Tag: ssl

SSL品牌与EV SSL

几年前,由于Verisign提供了更好的名称识别function,我从使用Thawte SSL(威瑞信公司)转为使用Verisign。 为此,我对此感到满意,并相信这给了我们的电子商务访问者在使用我们的网站时更好的安全感。 现在使用EV SSL(扩展validationSSL),根据浏览器显示绿色条或文本。 我想知道是否继续使用Verisign来获得品牌知名度是从DigiCert或GoDaddy升级到EV SSL的正确select。 DigiCert和GoDaddy有很好的客户评价,都有一个很好的根证书,可以与每个现代浏览器兼容。 EV SSL价格(截至2009年6月) Verisign收费995美元 DigiCert只有488美元 几个月前我对Digicert和GoDaddy做了一些研究,似乎都有很好的声誉和评论。 他们的根证书应该是verisign的,并且DigiCert甚至允许您在一个证书中使用您的域名和www前缀。 要通过Verisign获得,您必须购买两份证书。 从DigiCert甚至GoDaddy获得一个EV SSL比拥有verisign品牌的标准SSL更好?

来自Start SSL的证书不可信

在一个小型的非商业网站上,我使用Start SSL的免费Class 1证书。 没有任何敏感数据通过networking传播,但是我确实希望为浏览网站的人提供至less隐私。 在Firefox中访问站点时,会收到“不可信的证书”警告。 这里是一个使用wget的例子: $ wget https://example.com/images/dog.jpg –2013-08-09 15:21:10– https://example.com/images/dog.jpg Resolving example.com (example.com)… 54.43.17.16 Connecting to example.com (example.com)|54.43.17.16|:443… connected. ERROR: The certificate of `example.com' is not trusted. ERROR: The certificate of `example.com' hasn't got a known issuer. StartSSL的FAQ条目指出,为了避免警告,必须将中间CA证书安装到浏览器。 期望所有的网站访问者都这样做是有点不合理的! 我不介意安装一家大公司的证书,但是在研究这种情况时,我发现大公司也有同样的问题 。 另一个好的ServerFault问题提到,服务器pipe理员应该安装一个中间证书,但我不确定是否存在Start SSL的中间证书。 在搬到另一家公司之前,我怎么知道他们是否拥有我们需要的所有适当的中间证书? 正如前面两个链接的问题所表明的,即使使用Verisign或GoDaddy也不能解决问题。 这是在Amazon Web Services上运行的常规LAMP堆栈(Ubuntu Server 12.04,Apache 2.2)。

HaProxy – Http和SSL通过configuration

我目前有一个HaProxy LB解决scheme,一切工作正常,但是我们有一个很less的客户谁不能通过HTTPS(SSL)到我们的网站的问题,他们可以浏览我们的网站在Http,但只要他们点击他们被带到我们的主页的一个绝对的HTTPS链接。 想知道是否有人可以看看我们的configuration下面,看看是否有什么错误。 我相信我们在HaProxy 1.2.17上 全球 日志127.0.0.1 local0 日志127.0.0.1 local1通知 #log日志主机local0信息 maxconn 6144 #debugging #安静 用户haproxy 组haproxy 默认 日志全球 模式http 选项httplog 选项dontlognull 重试3 再调度 maxconn 2000 contimeout 5000 clitimeout 50000 srvtimeout 50000 统计信息validation#pipe理员密码 统计uri / monitor 听webfarm #bind:80,:443 绑定:443 模式tcp 平衡来源 #cookie SERVERID插入间接 #option httpclose #option forwardfor #option httpchk HEAD /check.cfm HTTP / 1.0 服务器webA […]

