Articles of ssl

设置服务器范围的sslconfiguration

背景我有一个简单的服务器只有一个网站。 我想强制ssl。 我以前用自签名证书做了这个,但现在我有了一个letsencrypt证书。 我已经使用了自动设置,但是当我访问我的网站时,它使用旧的证书。 我想我的问题类似于: 默认apache index.html显示,即使我有一个网站启用文件 在这个答案: https : //serverfault.com/a/690668/226403其中一个选项是“如果你想这个作为你的默认/唯一的主机,那么甚至不打扰VirtualHost标签,并应用你的configuration在服务器级别“。 问题如何更改服务器范围的configuration? 我认为这个服务器广泛的configuration是使用旧的证书,但我不知道如何改变它? 谢谢! (我的设置是使用apache的Ubuntu VM) 编辑:在/ etc / apache2 / ssl中有旧的.key和.pem文件,如果我把这些东西都打破了,Apache将无法启动! 解决scheme (至less对我来说)。 显然你可以在网站上设置可用和可用的。 让encryption自动设置站点 – 为您提供,但不可configuration。 我执行了recursionsearch(使用https://stackoverflow.com/questions/16956810/finding-all-files-containing-a-text-string-on-linux):$ $ grep -rnw '/etc/apache2/' -e 'SSLCertificateFile' 。 在conf-available中find不正确的文件并重新启动apache: sudo service apache2 reload 。

Apachenetworking服务器:SSL证书不明白

我正在尝试向Apache Web服务器指定一个SSL证书,但是我收到了一些奇怪的错误。 不幸的是,我不太了解SSL。 有人能帮助我吗? 错误login/var/log/apache2/error.log: [Mon Jan 11 16:32:23 2016] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag [Mon Jan 11 16:32:23 2016] [error] SSL Library Error: 218595386 error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error [Mon Jan 11 16:32:23 2016] [error] SSL Library Error: 67710980 error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib [Mon Jan 11 16:32:23 2016] [error] SSL Library […]

只有一个浏览器不被信任的证书

我们有一个网站使用来自thwarte的签名证书,我们对多个检查工具的证书有一个评级。 但是,我们有一个用户抱怨说,她的浏览器不信任该证书。 我向老板解释说,用户最有可能拥有一个浏览器 没有完整的CA证书列表。 或者她的系统和浏览器不是最新的。 以某种方式受到损害。 我可以保证说这个吗? 我强调,因为它是一个大客户,但我可以说100%authentication是在大范围的testing下安装,validation和接受的。 我只需要一个健全的检查,还有什么我可以失踪?

在同一台服务器上运行Hudson,Sonar和HA Proxy

我在同一台服务器上运行Hudson,Sonar和HA Proxy(为了POC而这样做,因此不能访问多台服务器。 我正在使用HAProxy为两台服务器启用SSL。 我可以使用以下url从本地访问这些服务器中的每一个:127.0.0.1:9000/sonar和127.0.0.1:8088/hudson 但是,当我尝试使用https:/52.XXX/sonar或https:/52.XXX/hudson远程访问服务器时,我得到 No data received ERR_EMPTY_RESPONSE 如果我添加一个default_backend sonar到HAProxyconfiguration我可以运行声纳而不是哈德逊,反之亦然。 我的HAProxyconfiguration是这样的 global log 127.0.0.1 local2 tune.ssl.default-dh-param 2048 defaults mode tcp # Set timeouts to your needs timeout client 1h timeout connect 1h timeout server 1h option http-server-close frontend http mode http bind *:80 compression algo gzip redirect scheme https if !{ ssl_fc } frontend […]

HTTPS不适用于Tomcat 7

我正在尝试在Ubuntu 11.10的tomcat 7中添加sslconfiguration,但是它不能正常工作,并且在日志中没有错误。 我在server.xml中添加了这个: <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" keystoreFile="mycertificate.cert" keystorePass="mypass" clientAuth="false" sslProtocol="TLS" /> 我也在web.xml中添加了这个: <security-constraint> <web-resource-collection> <web-resource-name>Protected Context</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <!– auth-constraint goes here if you requre authentication –> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> 我也试过其他的港口。 我也尝试redirect,但没有任何工作。 在catalina.out我只得到这个: Feb 09, 2016 3:50:27 PM org.apache.coyote.AbstractProtocol init INFO: Initializing ProtocolHandler ["http-bio-8443"] […]

