Articles of ssl

haproxy – 重新encryption并添加标题

我想build立一个haproxy重新encryption, 如果stream量已经encryption,我想添加标题,以确保它正在工作。 但我的 http-request add-header LoadBalancer Plain和 http-request add-header LoadBalancer Encrypted 似乎没有工作。 如何添加标题到请求? 怎么知道,这个configuration使用重新encryption,而不是TLS传递? 我添加了一个固定的IP,但我宁愿使用其他docker实例的主机名。 global daemon maxconn 256 ssl-server-verify none defaults mode http timeout connect 5000ms timeout client 50000ms timeout server 50000ms option forwardfor option http-server-close stats enable stats uri /stats stats realm Haproxy\ Statistics stats auth user:password listen http-in-plain http-request set-header X-SSL %[ssl_fc] […]

Haproxy FTPS被动不工作

服务器:Debian 8.5 客户端:Debian 8.5 GNOME DESKTOP remote-client | (2001::10/64) HAproxy (1001::10/64) | | | | ftp_srv1————ftp_srv2 (1001::1/64) (1001::2/64) ftp_srv1 FTPconfiguration(使用vsftpd ): rsa_cert_file=/ftp-ssl/ftp.crt rsa_private_key_file=/ftp-ssl/ftp.key ssl_enable=YES pasv_enable=YES pasv_min_port=10001 pasv_max_port=10250 listen_port=990 implicit_ssl=YES ftp_srv2 FTPconfiguration(使用vsftpd ): rsa_cert_file=/ftp-ssl/ftp.crt rsa_private_key_file=/ftp-ssl/ftp.key ssl_enable=YES pasv_enable=YES pasv_min_port=10251 pasv_max_port=10500 listen_port=990 implicit_ssl=YES HAProxyconfiguration: frontend ftp bind :::990 default_backend ftpback frontend ftp-passv-1 bind :::10001-10250 default_backend ftp-passv-1-back frontend ftp-passv-2 […]

Nginx与HTTPS上游失败,错误

nginx与HTTP上游协同工作,但是当我将proxy_pass更改为HTTPS时,几秒钟后失败,出现以下错误: root@websrv1:/etc/nginx/sites-enabled# nginx -t nginx: [emerg] host not found in upstream "backend" in /etc/nginx/sites- enabled/preprod-ssl.conf:30 nginx: configuration file /etc/nginx/nginx.conf test failed Nginxconfiguration: proxy_ssl_verify off; proxy_pass https://backend; proxy_ssl_trusted_certificate /etc/nginx/trusted-ssl/nginx.crt; } upstream backend { server IP:PORT; server IP:PORT; }

为SSLconfiguration的Squid,在一些网站上扼杀

我有一个在Debian Stretch上运行的Squid 3.5.23,从deb源文件重新编译并configuration为透明代理。 我改变了configuration,以便允许SSL代理,并且当我将生成的Squid证书安装为受信任的根权限时,似乎运行正常。 Facebook,Google,Kernel.org和其他大多数HTTPS站点都通过OK,浏览器正确认为这些站点的证书权限是代理的。 现在,有些网站给我一个证书警告,然后错误,如果我接受它作为例外。 https://elpais.com – > The following error was encountered while trying to retrieve the URL: https://2.16.189.72/* Failed to establish a secure connection to 2.16.189.72 The system returned: (71) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE) Handshake with SSL server failed: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure This proxy and the remote host failed […]

无法validation第一个证书(Comodo Essential SSL通配符)

我对于设置SSL证书和一般的服务器是一个新手,所以在我试图解释我自己所处的情况时,请耐心等待。 我最近获得了将用于保护我的服务器的Comodo Essential SSL通配符许可证。 我configuration的服务器用于Kolab。 Kolab正在工作,但没有configurationSSL,所以我想我可能会设置。 我按照相应的Kolab howto-page( https://docs.kolab.org/howtos/secure-kolab-server.html )上提供的说明进行操作,但卡在设置cyrus-IMAP服务器的部分。 运行时: openssl s_client -showcerts -connect example.org:993 我得到以下输出(截断): CONNECTED(00000003) depth=0 OU = Domain Control Validated, OU = EssentialSSL Wildcard, CN = *.example.org verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 OU = Domain Control Validated, OU = EssentialSSL Wildcard, CN = *.example.org verify error:num=27:certificate […]

