Tag: ssl

LDAPS被redirect到389

我们试图执行LDAPS绑定到一个服务器阻止389防火墙,所以所有的stream量必须超过636。 在我们的testing实验室中,我们连接到一个没有防火墙的testingldap(位于同一台服务器上),因此两个端口都是暴露的。 在testing服务器上运行ldp.exe,我们生成了下面的trace,似乎表明它已经成功绑定了636.但是,如果我们使用wireshark监视stream量,则所有stream量都将被发送到389,而不会尝试连接636。 其他工具只能在636上绑定SSL或者在389上没有SSL绑定,似乎表明它的行为正确,但Wireshark显示为389。 只有我们使用RawCap的testing服务器来捕获本地环回stream量。 有任何想法吗? 0x0 = ldap_unbind(ld); ld = ldap_sslinit("WIN-GF49504Q77T.test.com", 636, 1); Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3); Error 0 = ldap_connect(hLdap, NULL); Error 0 = ldap_get_option(hLdap,LDAP_OPT_SSL,(void*)&lv); Host supports SSL, SSL cipher strength = 128 bits Established connection to WIN-GF49504Q77T.test.com. Retrieving base DSA information… Getting 1 entries: Dn: (RootDSE)

Glassfish之前的Apache:https上的mod_jk(443)

在使用Glassfish之前使用Apache http服务器的build议(检查问题 )之后,我使用了以下教程并使其工作,但仅在端口80上工作。 我的意思是现在我可以键入: www.mydomain.com 它运行。 但是,如果我运行一个需要https的应用程序,即在web.xml(一个J2EE应用程序) <transport-guarantee>CONFIDENTIAL</transport-guarantee> 当我键入: www.mydomain.com 它会自动加载: https://www.mydomain.com:8181 我不想显示端口8181,我只想: https : //www.mydomain.com 。 PS:我将只使用在“/”上下文中运行的一个应用程序 。 以下是我的configuration: * workers.properties文件: worker.list=ajp13unsecure, ajp13secure worker.ajp13unsecure.type=ajp13 worker.ajp13unsecure.host=localhost worker.ajp13unsecure.port=8009 worker.ajp13secure.type=ajp13 worker.ajp13secure.host=localhost worker.ajp13secure.port=8009 *我添加的httpd.conf文件: Listen 443 # Load mod_jk module # Update this path to match your modules location LoadModule jk_module modules/mod_jk.so # Where to find workers.properties # […]

Nginx +独angular兽

我正在从nginx +乘客迁移到nginx +独angular兽,我已经达到了一点,我有点卡住了。 当我试图查看我的testing服务器时,除了404页面,我什么都没有。 我确定我的虚拟主机configuration有一些东西,但是我只是没有看到问题所在。 任何帮助,这是非常感谢。 这是我的vhost文件的当前版本 upstream unicorn-staging { server unix:/data/appname/staging/current/tmp/sockets/unicorn-staging.sock fail_timeout=0; } server { listen 80 deferred; listen 443; ssl on; root /data/appname/staging/current/public; server_name foo; access_log /data/appname/staging/current/log/unicorn-staging-access.log; error_log /data/appname/staging/current/log/unicorn-staging-error.log; client_max_body_size 4G; ssl_certificate /data/appname/staging/shared/certs/appname.crt; ssl_certificate_key /data/appname/staging/shared/certs/appname.key; location / { proxy_pass http://unicorn-staging; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto […]

haproxy + nginx:httpsredirect到http后面的斜杠

我有一个设置,HTTP(S)stream量从HAProxy到nginx。 HAProxy nginx HTTP —–> :80 —-> :9080 HTTPS —-> :443 —-> :9443 我遇到了从https到http的尾随斜杠导致的隐式redirect问题,如下所示: $ curl -k -I https://www.example.com/subdir HTTP/1.1 301 Moved Permanently Server: nginx/1.2.4 Date: Thu, 04 Oct 2012 12:52:39 GMT Content-Type: text/html Content-Length: 184 Location: http://www.example.com/subdir/ 显然,HAProxy是作为SSL解包程序工作的,而nginx只能看到http请求。 我已经尝试在HAProxyconfiguration上设置X-Forwarded-Proto来https,但是它什么都不做。 我的nginx设置如下: server { listen 127.0.0.1:9443; server_name www.example.com; port_in_redirect off; root /var/www/example; index index.html index.htm; } […]

完成加载网站后,隐藏EV SSL证书的原因是什么?