使用Comodo Positive SSL和IIS在Chrome Android上找不到任何证书

出于软件testing的原因,我已经注册了一个域名,把它的Alogging设置为192.168.1.30(我的networking上的本地PC)。 我在此IP上的Windows 10上的IIS上为此域安装了Comodo Positive SSL。 我可以通过任何外部PC浏览器在我的内部networking(我只关心我的内部networking)下访问mydomain.com。 SSL链如下所示: 但是,当我从Android的Chrome浏览器导航时,出现“找不到证书”: 如果我点击取消,页面会按照预期加载绿色挂锁,证书信息如下: 我认为是连接到这个问题的另一个问题是,我有一个原生的Android应用程序试图连接到网站,它正在端口80,但失败连接SSL(端口443)。 我试图从iPhone访问SSL上的域名,但连接超时,但它是非安全连接。 我的问题是: 1 – 这个问题的原因是什么? 2 – 我该如何解决? 请注意,我不想为特定的Android解决它(我可能可以通过手动安装证书来解决这个问题),我想解决它给所有潜在的用户。 我尝试导航到使用相同证书链的另一个网站( https://lifetanstic.co.ke/ ),我没有被要求安装任何证书,挂锁出现,证书详细信息相同。 所以,一切工作正常的网站。 请注意,我的主机名是指向我的networking中的一个IP,这意味着它只能从我的本地networking访问(并且Android在我的本地networking上)。 那么,这可能是这个问题的一个因素吗?

Nginx TLS性能优化

我上个星期把一个繁忙的站点切换到了TLS,而且是HTTP / 2。 绩效并没有像预期的那样有所提高。 事实上,取决于你如何衡量,你可以说它已经退化了。 有足够的空间来进一步优化服务器,在操作系统级别的TCP调整,在networking堆栈中的TLSconfiguration等。为了确保我没有忽略任何改进的地方,我在这里张贴我的思路为他人鸣钟在。 目前,SSL conf就是这样显示的。 各方控制着这方面的各种要素,我没有直接控制这一切。 域名审查。 $ openssl s_client -state -CAfile Documents/Thawte\ Server\ CA.cer -connect xxxxxx.tld:443 CONNECTED(00000003) SSL_connect:before/connect initialization SSL_connect:SSLv2/v3 write client hello A SSL_connect:SSLv3 read server hello A depth=3 /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root verify error:num=19:self signed certificate in certificate chain verify return:0 SSL_connect:SSLv3 read server certificate […]

在不同的IIS服务器上使用相同的SSL证书?

我们在属于与site1.example.com , site2.example.com , site3.example.com相同的域的不同IIS服务器上有不同的网站。 但是,我们不知道如何在不同的IIS服务器和网站上使用相同的证书。 那么,为了在不同的IIS服务器上为这些网站使用example.com的证书,我们应该采用哪些步骤? 你能否就这个问题澄清我们?

OCSP装订可以提高CloudFlare背后的网站的性能吗?

如果一个网站试图提高使用CloudFlare CDN(或任何真正的CDN) 已经进行OCSP装订的网站的性能(如果使用CloudFlare上的“ 完全SSL ”设置),则在其Nginx实例上configurationOCSP装订 ? 在此设置中,当浏览器从CloudFlare保护/caching站点请求页面时,他们使用TLS连接到CloudFlare,然后使用TLS连接到源Web服务器以检索新生成的页面。 这意味着两组SSL协商完成,增加了检索页面所需的时间。 另外,HTTP / 2意味着连接通常只在每个网站上完成一次,无论要下载多less资源。 如果CloudFlare检查源Web服务器证书的CRL,我想OCSP装订可以减less所需的检查,从而缩短SSL安装时间。 不过,我不是这方面的专家,所以我会很欣赏这方面的想法。 来自CloudFlare的一些信息是否有帮助(这表明它不会帮助性能) 感谢您的问题。 目前我们不对原产地证书进行吊销检查。 但是,如果使用公开信任的证书(而且没有太大困难),我们可能会在某种程度上build议装订OCSP。

从Apache到Tomcat的SSL卸载在某处被覆盖

我被要求在Debian Wheezy上将运行Apache和Tomcat-6的服务器从HTTP升级到HTTPS。 我已经成功地在Apache部分获得并安装了SSL证书,并检查了它们的工作原理(使用了两个不同的SSL检查器)。 接下来,我将下面的块添加到/etc/apache2/sites-available/default-ssl : <VirtualHost *:80> ServerName server.name Redirect permanent / https://server.name/ </VirtualHost> 并将其放在同一个文件中的<VirtualHost _default_:443>块的末尾: ProxyRequests Off ProxyPreserveHost On ProxyPass / http://localhost:8080/ ProxyPassReverse / http://localhost:8080/ 在Tomcat方面,/ /etc/tomcat6/server.xml文件包含两个活动连接器: <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" URIEncoding="UTF-8" redirectPort="8443" /> <Connector address="127.0.0.1" port="8009" protocol="AJP/1.3" redirectPort="8443" /> 现在,当我去https://server.name/app/main/login.jspx ,我得到一个SSL连接,但login后消失。 如果我去https://server.name/app ,我立即redirect到http://server.name/app/main/login.jspx (没有SSL)。 (如果我只是去https://server.name/ ,我最终在/var/lib/tomcat6/webapps/ROOT/index.html定义的redirect页面。) 我究竟做错了什么? 我是否需要使用AJP代理?