Articles of ssl

使用冗余连接设置SSL

我的情况: 我们有两台服务器, Server A和Server B Server Aconfiguration了一个代理服务器,它从Server B提供数据(通过SSL)。 Server B可以通过1.1.1.1 ( one.server.example.com )和2.2.2.2 ( two.server.example.com )访问。 Server A决定应该使用哪个连接来连接(故障转移)。 Server B上的Apacheconfiguration了虚拟主机server.example.com并具有两个别名, one.server.example.com和two.server.example.com 。 我想知道是否必须购买两个SSL证书(因为我们连接到one.server.example.com和two.server.example.com ),或者如果一个足够了,因为one.server.example.com和two.server.example.com只是server.example.com别名。 另外,如果这不是“build议”的方式来设置这样的事情,请让我知道。 从来没有这样做过..

负载平衡器,EC2 – HTTPS连接

好吧,这可能是一个菜鸟问题,但这是我的情况。 目前,我有一个pipe理单个EC2实例的负载平衡器。 我有一个应用程序在该EC2实例上运行。 我喜欢做什么:1.一个完整的HTTPS连接到我的EC2应用程序,目前绑定到8080。 什么是实现它的正确方法? 1.我应该只上传一个SSL证书到负载均衡器,强制客户端和负载均衡器之间的SSL连接? 我应该让负载均衡器和EC2之间的stream量受到安全组的保护吗? 要么 – 我是否需要使用另一个证书configuration我的tomcat Web应用程序服务器,并使用keystorepathconfiguration其443 https连接器,并将HTTP连接redirect到443端口? 要么 – 有什么我失踪谢谢,

证书错误:证书中的名称与使用.local的Outlook客户端不匹配

我们最近不得不从Godaddy取消我们的.local证书,因为它不再有效。 新证书包含以下名称: mail.mydomain.com autodiscover.mydomain.com 此证书已应用于Exchange服务器并为所有服务激活。 我期望客户端在连接到mail.mylocaldomain.local名称时会在证书上发生错误。 我已经阅读了很多文档,他们几乎都说同样的事情: 添加公共域的本地DNS服务器上的新区域(我添加了一个区域mydomain.com ) 添加loggingA指向电子邮件服务器的本地IP(我添加了mail.mydomain.com指向服务器的本地IP) 我已经发布了这些命令: Set-ClientAccessServer -Identity EXCHANGE-MAIL -AutodiscoverServiceInternalUrihttps://mail.publicdomain.co.uk/autodiscover/autodiscover.xml Set-WebServicesVirtualDirectory -Identity “EXCHANGE-MAIL\EWS (Default Web Site)” –InternalUrlhttps://mail.publicdomain.co.uk/EWS/Exchange.asmx Set-OABVirtualDirectory -Identity “EXCHANGE-MAIL\OAB (Default Web Site)” -InternalURL https://mail.publicdomain.co.uk/OAB Set-ActiveSyncVirtualDirectory -Identity “EXCHANGE-MAIL\Microsoft-Server-ActiveSync (Default Web Site)” -InternalURLhttps://mail.publicdomain.co.uk/Microsoft-Server-Activesync Set-WebServicesVirtualDirectory –Identity 'EXCHANGE-MAIL\EWS (Default Web Site)' –ExternalUrlhttps://mail.publicdomain.co.uk/ews/exchange.asmx 与他们的专有名称,但我的客户仍然收到证书错误。 为什么?

无需指定端口即可连接到websocket服务器

我试图创build一个安全的node.js服务器没有websocket服务器在同一端口上。 端口是8080。 我可以访问浏览器中的URL,并且可以在指定端口时连接到WebSockets。 https://ws.site.com //工作 wss://ws.site.com //不要工作 wss://ws.site.com:8080 //工作 为什么是这样? 我究竟做错了什么? 这是nginxconfiguration upstream ws.site.com { server 127.0.0.1:8080; } server { listen 443; server_name ws.site.com; ssl on; ssl_certificate /path/ssl-bundle.crt; ssl_certificate_key /path/myserver.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; location / { access_log off; proxy_pass https://ws.site.com; proxy_redirect off; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_read_timeout 86400; proxy_http_version […]

SSL握手与CentOS,curl和ECDHE

由于Logjam漏洞,我将密码局限于ECDHE,因此我无法再从Centos机器上进行curl。 (从Ubuntu的作品) $ curl -v https://mysite.mydomain.com * Initializing NSS with certpath: sql:/etc/pki/nssdb * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none * NSS error -12286 (SSL_ERROR_NO_CYPHER_OVERLAP) * Cannot communicate securely with peer: no common encryption algorithm(s). 用openssl作品打开: $ openssl s_client -connect mysite.mydomain.com:443 SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 我试着用明确的密码,–insecure和–tlsv1.2,没有运气 $ curl –ciphers TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 -v https://mysite.mydomain.com curl: (59) Unknown […]

如何使用nginx设置SSL反向代理?

