Articles of ssl

单个主机,端口和域上的多个SSL证书

或者ssl网站有两种访问方式:1)使用网页浏览器2)使用我们的客户端应用程序 我们希望将客户端应用程序与我们自己的CA证书(不受浏览器信任)捆绑在一起,以便100%确定无法访问encryption数据。 (甚至是那些操作可信中间CA的人)。 我们希望我们的应用程序只信任由我们的CA签名的证书。 而且,当然,我们希望这个网站在浏览器中打开,不会有任何警告。 那么,有没有办法在单个主机,端口和域上放置两个证书,一个是由我们的应用程序信任的,另一个是由浏览器信任的? UPD: 我们可以使用不同的主机来访问应用程序,但是外面的pipe理者不希望冒着对我们针对半受教育的IT社区的不良PR攻击的风险(想象一个出版物,当有人指向我们的服务器并且说“Ha-ha ,他们使用免费的自签名证书,他们是如此不安全。“)

redirect不支持SSL cipers \套件的浏览器

我想将使用旧浏览器的客户端redirect到指示他们下载较新浏览器的页面。 我的意思是“旧”浏览器 – 不支持某些ciper套件\ ssl协议的浏览器。 例如TLS1.1或更高版本去old.html和TLS1.2去index.html 那可能吗?

如何将HTTP和HTTPS请求logging到同一文件

在Linux上使用最新的Apache。 将两种不同的请求发送到两个不同的日志文件是不方便的,因为我喜欢通过shell实时查看日志文件。 我也less用很多。 另外,为什么不能合并伐木呢?

F5 Big-IP和WSS WebSockets

我们有一个处理SSL的F5 Big-IP负载平衡器,所以它后面的服务器得到HTTPS而不是HTTP( SSL卸载 )。 我没有版本方便,但在login页面,我可以看到“版权1996-2010”,所以我想这不是最新版本:) 这个模式如何与WS和WSS一起工作? WSS握手会冲击负载均衡器,然后作为WS握手转发到Web服务器吗? 谢谢。

OpenVZ Ubuntu容器的证书问题

今天我想出了证书无法在我的openvz ubuntu容器上validation的问题。 我检查了/ etc / ssl / certs文件夹,这是可读的,似乎是好的。 但是,当我尝试使用wget时,我得到以下内容: $ wget https://google.com –2014-01-29 11:05:16– https://google.com/ Resolving google.com (google.com)… 173.194.112.194, 173.194.112.197, 173.194.112.195, … Connecting to google.com (google.com)|173.194.112.194|:443… connected. ERROR: The certificate of `google.com' is not trusted. ERROR: The certificate of `google.com' hasn't got a known issuer. The certificate's owner does not match hostname `google.com' 我发现了至less下载文件的–no-check-certificate选项,但是没有解决接受证书的问题。 我也试过–ca-directory=/etc/ssl/certs选项,它返回相同的结果。 […]

不能远程桌面到Windows小企业服务器2011年

我们有一台运行Windows Small Business Server 2011 Essentials的服务器。 它是域上唯一的服务器,运行Active Directory并且是域控制器。 它还pipe理防火墙和证书服务。 我们有一个类似于https://remote.mycompany.com的url设置,在访问时,我们的办公室被redirect到一个静态IP地址,在这一点你被提示服务器到服务器 我们有一个SSL证书应用于远程连接的服务器/域/网站 这是所有工作,并进入我们可以login网站,查看networking上的计算机,查看文件等我们也可以得到一个RDC链接,然后连接到每台计算机。 可悲的是,没有我知道的事情发生了变化,我不知道为什么我们现在不能连接到网站或RDC。 目前服务器上唯一的迹象是错误的是,如果我直接login到服务器并打开仪表板,我看到在警报查看器中有一些错误。 “防火墙configuration不正确,可能阻止远程Web访问” “远程桌面服务configuration不正确,必须将远程桌面服务configuration为远程连接到networking上的计算机” 如果我点击修复这两个项目的错误消失,但可悲的是,问题不是固定的,在重新启动他们返回。 现在我完全禁用防火墙,这意味着远程网页的作品,我可以login,但我得到SSL证书警告。 RDC仍然无法工作。 我也试图改变防火墙规则,以允许RDC,但我不知道我应该添加或如何。 我也知道SSL证书没有过期。 检出服务器事件日志我没有注意到一个奇怪的错误。 事件91:与活动目录证书服务无法连接到活动目录。 然而,在看了微软技术支持网站之后,这显然不是真正的问题,因为它是由订单服务开始的。 有没有人看到这个或知道什么是错的,甚至在哪里看。

nginxconfiguration失败,SSL密钥/ pem(唯一的情况下)