我正面临一个扩展validationSSL证书的问题,该证书在除DocumentRoot的索引之外的所有页面上都正确显示(带有组织名称和国家代码的绿色条)。 Web服务器上的权限和指令对于所有站点都是相同的,但出于某种奇怪的原因,EV栏显示几乎一秒钟,然后隐藏。 它保持服务器和浏览器之间的通信encryption,但地址栏显示为1级SSL证书,而不是EV(3级) 在firefox / chrome / IE上也是这样。 我使用的是Apache / 2.2.16(Debian)和libssl0.9.8,主站点在Joomla 1.5 CMS(我知道这很旧)。 我已经更改为1 joomla的configuration.php文件的force_ssl值,但结果是相同的,因为它不是一个encryption问题。

由于BEAST漏洞,传送Trustwave PCI Scan时遇到问题

我的智慧就这样结束了! 我不是一个CI /networking的人,所以我很抱歉,如果我问错误的问题/提供错误的信息。 我正在尝试让客户端网站通过其Trustwave安全扫描,以便它可以继续接受信用卡。 以下是目前事件的时间表: 2周前我联系了我们的客户网站扫描纠正这个问题。 该扫描表示,由于BEAST漏洞(CVE-2011-3389),我们在3个项目上失败。 该站点位于Windows Azure上,位于非常早期的客户操作系统上,因此我在Windows Server 2012上将客户端操作系统升级到3.2。根据国家漏洞数据库 ,此漏洞在Microsoft安全公告MS12-006中进行了讨论在Azure Guest OS 1.18 / 2.1版本中 。 虽然根据MS的文档,Windows Server 2012 / IIS8不受此漏洞的影响,但扫描仍然在相同的3个项目上失败 然后我下载了工具IISCrypto并应用了BEAST设置,然后重新启动。 这使我只有1个报告的漏洞 – (客户提供的选项'TLSv1:ALL:eNULL:aNULL';服务器协商分组密码'TLSv1:AES128-SHA')。 只是从我所知道的情况来看,RC4的密码都是第一位的,所以没有任何意义。 作为一个侧面说明,SSL实验室在线扫描仪报告说,我们的网站不再容易受到BEAST。 然后,我去了焦土,并且使所有CBC密码失效,只留下RC4,试图强制它,无论是用RC4密码进行协商。 扫描仍然在相同的漏洞上失败,但SSL实验室仍然报告我们的网站是好的。 我真的想自己testing一下,但是正如我所说,这不是我真正的工作 – 我是一名开发人员,虽然我想了解很多关于CI的知识,但我今天没有时间了! 到目前为止,我所做的是使用我的openssl实例来尝试查询,因为我认为Trustwave正在展示它以查看是否可以重新创build证据: openssl s_client -connect thenewtonproject.com:443 -cipher "TLSv1:ALL:eNULL:aNULL" 当我运行这个,我看到它说TLSv1/SSLv3. Cipher is RC4-SHA TLSv1/SSLv3. Cipher is RC4-SHA ,这会导致我相信Trustwave扫描是错误的,但是由于这是我第一次用openssl做这样的事情,我甚至不确定我是否使用了正确的命令/句法。 有人可以帮助纠正我的语法/validation我的结果对同一个网站? 编辑 据Trustwave介绍,BEAST问题是: SSL协议通过使用带有链式初始化向量的CBC模式来encryption数据。 这允许已经通过中间人(MITM)攻击或其他手段访问HTTPS会话的攻击者通过结合使用Javascript的分块select边界攻击(BCBA)获得纯文本HTTP报头使用HTML5 […]