与我有关如何使用nginx设置反向代理的问题相关,我现在被困在设置一个额外需要SSL连接。 我有docker集装箱提供映射的SSL端口4430到我的主机系统。 networking服务器正在使用自签名证书。 在我的/etc/hosts文件中,我定义了: 127.0.0.1 app.local 而我的nginx服务器configuration如下所示: server { listen 80; server_name app.local; location / { return https://$host$request_uri; } } server { listen 443; server_name app.local; location / { proxy_pass https://127.0.0.1:4430; } } 当我使用https://127.0.0.1::4430访问我的webapp时,它工作正常。 我第一次接到证书的警告,然后我必须允许。 然而,当通过http://app.local或https://app.local ,我的浏览器显示: SSL connection error ERR_SSL_PROTOCOL_ERROR 我也期待证书警告出现,然后我可以允许。 在nginx中使用SSL时如何获得反向代理?

如何在IIS开发服务器上设置SSL?

我们的团队有一个Windows 2008服务器,主要用于常见的IIS开发框。 我想在IIS上的某个网站上启用SSL,因此只能通过HTTPS访问。 我在IIS中创build了自签名证书并安装它。 然而,当我通过浏览器访问网站(Chrome浏览器,Firefox或IE – 无所谓),它总是给人以恐惧……“这是不安全的”屏幕。 我已经尝试在自己的电脑上安装证书,重新启动,我仍然得到该屏幕。 我注意到的一件事是,当我创build一个自签名证书时,它将域名添加到它…例如,框的名称是webIIS,我们的login域是COMPANYDOMAIN。 所以它会说这个证书是由webIIS.COMPANYDOMAIN.com创build的。 这个url解决了,因为没有这样的事情。 我是否以错误的方式去做?

反向代理和SSL,我应该使用相同的证书

目前我使用nginx作为通过https的反向代理,所有代理本身都是通过https。 SSL终止发生在Nginx上,而且由于stream量已经超过了https,所以在继续之前,它会再次被encryption。 我的第一个直觉是,我面向公众的服务器必须使用签名证书,并使用nginx的SSL直通。 原来nginx不允许你这样做。 所以我开始看haproxy,因为它可以做SSL直通。 经过大量的阅读,我开始想知道这是否真的很重要。 我可以在自己的networking中使用自签名authentication。 是否有理由在我的服务器上使用nginx / haproxy上的相同证书? 是否有任何理由不使用自签名证书进行内部通信?

使用Windows作为服务器和客户端时,在MySQL中启用SSL

我想在连接到我安装在Windows机器上的MySQL服务器上启用SSL,所以我使用了“使用ssl mysql窗口”。 第一个结果是这个简单而直接的指南 。 从它的外观来看,这似乎是我刚才需要的指南。 然而: 按照下面的步骤,它不起作用。 在更深入地阅读了他引用的一些链接之后(比如他为客户端提交的错误–ssl-key标记),其中一些已经过时(因为我使用的是不支持MySQL的版本有这些问题)。 在排除了我的问题之后,我发现它有一些含糊之处,而且可以改进的东西,但是我不能build议对它进行编辑,因为作者已经closures了他的博客(或博客条目)上的评论。 因此,如果放置在像serverfault.com这样的网站上,任何人都可以提出修改答案,我认为这种指南会更好。 那么,我愿意接受这个问题的答案,这个答案只是从这个博客复制粘贴,所以我稍后可以提出修改。 所以下次我需要在我的MySQL服务器上设置SSL时,我不会find同样的问题,我有一个简单明了的完整指南。 希望这个排名更高的谷歌。 谢谢

安装LetsEncrypt SSL时出错:(http-01):urn:acme:error:connection ::服务器无法连接到客户端以validation域

我正在尝试在我的服务器上安装LetsEncrypt (我拥有root用户的SSH访问权限),用于staging.dnslaude.com – 这是一个可公开访问的域,指向213.212.81.89 。 服务器运行ubuntu 16.04 ,和一个nginxnetworking服务器。 下面是nginxconfiguration: server { listen 80; server_name staging.dnslaude.com; root /path/to/webroot; location ^~ /.well-known/acme-challenge/ { try_files $uri $uri/ =404; } rewrite ^(.*) https://$host$1 permanent; } server { listen 443; ssl on; ssl_certificate /path/to/self/signed/certificate.crt; ssl_certificate_key /path/to/key.key; server_name staging.dnslaude.com; root /path/to/webroot; # …. location ^~ /.well-known/acme-challenge/ { try_files $uri $uri/ =404; […]