我正在尝试安装SSL我的nginx反向代理与authenticationssl密钥,但我得到这个消息时,当我尝试重新启动服务器: Restarting nginx: [emerg]: SSL_CTX_use_PrivateKey_file("/etc/nginx/conf.d/cert.key") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib) configuration file /etc/nginx/nginx.conf test failed 每个文件都是根目录:具有600个权限的根目录我已经testing了这些证书,并且通过以下网站进行validation: http ://ssltools.com/cert_key_match 在我的键中没有拖尾怪异的字符,每行有64个字符 这里是我的configuration文件 server { listen 443; server_name my.domain.com; ssl on; ssl_certificate conf.d/cert.pem; ssl_certificate_key conf.d/cert.key; location / { proxy_pass http://upstream1; proxy_redirect off; proxy_buffering off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } […]

CACert.org证书给sec_error_unknown_issuer

我已经使用cacert.org为我的网站颁发1级证书。 我确定子域名是正确的,并且电子邮件地址是存在的,但是我一直在使用Firefox和其他浏览器获取证书问题: sec_error_untrusted_issuer 我试过这个教程,但没有解决问题。 我的apacheconfiguration如下: <VirtualHost *:443> DocumentRoot /path/to/web ServerName blog.mydomain.com <Directory "/path/to/web"> <IfModule sapi_apache2.c> php_admin_flag engine on </IfModule> <IfModule mod_php5.c> php_admin_flag engine on </IfModule> </Directory> SSLEngine on SSLCertificateFile /home/myhome/SSL/CACert/cert_signed.pem SSLCertificateKeyFile /home/myhome/SSL/CACert/privkey.pem SSLCipherSuite HIGH SSLProtocol all -SSLv2 </VirtualHost> 我甚至不知道从哪里开始解决这个问题。 请协助。 感谢您的努力。

如何在Linux中为需要CA根密钥的多个域创buildSSL证书

我有邮件服务器。 有可能托pipe的域名。 我正在部署SSL证书。 我希望当用户访问那里使用HTTPS浏览器的邮件帐户应该显示证书是可信的(在Chrome中,它应该在地址栏中显示绿色的HTTPS不是红色)。 我发现的是: 我必须先创buildCA证书。 openssl genrsa -out rootCA.key 2048 openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem 将其复制到用户的工作站上。 然后使用以下命令创build密钥文件。 openssl genrsa -out device.key 2048 和使用该密钥文件的csr文件使用命令: openssl req -new -key device.key -out device.csr 一旦完成,请签署需要CA根密钥的CSR。 openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 500 使用上述方法,我只能为单个域创build证书。 如何为多个域创build它。

为什么Nginx的反向代理显示http位置?

我需要帮助我的nginxconfiguration。 在这个configuration我有/ svn的位置,来到Apache的HTTP。 Apache是​​密码保护(基本authentication)当访问https://my.server.com/svn它显示了Apachelogin提示,但在它,我可以看到它试图访问http://127.0.0.1:81/ – 我需要隐藏这些信息。 另外,当我点击取消button,它会redirect到http://127.0.0.1:81/显示403。 所以我需要的是通过https服务,而不是向任何人展示我用于内部通信的端口。 成功login后,它也是http url和端口81,但是当我手动添加https,并删除端口81它也可以;) upstream subversion_hosts { server 127.0.0.1:81; } server { listen 80; ## listen for ipv4 listen [::]:80 default ipv6only=on; ## listen for ipv6 # Set appropriately for virtual hosting and to use server_name_in_redirect server_name server.name.com; server_name_in_redirect off; location / { rewrite ^(.*) https://server.name.com$1 permanent; } } […]