Articles of ssl

为什么MS的Exchange服务器需要一个SAN / UC证书?

出于好奇:背后的原因是什么? 要清楚:我已经检查了几个根CA的网站,同时寻找一个适当的SSL证书(这是另一回事)。 它们中的每一个都说明了MS Exchange Server需要的多域Certs的有用性。

Exchange ActiveSync不能与Android的“validation证书”设置一起工作,我需要做些什么才能使它们一起工作?

所有其他的Activesync和Web访问我的Exchange服务器的方法工作正常,没有任何错误或问题,但是当我们尝试为服务器configurationAndroid手机时,它只能在“validation证书”被选中的情况下使用。 理想情况下,我希望我的用户能够使用默认configuration,其中包括“validation证书”选项。 我的主要问题是:“validation证书是做什么的?”,正如我想象的那样,如果我知道这一点,我可能会有一些想法,为什么它不工作。

存储RSA私钥未encryption

我们有我们的基础设施在亚马逊ec2。 因为我们正在增长,所以我们正在build立一个基本的Web服务器AMI镜像,我们将用它来启动新的服务器。 主要的问题是,当机器启动时,它不会启动httpd,因为它要求证书私钥密码。 我正在考虑存储未encryption的私钥(没有密码)的选项。 我知道如果有人得到钥匙可以用我的名义,但我的问题是他们如何得到钥匙? 我们有一个强大的SSH用户密码,然后为root用户。 该密钥将只具有根访问权限。 有没有其他的方式,而不是SSH,有人可以入侵服务器,并获得私钥? 你知道还是为一些实际存储密钥的公司工作吗? 非常感谢

PostgreSQL SSL root.crt不加载

我在Ubuntu上运行PostgreSQL 9(从他们的PPA仓库)。 我正在使用OpenSSL 0.9.8o。 我已经为pg服务器和psql客户端生成了使用TinyCA2的密钥和证书。 我基本上遵循指示 。 我的pg_hba.conf文件configuration为: hostssl all abc ::1/128 cert clientcert=1 我已经把TinyCA生成的根证书和服务器的证书和密钥放在DATA目录中,如下所示。 sudo unzip database_server.zip sudo mv sudo mv cacert.pem root.crt sudo mv cert.pem server.crt sudo openssl rsa -in key.pem -out server.key sudo chmod 0600 server.key sudo chmod ga=r root.crt sudo chown postgres:postgres root.crt server.key server.crt 但是我无法启动服务器。 这是我在创业时得到的: $ sudo /etc/init.d/postgresql start […]

颠覆:强制执行TLS

我使用Apache2和mod_dav在Debian Squeeze系统上运行颠覆操作,以使用浏览器查看内容。 我想强制使用TLS,这样就不能从连接中读取login数据和SVN内容。 我试过以下: <Location /svn> DAV svn SVNParentPath /daten/subversion/ # our access control policy AuthzSVNAccessFile /daten/subversion/access_control # try anonymous access first, resort to real # authentication if necessary. Satisfy Any Require valid-user # how to authenticate a user AuthType Basic AuthName "Subversion repository" AuthUserFile /daten/subversion/.htpasswd # Test SSLRequireSSL RewriteEngine On RewriteCond %{SERVER_PORT} !443 RewriteRule […]

Plesk + Apache + PHP(FastCGI):持续的会话权限问题,HTTP / HTTPS之间的冲突

我刚把一些网站移到一台全新的服务器上,运行Apache 2.2.3,PHP 5.3和Plesk 10.1.1。 我遇到了PHP会话的文件权限问题,这些会话存储在/var/lib/php/session 。 我原来为这个文件夹设置权限是这样的: drwxrwx— 2 apache psacln 8192 Mar 22 23:25 session 这工作得很好, HTTP会话。 文件被保存在具有以下权限的文件夹中: -rw——- 1 client1 psacln 0 Mar 22 23:24 sess_507… -rw——- 1 client2 psacln 0 Mar 22 23:25 sess_8o1… 但问题是,通过HTTPS访问的PHP脚本似乎不是由同一个client1或client2用户运行的。 我删除了会话目录中的文件,并通过HTTPS访问了一个login页面,以查看在通过此协议启动时如何保存会话: -rw——- 1 apache apache 0 Mar 22 23:25 sess_507… 因此,无论出于何种原因,使用HTTPS浏览的客户端发起的会话都由apache:apache保存,而来自HTTP客户端的会话则使用someclient:psacln客户端保存someclient:psacln 。 我想问一下: 如何避免会话权限的这个问题? 当通过未encryption的HTTP创build会话并且客户端访问该站点的HTTPS部分时,将显示权限错误,因为apache:apache尝试访问由某个客户端创build的会话保存someclient:psacln 。 反过来也是如此。 […]