IE浏览器和谷歌Chrome浏览器超时在Firefox处理好的IIS6托pipe的SSL页面上

好的,这是这个场景: 直到几个星期前,我们没有发现公司网站有任何问题。 人们没有投诉就使用它。 然后,一位客户抱怨说,该网站上的一个特定页面正在等待他,只有当他在一个充满数据的表单上进行POST操作。 我检查出来了,它也超时了。 但是,它只在Google Chrome和IE中超时,而不在Firefox中超时。 另外,在同一台服务器上,同一个页面,但是从不同域名(不受SSL保护的域名)服务的页面在任何浏览器下都不会超时。 澄清: https : //www.mysite.com/changes.php在POST上超时,但与http一样工作正常。 这种区分(SSL与非SSL)似乎很重要,因为没有其他变化。 我们的证书是有效的,Firefox检测到页面没有错误。 我查看了页面中的请求和响应头,他们都遵循正确的格式。 然后,在游览网站之后,我注意到其他一些事情。 IE和Chrome都会经常在任何基于PHP的页面上超时。 他们永远不会在静态图像或HTML文件超时。 我已经从各种不同的服务器,我的家庭和工作工作站,以及我的上网本看过这个网站。 因此,我打了病毒感染,因为我非常怀疑病毒会以完全相同的方式袭击我所访问的每一台机器。 我的设置是:服务器:Win2k3,II6,PHP 5.2.9-1。 客户端:IE7,IE8,Chrome(常规和开发通道):PHP页面频繁超时。 Firefox 2,Firefox 3:没有超时。 萤火虫显示没有错误,甚至冗长的服务页面。 我花了2天时间寻找任何可以find的技术知识,而且我的search参数太笼统了。 在IE和Chrome中,每个人都有加载SSL页面的问题,原因很多。 超时的偶然性以及任何地方都没有报告错误的事实正在使我疯狂起来。 有没有人有这样的问题的任何见解?

带有apache转发代理的2路SSL

我正在将Apache设置为使用双向SSL的客户端的正向代理。 基本stream程是myApplication – 通过http – > Apache代理 – 通过2路SSL – >客户端。 设置一切后,当我尝试启动Apache,我得到一个“不完整的客户端证书configuration为SSL代理(丢失或encryption私钥?)”错误。 我无法弄清楚的是,我在SSLProxyMachineCertificateFile指令中使用的客户端证书同时具有未encryption的私钥和公共证书。 任何build议,我失踪和/或什么我可以尝试? 一体机证书是否也需要链条? 这是我的虚拟主机的样子。 <VirtualHost *:8082> ServerName my.domain.com ProxyRequests On SSLProxyEngine On SSLProxyMachineCertificateFile /etc/httpd/keys/machine.pem SSLProxyCACertificateFile /etc/httpd/keys/machine.chain.crt ProxyPass / https://target.client.com/ ProxyPassReverse / https://target.client.com/ <Proxy *> Order deny,allow Allow from all </Proxy> </VirtualHost> 编辑:我更新了基本stream程,以澄清什么样的连接,我试图使用之间的应用程序,Apache和客户端。

EC2 Ubuntu服务器上的SSL问题

我有一个Ubuntu的EC2服务器。 其运行多个网站和其中一个网站使用SSL证书。 SSL运行良好,但问题是,当您使用https键入其中一个域的URL并添加一个SSL域的页面的地址时,您可以看到SSL域页面。 例如https://domain.com/page/1是原始页面。 如果您键入https://domain2.com/page/1,您将看到SSLconfiguration域的原始页面。 如果您从https://domain2.com/page/1删除https,那么它的http://domain2.com/page/1您将看到没有find应该看到的页面。 对不起,但这是很难解释,我以前从来没有遇到过。 我必须有一些Apacheconfiguration错误,但我不知道是什么。

Apache 2.4中的SSL证书错误

我在Apache 2.4 webserver上运行两个网站。 它configuration为NameBaseVhost,都有自己的通配符ssl证书(* .site1.com和* .site2.com)由Godaddy发出。 每件事情都很好。 当我通过它的子域www.site1.com和www.site2.com访问网站时,它工作正常。 Apache有一个重写规则来将httpredirect到https,因此这两个网站都完全redirect。 现在的问题是,当我redirect根域www,为site2.com它给了我错误。 Error code: ssl_error_bad_cert_domain site2.com uses an invalid security certificate. The certificate is only valid for the following names: *.site1.com, site1.com Httpd site1.com的configuration RewriteEngine On RewriteCond %{HTTPS} !=on RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R] # Redirect root domain to www RewriteCond %{HTTP_HOST} ^site1\.com$ [NC] RewriteRule ^(.*)$ https://www.site1.com/$1 [R=301,L] […]

为在Jetty中运行的许多虚拟主机configuration统一通信证书

我有一个单一的IP与Jetty服务端口80上的X站点。 基本上,您可以注册我们的服务,然后将您的域www.mycompany.com指向该IP,Jetty将提供您的自定义站点。 我想为所有网站添加SSL支持。 为了简化事情,我已经考虑让一个统一通信证书插入到Jetty中,并使其适用于所有站点。 这可能吗? 有没有人做过这个? Jetty是否仅支持传统的单域证书? 与单域证书相比,我可以运行什么问题?