我的网站的Apache密码configuration让Google Chrome抱怨

我的网站在我的服务器上(Debian Wheezy,testing版上的Apache 2.4.10)。 我自己configuration​​了Apache,并在阅读了许多讨论这些问题的网站之后,封锁了所有可攻击的密码。我不得不说,这不是我的专长,因为我是物理学家。 所以请原谅我的无知,如果我做了明显错误的事情。 我在Apache中的密码configuration是这样的: SSLProtocol all -SSLv2 -SSLv3 SSLCompression off SSLCipherSuite AES128+EECDH:AES128+EDH 我尝试了一个替代的显式密码configuration,这也给出了同样的问题: SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 ECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS -RC4" 所以问题是Google Chrome(版本42.0.2311.90米)在我打开我的网站的时候会出现惊叹号: 另一方面,在SSLLabs中 ,我得到了非常好的排名,没有任何评论(尽pipe80%的密码的解释是很好的,我应该怎么做才能得到90 +%? 所以我的问题是:我怎样才能让谷歌铬(和其他浏览器)停止抱怨与三angular? 如果您需要任何其他信息,请询问。

无法续订公共IP地址SSL证书。 任何替代品?

从我读过的和研究的(在这里,其他地方),我几乎可以确定我所要求的是不可能的,但是欢迎任何其他的build议。 我有一个公共IP地址,没有域名的服务器。 我已经获得了一个有效的SSL证书,但是到2015年11月,基于公共IP地址的SSL证书正在被CA取消。 我为服务器设置了一个新的FQDN域,并获得SSL证书,这不是问题。 所以,我需要将https://123.456.78.99/所有当前链接redirect到https://www.example.com/ ,这就是问题所在。 虽然证书仍然有效,但redirect不会成为问题,但一旦公有IP地址过期,我将无法续订,公共IP地址https链接将始终给出过期证书的警告。 关于这种types的redirect的大多数问题都说只是更新原始域的证书,但由于我的服务器SSL证书只是公共IP地址,所以我无法更新SSL证书。 如果有关系,我使用Apache 2.4 有什么想法吗?

使用公共和私有IP的自签名证书(Tomcat 7)

我正在configuration一个同时拥有公共和私有IP的服务器。 它没有任何关联的域名。 使用自签名证书访问下面的URL可正常工作: https://<PUBLIC IP>:8443 但是,当我尝试使用其专用IP访问该服务器时: wget https://<PRIVATE IP>:8443 我得到以下错误: 错误:无法validation由'/ C =?/ ST =?/ L =?/ O =?/ OU =?/ CN = Unknown'发出的证书:遇到自签名证书。 错误:证书通用名称“未知”与请求的主机名称“不匹配”。 要不安全地连接,请使用`–no-check-certificate'。 有没有一种方法可以在configuration中指定公共和私有IP应该被接受? 我也尝试在包含地址属性的server.xml中包含多个连接器,但不起作用。

如何从我自己的CA创build一个SSL证书链?

我使用自己的CA为我的服务创buildSSL证书。 这些证书由我的CA直接签署。 在我看来,这可能是一个弱项策略,就好像证书被破坏一样,我需要从一个CA创build新的证书。 如果CA受到攻击,每个服务的游戏结束都需要更新。 所以我的理解是,“保护”自己和“稀释”关注的典型方式是创build一个证书链,并签署服务证书的链末,以便如果签名人受到攻击,下一个级别可以用来创build一个新的签名证书。 我能得到那个吗? 我想要做的是创build我自己的证书链。 整个TLS / SSL的东西对我来说还是有点朦胧,但是正如我所看到的,首先创build一个主密钥,然后用openssl genrsa然后用openssl req -x509 -new创build一个自签名证书来创buildCA. 然后我可以使用openssl req -new -key' and sign the request with my CA with -key创build新的密钥和证书签名请求, openssl req -new -key' and sign the request with my CA with openssl x509 -req -CA ca.pem openssl req -new -key' and sign the request with my CA […]

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.