IIS – 从旧SSLredirect到新SSL(域更改)

我们正在经历一个域名更改。 我们目前已经build立了https:// secure.olddomain.com进行stream量。 我只需为该域设置一个新的证书即可设置https:// secure.newdomain.com。 新的域名工作正常,但我在IIS中build立了一个网站,主机名为secure.olddomain.com,并告诉它redirect到https:// secure.newdomain.com 但是,每当我去https:// secure.olddomain.com它只是给我一个关于证书的错误,并不redirect。 我已经安装的唯一的证书是IIS网站上的新域,我没有一个设置在redirect。 我如何得到这个redirect正确? (必须在http://之后添加空格,因为该网站给我发了一个关于发布太多“链接”的警告)

通配符SSL证书和子域级别

我们的服务器url架构是这样设置的: customer-domain.extension.clients.example.com 例如: customer-domain.net.clients.example.com 所以clients.example.com从来没有真正改变,但客户域和扩展做。 什么是为这台服务器设置SSL证书的最可靠和便宜的方式? 谢谢,斯拉夫

OpenSource(第4层)负载均衡器,可以通过原来的客户端IP?

我正在为所有请求设置一个使用SSL的Web应用程序。 它需要有扩展的空间,也是高度可用的。 似乎“推荐”的处理方法是为HA设置一对第4层负载均衡器,它们通过服务器场进行SSL解密,然后转到第7层负载均衡器的场,然后最后到networking服务器。 (见: http : //1wt.eu/articles/2006_lb/index_09.html ) 过去我使用过HAProxy,所以我尝试了一下这样的设置。 基本上我有HAProxy in TCP mode => STunnel => HAProxy in HTTP mode => Apache 。 当我这样做时,可用于apache的客户端IP是第二个HAProxy服务器的IP。 我可以通过让STunnel添加一个X-Forwarded-For头来稍微改进,但是只给了我第一个HAProxy服务器的IP地址。 我无法find让Apache知道原始客户端IP地址的方法。 根据我读过的文档,我不认为HAProxy能够在tcp模式下通过原始客户端的IP地址。 那是对的吗? 如果是这样,是否有任何开源软件负载平衡器可以做到这一点? 如果没有,是否有任何商业/硬件负载平衡器可以? 我想我也应该注意到,这个负载均衡器并不严格地需要成为第4层负载均衡器。 我只需要能够通过SSLstream量到STunnel(或任何我最终使用的SSL解密)。 作为一个侧面说明,我试图设置它没有第4层负载平衡器(即STunnel是链的第一部分)。 这解决了客户端IP问题。 但是,正如上面的文章所预测的,STunnel是瓶颈。 它开始丢失每秒500到600个请求的请求。 而且,当然,这不能通过增加更多的框来扩展(同时维护HA)。 根据我给出的要求,这个应用程序应该能够处理每秒1000-5000个请求的峰值stream量。

Nginx&Httpsredirect

我有一个www.domain.com的SSL证书。 很显然,如果有人去https://domain.com,他们会从浏览器中得到关于证书不匹配的错误。 是否可以设置Web服务器将请求从https:// domain.comredirect到https:// www.domain.com? 在nginx中,我一直在尝试这个变体,但没有用: server { listen 443; server_name www.domain.com domain.com; if ($host !~ www.domain.com) { rewrite ^/(.*) https://www.domain.com/$1 permanent; } } 编辑:只是澄清,如果任何人通过普通的http点击网站,这不是一个问题,我已经可以redirect到https:// www.domain.com,这是正确的。 只有他们手动键入https:// domain.com,我不知道如何做redirect。