SQL Server 2000和SSLencryption

我们是一个数据中心,它拥有一个SQL Server 2000环境,它为我们销售的产品提供数据库服务,这个产品在我们的许多客户和他们的工作站上都​​是作为一个富客户端应用程序加载的。 目前,应用程序使用从客户端到数据中心的直接ODBC连接。 我们需要开始对证书进行encryption – 因为现在的一切都是纯文本的,而且validation的encryption很弱 – 我试图确定在服务器上实现SSL的最佳方式,同时尽量减less客户端的影响。 但是有一些事情: 1)我们有我们自己的Windows域,我们所有的服务器都join到我们的私人领域。 我们的clietns没有任何我们的领域。 2)通常,我们的客户通过以下方式连接到我们的数据中心服务器:a)使用TCP / IP地址b)使用我们通过互联网发布的DNS名称,区域从我们的DNS服务器传输给我们的客户,或者客户端可以添加静态HOSTS条目。 3)从我所了解的启用encryption,我可以去networking实用程序,并select我想encryption的协议的“encryption”选项。 如TCP / IP。 4)当selectencryption选项时,我可以select安装第三方证书或自签名。 我已经testing了自签名,但确实有潜在的问题。 我会解释一下。 如果我使用第三方证书,如Verisign或networking解决scheme…我需要什么样的证书? 这些不是IIS证书? 当我通过微软的证书服务器创build一个自签名的时候,我必须select“身份validation证书”。 这在第三方世界中转化为什么? 5)如果我创build了自签名证书,我知道“问题到”名称必须与运行SQL的服务器的FQDN相匹配。 在我的情况下,我必须使用我的私人域名。 如果我使用这个,当我尝试连接到我的SQL Server时,这对我的客户端有什么影响? 当然,他们不能解决我的私人DNS名称在他们的networking…. 我还确认,在安装自签名证书时,必须位于运行SQL Server的用户帐户的本地个人存储中。 如果FQDN与证书的“问题到”相匹配,并且SQL正在安装证书的帐户下运行,SQL Server才会启动。 如果我使用自签名证书,这是否意味着我必须让每一位客户安装它来validation? 6)如果我使用第三方证书,这听起来像是最好的select,那么当访问我的专用广域网连接的私有服务器来validation证书时,是否所有的客户端都必须访问互联网? 我该如何处理FQDN? 这听起来像他们必须使用我的私人域名 – 这是不公布的 – 并不能再使用我设置为他们使用的? 7)我打算很快升级到SQL 2000。 用SQL 2005比SQL 2000更容易/更好地设置SSL吗? 任何帮助或guiadance将不胜感激

在与外部IP不同的IP地址上安装Cisco ASA WebVPN

Out客户有一个名为“SSL Explorer”的SSL VPN解决scheme,它是一个在DMZ主机上运行的基于服务器的应用程序。 由于该软件已宣布报废,我们希望迁移到ASA WebVPN。 目前有一个指向xx.xx.xx.68 / 29的DNSlogging“ssl.customer.ch” 。 我们不希望改变DNSlogging来尽可能降低迁移的停机时间。 ASA本身在外部接口上具有IP地址xx.xx.xx.66 / 29。 如果我要使用向导通过ASDM设置WebVPN,似乎访问WebVPN的IP地址不能改变,它总是您select的接口上的IP地址,在这种情况下,外部IP地址xx.xx .xx.66。 我的问题是如何通过IP地址xx.xx.xx.68 / 29访问WebVPN,这是一个与外部IP地址不同的IP地址? 这是我已经尝试过的: 1)在外部接口上创build第二个(子)接口,并将xx.xx.xx.68 / 29configuration为IP地址。 – >不起作用,因为子网重叠。 (也许它会工作,如果我会子网,子网再次,但比我会失去所需的IP地址,所以它不是一个选项) 我也尝试了一种应该将xxx68:443redirect到xxx66:443的NAT语句 static (outside,outside) tcp interface 443 xx.xx.xx.68 443 netmask 255.255.255.255 tcp 0 0 udp 0 access-list outside_access_in line 9 remark Erlaubt WebVPN auf xx.xx.xx.68 fuer redirect auf xx.xx.xx.66 (outside IP […]

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.