Articles of ssl

只能在应用程序服务器上安全访问预授权的个人

我正在构build一个PHP应用程序,并希望将后端(甚至login页面)locking为只能由预先授权的人员访问 – 甚至还能够将活动链接到授权的个人。 我知道,这样的locking可以使用SSL或一个类别的证书,但不知道它是什么,或如何实现它。 我已经看到不同的公司以下面提到的方式实施它 在一家公司,用户填写一份详细的表格,公司发布用户在浏览器上安装的证书,以便访问后端 另一家公司,一个用户每次想要访问后端时都要运行一个exe。 我的PHP应用程序正在运行在Windows服务器2016年,我想知道如何实现上述两个或两者之一。 资源或具体将不胜感激。 我不确定这个问题是否在这里或另一个堆栈交换networking,请原谅我的无知。

几乎没有关于SSL的问题

我正在尝试开发一个sslchecker.com模拟器用于testing目的。 我想了解一些时刻: 在结果中,我们可以看到“解决”和“主机名”。 是“解决”一个域名,证书签名? 什么是“主机名”在这种情况下? 这不是一个forms的价值,因为我总是看到“不匹配”。 应该在那里? 我可以如何使用openssl的PHP函数或在terminal中使用纯openssl进行检测: 3.1“解决”(到它签署的域名) 3.2“hostname”(基于2个问题是什么) 3.3“供应商签署”(是或否)是 – 如果我们有“由…颁发”的值)? 3.4 PHP的openssl函数给我链没有最后的根证书,为什么? 我如何才能拿到根证书? 3.5如何使用SSL协议连接到链中的一个证书? 我应该使用什么域和端口,我怎么能检测到它,这有可能吗? 3.6我如何检查连锁证书的域名,并确认连锁证书对这个域名有效? 对不起,如果因为我英文不好或SSL理解不好而提出的问题不正确。 另外,我可以读什么? 也许你可以推荐一些video或简短的文章,而不是维基?

为什么当Apache不能通过Apache proxy的时候呢?

我在我的apache服务器上有一个SSL主机,在VirtualHost中有以下内容: <VirtualHost 217.147.92.100:443> ServerName server.com ServerAdmin email@email.com DocumentRoot /somepath/ ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined SSLEngine on SSLCertificateFile /etc/something/fullchain.pem SSLCertificateKeyFile /etc/something/privkey.pem <FilesMatch "\.(cgi|shtml|phtml|php)$"> SSLOptions +StdEnvVars </FilesMatch> <Directory /usr/lib/cgi-bin> SSLOptions +StdEnvVars </Directory> BrowserMatch "MSIE [2-6]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 # MSIE 7 and newer should be able to use keepalive BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown SSLProxyEngine […]

SSL和SaaS应用程序上自定义域的证书

我们在F5networking设备集群后面的Windows 2008R2 / IIS7.5集群上运行托pipe的大型SaaS应用程序。 今天,我们通过自定义CNames( your-company。our-domain.com )为客户提供白色标签的品牌。 我们希望为客户提供能够为他们已经拥有的域指定自己的域名的白色标签( www。your-domain.com )。 通过让客户在自己的DNS服务器上设置A或CNAMElogging,指向我们指定的IP,我们的IIS机器接收到请求 – 但由于整个SaaS应用程序应该通过SSL运行,所以我们有点难以理解最好继续。 目前,我们不会将SSL处理卸载到F5设备,而是让IIS机器处理SSL。 我们的企业证书正在加载到每个Windows IIS服务器上的商店中,并在那里进行configuration。 我们正在寻找一种“最佳实践”方法,允许客户在启用SSL的情况下自行configuration其自定义域。 目前,我们最好的办法是让客户通过我们的SaaSpipe理面板上传包含关键信息的PEM,然后按照需要以编程方式将证书添加到每台Windows机器和IISconfiguration中。 这对我来说似乎是一个安全问题,因为这不意味着客户被迫与我们分享他们的私钥 ? (我不是非常强大的非对称encryption,所以我意识到我可能在这部分是错误的)。 这是允许自定义域的网站上的最佳做法吗? 有更好的select吗? 我们也知道我们的F5基础设施允许SSL卸载 – 如果有人熟悉这个解决scheme,并且知道我们可以利用的地方。 谢谢大家的帮助。

在MariaDB中使用letsencrypt服务器证书

在使用我们encryption时,以下目录只能由root访问: /etc/letsencrypt/live/ /etc/letsencrypt/archive/ 启动MariaDB时,它以“mysql”用户身份运行,因此当您尝试使用Let's Encrypt证书启用SSL时,您会收到一条错误消息。 [Warning] SSL error: SSL_CTX_set_default_verify_paths failed 这是迄今为止的预期行为。 当我执行时: chmod 755 /etc/letsencrypt/live/ chmod 755 /etc/letsencrypt/archive/ 这允许MariaDB启用SSL,在连接到MariaDB时可以使用以下命令进行检查: show variables like '%ssl%' 那么,问题是这是一个多大的安全问题。 Nginx可以使用让我们使用默认权限对证书进行encryption,尽pipe它在我的系统上以用户“nginx”的身份运行,但由于它使用<1024以下的端口,所以似乎以比MariaDB更高的权限运行。 chmod 755使letsencrypt私钥文件“世界可读”在我的系统…丑陋。 您只能通过SSH公钥authentication连接到我的服务器,root不允许login。 被允许login的用户除了su root之外不能做任何事情,所以甚至在系统上的暴力似乎也是不可能的。 还有一些系统上的其他sftp用户是chroot,无法访问/ etc / … 所以我应该是安全的,但我不知道是否有任何解决scheme,而不使letsencrypt目录世界可读。 (当然,除了使用MariaDB的自签名证书)

没有负载平衡器的AWS SSL证书?

