35 steelhorse postfix/smtpd[18426]: disconnect from localhost.localdomain[127.0.0.1] Jan 16 21:14:35 steelhorse postfix/smtpd[18426]: lost connection after STARTTLS from localhost.localdomain[127.0.0.1] […]
在我的启用TLS的OpenVPNconfiguration中,我想使用tls-auth提供的附加安全性。 好消息是,它是否按预期工作。 但是,我对可选的key-direction参数(作为tls-auth选项的第二个参数或key-direction选项)有疑问。 configuration参数在联机帮助页中描述如下(版本2.3.x,相关代码片段): –tls-auth file [direction] Add an additional layer of HMAC authentication on top of the TLS control channel to protect against DoS attacks. In a nutshell, –tls-auth enables a kind of "HMAC firewall" on OpenVPN's TCP/UDP port, where TLS control channel packets bearing an incorrect HMAC signature can be dropped immediately without […]
我一直试图在SSL服务器testing@ SSL实验室获得A +。 但是,我不知道如何通过“降级攻击预防”testing: 我在Linux Ubuntu 15.04(Vivid Vervet)上运行了Jetty 9.3.0.v20150612和OpenJDK 8。 hristo@test:~$ java -version openjdk version "1.8.0_45-internal" OpenJDK Runtime Environment (build 1.8.0_45-internal-b14) OpenJDK 64-Bit Server VM (build 25.45-b02, mixed mode) 我已经阅读并遵循了Jetty的SSLconfiguration文档中的说明 ,并尽我所能编辑相关的XMLconfiguration文件。 不pipe我尝试什么,我仍然看到“不,不支持TLS_FALLBACK_SCSV”。 通过运行以下命令,为Jetty启用了https和ssl模块: $ java -jar start.jar –add-to-startd=https,ssl INFO: ssl initialised in ${jetty.base}/start.d/ssl.ini INFO: https initialised in ${jetty.base}/start.d/https.ini INFO: Base directory was modified 我没有修改vanilla jetty.xml和jetty-https.xml因为我不知道我需要在那里更改。 […]
我正在努力解决如何使我的传出/传入电子邮件尽可能安全,因为我可以使他们。 首先,我的域具有Wildcard OV SSL证书,我有.csr , .crt和.key文件的副本,但是我没有任何.p12或.pfx PKCS12文件,是否可以从我的SSL证书,以便我可以通过电子邮件客户端(如Outlook,Thunderbird等)对传出的电子邮件进行数字签名 其次,下面是我可以并应该用于我的电子邮件客户端的“最安全”/“最佳”安全设置是所有可用的选项。 传入选项 连接安全性: 没有 STARTTLS SSL / TLS (目前使用通过端口993) 身份validation方法: 正常密码(目前使用通过端口993) encryption的密码 Kerberos / GSSAPI NTLM TLS证书 的OAuth2 传出选项 连接安全性: 没有 STARTTLS SSL / TLS (目前使用通过端口465) 身份validation方法: 没有authentication(不可用) 正常密码(目前使用通过端口465) encryption密码(不可用) Kerberos / GSSAPI(不可用) NTLM(不可用) OAuth2(不可用) 最后但同样重要的是,PHPMailer也一样,我应该使用TLS还是SSL(有哪些更好?) $phpmailer->SMTPSecure = "tls"; // Choose SSL or TLS, if necessary for your […]
我正在设置我们的ftp服务器(pure-ftpd-1.0.21-r1)以使用TLS / SSL。 它在我不使用TLS时起作用。 从命令选项开始: -S 21 -c 30 -C 10 -B -k 90% -A -R -Z -p 49152:65534 -U 013 -s –tls=1 。 Response: 230 OK. Current restricted directory is / Command: SYST Response: 215 UNIX Type: L8 Command: FEAT Response: 211-Extensions supported: Response: EPRT Response: IDLE Response: MDTM Response: SIZE Response: REST STREAM […]
CentOS 5.x | 发送邮件 嗨,大家好, 我有sendmail安装程序来执行机会的TLS,但是想发送到特定的域时,从不使用TLS。 是否有一个条目可以添加到/ etc / mail / access中,告诉服务器不要使用它(不pipe接收MTA是否支持)? 中号
哇,首字母缩略词:)所以根据这个问题,你可以在一个IP地址上有多个SSL子域,只要你的服务器支持TLS(Apache 2.2x)。 对这个问题的另一个答案指出,客户端浏览器必须具有SNI支持才能工作,IE在Windows XP上没有。 那么,使用该浏览器的人会发生什么警告消息,说SSL证书与域不匹配。 对于没有SNI支持的客户端浏览器,是否可以解决这个问题? 通配符(对于子域)是否有用? 还有其他(便宜的)选项吗?
是的,我重新启动服务器。 几次。 这实际上影响TLS 1.1和1.2。 目前唯一的工作是1.0。 我按照这里的说明: http : //support.microsoft.com/kb/245030 我仔细检查了所有的名字和价值; 我有其他人仔细检查所有的名字和价值。 Qualys和IE都确认1.1和1.2在服务器上的多个(可能是所有的)启用HTTPS的站点上不起作用。 任何想法如何进一步调查这将是真棒。 编辑:更多的截图。
有一个奇怪的问题,我无法find任何线索。 我们有一个程序(Qlikview)通过SSL(Qlikview Server)与远程pipe理服务进行通信,但是它使用证书来validation客户端。 问题发生在任何客户端计算机上(在不同的计算机上复制)。 该过程发生/复制的问题: 用本地计算机上的私钥安装.pfx证书>个人。 (使用MMC控制台)。 应用程序启动(完美工作),可以使用证书。 重新启动PC,应用程序失败并出现错误消息:无法为具有权限的SSL / TLSbuild立安全通道(由于证书错误) 重新安装证书和应用程序的作品。 重新启动电脑和应用程序无法再次工作。 (重复过程)。 为了查看是否可以进一步复制,我导出并重新导入了失败的证书,应用程序再次运行。 我们可以用其他使用相同authentication方法的应用程序进行复制。 每个阶段的证书(在MMC中查看)在每个步骤都显示为有效且正确。 我真的很茫然。 任何意见表示赞赏。