嗨,我试图将软件纳入我们的内部网服务(BackupPc) 本软件使用环境variablesREMOTE_USER来获取用户名。 放置在具有客户端证书身份validation系统和FakeBasicAuth的Apache 2.2服务器下, REMOTE_USER将获得与FakeBasicAuth相同的值,其中包含证书的所有可分辨名称string。 我试图将REMOTE_USER的内容设置为SSL_CLIENT_S_DN_CN的内容,该内容与我的用户名和SSL_CLIENT_S_DN_CN的内容相匹配,但更短。 传递给CGI的这个环境variables不能被SetEnfIf和SetEnfIf改变。 还有一个mod_ssl指令, SSLUserName但Apache 2.2的官方文档说,它不会与FakeBasicAuth启用。 所以我想知道如果我错过了什么,或者有一个聪明的workarround在这个问题上。 我不能放弃FakeBasicAuth,因为这是我们在内部网的其余部分的authmodel,而且我不想修补应用程序的代码(我这样做是为了得到它的工作,但我想放弃修补的代码,赞成官方的)
我想限制SSL访问使用证书的Tomcat实例,而不是依赖任何“用户”帐户。 我有一个用于签署证书的CA,但是如果我configurationTomcat来信任CA,那么它将信任任何由它签名的人 ,而我想限制得多,只允许我已经批准的证书特定的用法(即,我在该服务器上运行的应用程序)。 在我看来,这正是X.509的扩展密钥用法的一部分,我可以创build具有定义为自定义值的字段的证书,但我无法弄清楚是否有任何方法使Tomcat注意该领域,只允许某些用途。 有谁知道如何做到这一点? 即使是Apache httpd的指针也是有用的,因为我可以把Tomcat置于https前端。
我们有一个内部服务器,需要基于x509的身份validation,但我已被要求用基本的用户/密码身份validation打开它。 我一直在尝试在apache中设置一个反向代理,它使用可信证书连接到内部服务器,但我似乎无法select和使用证书。 基本身份validation正常工作。 通过所有的问题在这里和Googlesearch一些日子,我敢打赌,我需要使用一些SSLProxy *指令,但我所尝试的都没有成功到目前为止。 顺便说一句,我正在使用自签名证书在内部服务器进行身份validation。 到目前为止,我的.conf文件是这样读取的 <VirtualHost *:80> ServerName external.server SSLProxyEngine on UnknownSSLDirectives ProxyRequests Off ProxyPass / https://internal.server/ ProxypassReverse https://internal.server/ / <Location /> AuthType Basic AuthName "Authenticated proxy" AuthUserFile /etc/httpd/passwd/passwords Require user USER </Location> <Proxy> Order Deny,Allow Allow from all </Proxy> RequestHeader unset Authorization ErrorLog "logs/proxy.error.log" CustomLog "logs/proxy.access.log" common </VirtualHost> 我似乎如此亲密,但却无法渗透SSLauthentication的内在因素。我希望有人能够启发我。
我试图通过tls从rsyslog转发日志到graylog。 rsyslogconfiguration: # make gtls driver the default $DefaultNetstreamDriver gtls # # # certificate files $DefaultNetstreamDriverCAFile /etc/ssl/rsyslog/ca.pem $DefaultNetstreamDriverCertFile /etc/ssl/rsyslog/rsyslog-cert.pem $DefaultNetstreamDriverKeyFile /etc/ssl/rsyslog/rsyslog-key.pem # $ActionSendStreamDriverAuthMode x509/name $ActionSendStreamDriverPermittedPeer graylog.mydomain.com $ActionSendStreamDriverMode 1 # run driver in TLS-only mode *.* @@graylog.mydomain.com:6514 # forward everything to remote server 我生成了必要的证书,如rsyslog文档中所述: certtool –pkcs8 –generate-privkey –outfile ca-key.pem certtool –pkcs8 –generate-self-signed –load-privkey ca-key.pem –outfile ca.pem […]
我的公司从供应商处购买了通配符证书。 此证书已成功configuration为使用Apache 2.2来保护子域。 SSL端的一切工作。 现在我需要为这个子域生成x509客户端证书。 我沿着这个页面:( http://www.vanemery.com/Linux/Apache/apache-SSL.html ),从“创build用于身份validation的客户端证书”开始。 我已经生成了p12文件并成功导入到Firefox。 当我现在浏览到这个网站时,在FireFox中出现一个错误,提示“在加载页面的时候,服务器的连接被重置了。 我认为我的问题来自没有正确签署客户端。 当我签署客户端证书时,我正在使用RapidSSL(我们从中购买证书)的PEM文件(RapidSSL_CA_bundle.pem)作为-CA参数。 对于-CAkey参数,我正在使用服务器的私钥。 它是否正确?
我正在寻找安装经常使用的https服务的SSL证书。 我曾经为此使用StartSSL,但他们“暂时”停止提供他们的服务。 我想知道是否有其他提供类似服务的提供者? 我知道我可以自我签署一个证书,但我想在我的所有机器上没有不安全的通知,而不必手动安装SSL证书。
想要build立一个CA,但很难find一个好的基于Web的X509 PKI工具,有什么build议吗?
我知道如何使用openssl命令行创buildx509证书。 但现在我想创build一个自定义的扩展。 我怎样才能用openssl命令行来做到这一点?
我的公司从供应商处购买了通配符证书。 此证书已成功configuration为使用Apache 2.2来保护子域。 SSL端的一切工作。 现在我需要为这个子域生成x509客户端证书。 我沿着这个页面:( http://www.vanemery.com/Linux/Apache/apache-SSL.html ),从“创build用于身份validation的客户端证书”开始。 我已经生成了p12文件并成功导入到Firefox。 当我现在浏览到这个网站时,在FireFox中出现一个错误,提示“在加载页面的时候,服务器的连接被重置了。 我认为我的问题来自没有正确签署客户端。 当我签署客户端证书时,我正在使用RapidSSL(我们从中购买证书)的PEM文件(RapidSSL_CA_bundle.pem)作为-CA参数。 对于-CAkey参数,我正在使用服务器的私钥。 它是否正确?
我可以看到这个命令的证书 openssl s_client -host {HOST} -port 443 -prexit -showcerts 如何将网站的x509证书保存在PEM文件中?