我有一个标准的Elastic Beanstalk应用程序,通过HTTP设置并运行良好。 在AWS文档之后,我请求了一个SSL证书,并configuration了CloudFront。 我将一个入口规则添加到AWSEBSecurityGroup安全组中,而不是一个负载均衡器,它将打开端口443到单个实例环境的所有stream量。 详细在这里 。 使用这个片段; Resources: sslSecurityGroupIngress: Type: AWS::EC2::SecurityGroupIngress Properties: GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]} IpProtocol: tcp ToPort: 443 FromPort: 443 CidrIp: 0.0.0.0/0 并将其上传到服务器上的.ebextensions / https-instance-securitygroup.config。 但是,SSL证书仍然无法正常工作。 我不确定为什么,我错过了什么? 谢谢。

后缀CA签名的TLS失败

当我使用来自证书颁发机构的签名SSL证书时,Postfix无法正常运行,并在/var/log/mail.log出现此错误: Sep 8 12:43:03 mail postfix/master[15557]: daemon started — version 3.1.0, configuration /etc/postfix Sep 8 12:43:11 mail postfix/smtpd[15560]: fatal: bad boolean configuration: smtpd_sasl_authenticated_header = yes? smtpd_tls_cert_file=/etc/ssl/certs/mail_centralcloudmanager_com.crt? smtpd_tls_key_file=/etc/ssl/private/mail.centralcloudmanager.com.key Sep 8 12:43:12 mail postfix/master[15557]: warning: process /usr/lib/postfix/sbin/smtpd pid 15560 exit status 1 Sep 8 12:43:12 mail postfix/master[15557]: warning: /usr/lib/postfix/sbin/smtpd: bad command startup — throttling /etc/postfix/main.cf SSL相关部分: smtpd_sasl_type […]

公司防火墙后面的TLS / SSL

我有一些https网站比公司的防火墙需要超过15秒的显示页面。 但: 使用互联网(防火墙之外),这些都非常快 通过http是相当快的 validation证书(或证书颁发机构)似乎是客户端/浏览器超时。 有一个地址,我可以打开防火墙来validation这些证书? 我的证书颁发机构是Comodo和Symantec。 对于Comodo我发现: http://crl.usertrust.com http://ocsp.usertrust.com http://crl.comodoca.com http://crt.comodoca.com http://ocsp.comodoca.com https://secure.comodo.com http://crl.comodoca.com.cdn.cloudflare.net 赛门铁克: http://sr.symcb.com https://d.symcb.com http://s2.symcb.com http://www.symauth.com http://s1.symcb.com http://sv.symcb.com

Tomcat8无法升级TLS版本

我有一个Tomcat8实例运行在Apache服务器后面,负责SSL卸载。 部署在Tomcat上的Java webapp需要连接到仅支持TLSv1.2的外部服务。 我添加了-Dhttps.protocols = TLSv1.2到Tomcat的setenv.sh。 但是我仍然看到Tomcat试图与TLSv1协商[2]作为支持最高的TLS版本,同时连接到外部服务。 所以,我最终得到错误[1],而连接。 我如何得到这个工作? 我需要更改Apache Web服务器上的任何configuration吗? PS:在我只有Tomcat8的本地机器上添加上面的标志(TLS升级到v1.2)。 [1] Caused by: javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated at sun.security.ssl.SSLSessionImpl.getPeerCertificates(SSLSessionImpl.java:421) at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:128) at org.apache.http.conn.ssl.SSLSocketFactory.connectSocket(SSLSocketFactory.java:572) at org.apache.http.impl.conn.DefaultClientConnectionOperator.openConnection(DefaultClientConnectionOperator.java:180) at org.apache.http.impl.conn.ManagedClientConnectionImpl.open(ManagedClientConnectionImpl.java:294) at org.apache.http.impl.client.DefaultRequestDirector.tryConnect(DefaultRequestDirector.java:641) at org.apache.http.impl.client.DefaultRequestDirector.execute(DefaultRequestDirector.java:480) at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:906) at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:1066) at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:1044) at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:1035) [2] %% No cached client session *** ClientHello, TLSv1 …. …. ajp-nio-8009-exec-10, READ: TLSv1.2 […]

通道 – 证书validation

我有信心为Redis提供SSL。 我有以下configuration: [redis] CAfile= /etc/stunnel/ca.crt accept = 636 cert = /etc/stunnel/server1.crt connect = localhost:6379 key = /etc/stunnel/server1.key verify = 2 我用openssl生成所有的密钥和证书: # generate ca openssl req -new -x509 \ -keyout "/etc/stunnel/ca.crt" \ -out "/etc/stunnel/ca.key" \ -days 365 \ -passout "pass:123456" \ -subj "$subj" 然后我通过openssl genrsa -des3生成密钥然后我通过openssl req -new -key生成csr。 然后我通过openssl x509 -req生成签名证书CA和openssl x509 -req指向ca.crt和ca.key然后我通过openssl rsa解密密钥 […]