SSO和不受信任网站的身份提供商

我正在使用SAML在自定义PHP应用程序和内部Tableau服务器之间实施SSO。 我select了auth0作为我的身份提供者。 我使用了在Vagrant VM中运行的应用程序的testing版本。 但是,当我试图从生产应用程序auth0工作拒绝初始login。 他们说这是因为该网站的SSL证书不被信任。 托pipe应用程序的公司也提供证书,他们想要更多的钱,然后公司愿意花钱获得信任的证书。 他们也不会允许安装第三方authentication。 有谁知道是否有一种方法来禁用在auth0检查可信任的证书吗? 有没有人知道任何IdP其他然后auth0将与不受信任的证书工作?

无法克隆git项目和ssl错误

我正在使用configuration了Ubuntu 16.04的Google云计算机。 我有一个个人的github可以访问一个http url。 我试图克隆到我的本地Ubuntu机器的存储库,它的工作原理。 但是当涉及到Google云计算机时,会显示下面的错误。 fatal: unable to access 'https://example.com/root/myapp.git/': SSL: certificate subject name (american-securities.com) does not match target host name 'example.com' 有人可以帮我解决这个问题吗? 提前致谢。

与SSL的Nginx的phpmyadmin坏请求(无clr)

我有一个简单的nginxconfiguration作为代理来处理ssl请求。 问题是当我在https://files.mysite.com/phpmyadmin上loginphpmyadmin时,它在http://files.mysite.com:443上redirect我,并抛出: 400 Bad request: The plain HTTP request was sent to HTTPS port 我在这里和超级用户环顾四周,找不到任何适合这个问题的东西下面是nginx的configuration文件: server { listen 0.0.0.0:80; server_name files.mysite.com; return 301 https://files.mysite.com$request_uri; } server { listen 0.0.0.0:443 ssl; server_name files.mysite.com; ssl on; ssl_certificate /etc/letsencrypt/live/files.mysite.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/files.mysite.com/privkey.pem; root /home/mysite/mysite.com/files; index index.html; location ^~ /phpmyadmin { root /usr/share/; index index.php; include conf-available/php5.conf; } } 我使用各种networking工具在所有子域上几乎相同的configuration,没有问题,所以我真的很困惑! […]

服务器根据安全审计有“弱密码设置”,replace冒密码TLS_RSA_WITH_3DES_EDE_CBC_SHA,但仍然失败重新审计?

我们收到了当地networking安全团队的一份审计报告,其中一台服务器显示“传输层保护不足”。 根据他们的描述: “说明:服务器支持以下弱密码: TLS_RSA_WITH_3DES_EDE_CBC_SHA [0x0a] RSA 3DES 168 已知这些密码具有encryption弱点,使其不适用于SSL / TLS。 “ 他们提供的解决scheme如下: “解决scheme:我们build议禁用导出和空密码套件的支持,以及使用RC4 / 3DES的密码套件,相反,我们build议TLS 1.0和1.1使用AES128-SHA,TLS 1.2使用AES128-GCM-SHA256。 为了纠正这种情况,这是我迄今为止所做的: 运行 – > gpedit.msc – >计算机configuration – >pipe理模板 – >networking – > SSLconfiguration设置 点击SSL密码套件订单 点击单选button“启用” 用以下代码replace了支持的密码套件string: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,SSL_CK_DES_192_EDE3_CBC_WITH_MD5 重新启动服务器,并使用nmap实用程序应用程序运行重新testing。 我们在服务器上运行了一次重新testing,看起来这个漏洞依然存在: nmap结果的图像 我们的盒子是Windows 2008 R2服务器。 是否有另一种方法来解决这个问题?

将CSR链接到没有IIS的证书

我在Windows Server 2012 R2 Standard服务器上,我有一个我已经创build的CSR,并且有GoDaddy颁发的证书。 但是,当我去“证书注册请求”我没有看到除了这个键以外的任何东西。 我已经testing了我的企业社会责任和我的钥匙在sslshopper,它说,他们匹配,但我不知道如何告诉我的电脑“这个关键匹配这个CSR”。 有什么办法可以把我的CSR推到电脑里(和产生电脑的电脑一样),然后告诉它“使用这个钥匙”? 任何帮助是极大的赞赏。