我得到错误“服务器发送带有不可路由地址的被动回复,而是使用服务器地址”。 当连接到FTP站点(而不是SFTP) 。 我已经连接到这个网站很多次,但FileZilla要求我在这个场合首次接受证书。 对于我正在连接的帐户而言,这似乎不是一个问题,因为它在该服务器上的所有帐户上都会发生。
我想replace为我们的思科WLC执行RADIUS身份validation的NPS服务器上用于PEAP的SSL证书。 当前证书是执行客户端身份validation和服务器身份validation的SSL证书。 我们希望将其replace为我们在其他域中使用的通配符,以简化对SSL证书的pipe理。 我在这里阅读了Microsoft文档,其中概述了在PEAP中使用第三方证书的要求。 我们正在使用的通配符符合所有这些。 微软的支持已经无法解决这个问题了两个工作日,他们唯一的回应是:“这肯定是证书的问题”,但他们不能具体告诉我这是错的,因为它符合所有这些要求。 虽然我的情况正在升级,但是我做了一些研究,而其他人在使用RADIUS的IAS / NPS服务器上使用带PEAP的第三方证书时遇到了问题。 据我所知,没有任何微软官方的回应。 有谁知道肯定如果一个通配符证书可以用于PEAP?
有没有人做过任何分析(或知道在哪里可以find一些!)互联网用户使用支持SNI(服务器名称指示)SSL / TLS证书的浏览器/操作系统组合的比例是多less? 我知道,例如XP上的IE不支持这个,旧版本的OSX也不支持。 我知道,没有像“典型”用户那样的东西,而且每个站点都有不同的configuration文件,但是我正在寻找某种程度的视图来说明这些configuration这些日常常用来帮助决策过程沿着一点我想要部署一个新的网站。 如果您确实提供了具体数字或分析参考,您是否也可以将date添加到答案中? 只是为了让将来看到这个问题的其他人有一个什么时候这个信息是最新的想法,正如我所期望的那样,随着时间的推移它将会转变。
由于PCI-DSS,我们需要禁用明文身份validation。 我们通过在端口465上使用TLS封装邮件服务器和客户端之间的通信来实现这一点。 问题在于,端口25必须保持开放和未encryption,以便我们接收来自互联网的电子邮件,但不应该允许authentication。 我试过禁用了AUTH命令,但是也破坏了端口465上的authentication。 是否有一个邮件服务器或代理,将允许单独configuration端口25和465,使validation只能通过安全通道? 另外值得注意的是:我们在FIPS模式下使用Stunnel的MailEnable。 更新: MailEnable提供了一个修补的SMTP可执行文件,允许我通过Windowsregistry来configuration每个侦听端口是否提供授权。 这解决了我的问题 – 希望他们将修补程序作为修补程序发布。
我试图按照https://help.ubuntu.com/lts/serverguide/openldap-server.html实现TLS当我试图用这个ldif文件修改cn = config数据库时: dn: cn=config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem – add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/test-ldap-server_cert.pem – add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/test-ldap-server_key.pem 我得到以下错误: ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "cn=config" ldap_modify: Other (eg, implementation specific) error (80) 我究竟做错了什么? 编辑:当我尝试使用简单的身份validation我得到了以下错误: ldapmodify -x -D cn=admin,dc=example,dc=com -W -f certinfo.ldif […]
我的一个大型金融机构的同事已经定制了Lotus Notes,为TLS安全的消息显示TLS图标。 我有兴趣在Outlook中模仿此function,并相信这需要VBScript,自定义窗体,并可能在Exchange中的自定义窗体库。 有没有人尝试改变一个电子邮件显示的方式基于NamedProps,或在电子邮件标题中可访问的文本?
我在Ubuntu 10.04上运行Apache / 2.2.14上的(自签名)SSL证书站点,但是各种浏览器在连接尝试的一半时发生错误。 刚才看到Chrome的这个暂时性错误: "Error 126 (net::ERR_SSL_BAD_RECORD_MAC_ALERT): Unknown error." 点击刷新,问题消失了一段时间。 wget太: $ wget –no-check-certificate https://dev.foo.com/deps/ –2010-09-08 19:30:26– https://dev.foo.com/deps/ Resolving dev.foo.com… 184.72.53.220 Connecting to dev.foo.com|184.72.53.220|:443… connected. OpenSSL: error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01 OpenSSL: error:04067072:rsa routines:RSA_EAY_PUBLIC_DECRYPT:padding check failed OpenSSL: error:1408D07B:SSL routines:SSL3_GET_KEY_EXCHANGE:bad signature Unable to establish SSL connection. 再次运行它,它的工作原理: $ wget –no-check-certificate https://dev.foo.com/deps/ –2010-09-08 19:30:29– https://dev.foo.com/deps/ […]
我在我的服务器的Windows事件日志中得到这个错误: 从远程客户端应用程序收到TLS 1.0连接请求,但服务器不支持客户端应用程序支持的任何密码套件。 SSL连接请求失败。 当我尝试从Windows Server 2003框中连接到Windows 7框上的Web服务时。 如何将密码套件添加到其他支持的密码套件? (修复客户端是理想的,但如果服务器解决scheme没有问题 – 我可以访问所有涉及到的盒子,我只是希望在它们之间进行一些基本的encryption以保护隐私)。 随着数小时的search和阅读,我尝试了: 检查服务器的Windows事件查看器(发现密码套件错误) 从http://support.microsoft.com/kb/948963添加到test1的密码套件(没有帮助) 在服务器的Windowsregistry中的密码套件中的协议中添加了TLS 1.0(无变化) 安装IIS工具希望增加更多的协议到Schannel(它不) 为客户再次输出证书,但是包含私钥(不变) 检查安装的密码套件是否匹配服务器和客户端(无法findwin2k3列出的密码套件) 将TLS_RSA_WITH_AES_256_CBC_SHA(由上述修补程序安装)添加到服务器的密码套件(nope,已经在那里)
我运行由标准Postfix,SpamAssassin,ClamAV,SPF / DKIM检查等组成的MTA。该MTA仅用于入站电子邮件,不托pipe任何帐户,并将通过所述检查的任何邮件转发到共享虚拟主机。 我知道有几个电子邮件服务在尝试将邮件传递到我的服务器之前就开始以纯文本方式尝试TLS连接。 我意识到,并不是所有的服务都支持TLS,但是我想知道它是如何被良好接受的,这样我才能够满足我的大脑强迫症(OCD)的安全性(是的,我知道SSL并不像我们曾经认为的那样安全…)。 smtpd_tls_security_level的Postfix文档声明RFC 2487规定所有公开引用的(即MX)邮件服务器都不强制使用TLS: 根据RFC 2487,这不能应用于公共引用的SMTP服务器。 因此这个选项默认是closures的。 那么: 文档(或15年前的RFC)如何适用/相关?我可以安全地强制所有入站SMTP连接使用TLS,而不locking全球一半的ISP?
我将需要使用SSL SNI,但不幸的是,从最近的Cloudflare博客post中,只有90%的networking支持它。 我如何(例如,与nginx)检测客户端是否支持SNI并提供/redirect到HTTP版本的网站? 这可能吗? 如何使用SNI不会丢失10%的stream量? 假设我无法将HTTPSstream量redirect到没有有效证书的HTTP,这是正确的,因此这个请求是不可能的? 谢谢。