Questions tagged «mod-ssl»

鉴于越来越多的安全问题，例如新发布的针对SSL / TLS的浏览器漏洞（BEAST），我很好奇我们如何才能通过OpenSSL和Apache启用TLS 1.1和1.2，以确保我们不会受到攻击对这种威胁向量。

33 apache-2.2  security  openssl  mod-ssl 

我正在为配置SSL Apache 2。我的系统是Ubuntu Server 10.04 LTS。我的vhost配置中具有与SSL相关的以下设置： SSLEngine On SSLCertificateKeyFile /etc/ssl/private/server.insecure.key SSLCertificateFile /etc/ssl/certs/portal.selfsigned.crt （旁注：我正在使用.insecure密钥文件，因为该文件没有密码短语保护，并且我想清楚地看到它是不安全的密钥文件） 因此，当我重新启动apache时，我收到以下消息： Syntax error on line 39 of /etc/apache2/sites-enabled/500-portal-https: SSLCertificateKeyFile: file '/etc/ssl/private/server.insecure.key' does not exist or is empty Error in syntax. Not restarting. 但是文件在那里，并且不为空（实际上它包含一个私钥）： sudo ls -l /etc/ssl/private/server.insecure.key -rw-r----- 1 root www-data 887 2012-08-07 15:14 /etc/ssl/private/server.insecure.key sudo ls …

33 apache-2.2  ubuntu  ssl  ssl-certificate  mod-ssl 

我在2个apache服务器之前使用配置为负载均衡器的apache（2.4）服务器。当我在负载均衡器和后端之间使用http连接时，它工作正常，但是使用https不起作用。负载均衡器的配置： SSLProxyEngine on SSLProxyVerify none SSLProxyCheckPeerCN off <Proxy balancer://testcluster> BalancerMember https://[Backend1]:443/test BalancerMember https://[Backend2]:443/test </Proxy> ProxyPass /test balancer://testcluster 后端目前仅具有自签名证书，这就是禁用证书验证的原因。 负载平衡器上的错误日志包含以下内容： [proxy:error] [pid 31202:tid 140325875570432] (502)Unknown error 502: [client ...] AH01084: pass request body failed to [Backend1]:443 ([Backend1]) [proxy:error] [pid 31202:tid 140325875570432] [client ...] AH00898: Error during SSL Handshake with remote server …

30 reverse-proxy  apache-2.4  mod-ssl  apache-2.2 

在ubuntu上的Apache2中，我的站点监听80，现在我想添加SSL。有没有一种方法可以为端口443启用SSLEngine，所以我不必复制整个VirtualHost块？ 当我这样做时： Listen 80 Listen 443 NameVirtualHost * <VirtualHost *> SSLEngine On ... a bunch more lines... </VirtualHost> 它正在为端口80打开SSLEngine。是否可以仅使用一个VirtualHost块，而仅为端口443打开SSLEngine？所以我可以做这样的事情吗？ Listen 80 Listen 443 NameVirtualHost * <VirtualHost *> <IfPort 443> SSLEngine On </IfPort> ... a bunch of lines I don't want to copy into another VirutalHost block... </VirtualHost>

18 apache-2.2  mod-ssl 

我正在尝试通过我网站上的mod_ssl模块支持HTTPS流量。我正在为服务器运行Amazon EC2实例。我已经安装并配置了基本的LAMP软件包。然而，当我去把在SSL特定的命令在我的Apache配置文件（即SSLEngine，SSLCertificateFile等），它吐出了一个错误，说我有一个语法错误或没有加载模块。 我的下一步是尝试$ sudo yum install mod_ssl。但是，yum回来并说：“正在处理冲突...错误：httpd24-tools与httpd-tools冲突”。因此，我发现mod_ssl包含在httpd-tools软件包中。然后我跑了，$ sudo yum install httpd24-tools但回来了，并告诉我我已经安装了该软件包。 现在如何安装httpd-tools软件包，而系统中未加载mod_ssl？httpd-tools软件包中不包含mod_ssl吗？我创建了一个测试php文件<?php echo phpinfo(); ?>只是为了确保。我的怀疑得到了证实-phpinfo中apache2handler加载的模块表下未列出'mod_ssl'。 因此，我不确定如何使用Amazon Linux AMI加载/安装/配置mod_ssl。任何帮助，将不胜感激。这是我目前的规格： 亚马逊Linux AMI 2012.09 阿帕奇2.4 PHP 5.4 运行此命令来设置服务器： $ sudo yum install httpd24 php54 php54-devel php54-mysql php54-common php54-gd php54-xml php54-mbstring php54-mcrypt php54-pecl-apc mysql-server mod_ssl openssl httpd54-devel mysql libjpeg libpng phpmyadmin

15 apache-2.2  amazon-ec2  https  mod-ssl  configuration 

我们有来自网络解决方案的网站SSL证书。将Apache / OpenSSL升级到版本2.4.9之后，现在启动HTTPD时会收到以下警告： AH02559: The SSLCertificateChainFile directive (/etc/httpd/conf.d/ssl.conf:105) is deprecated, SSLCertificateFile should be used instead 根据Apache的mod_ssl手册，情况确实如此： 不推荐使用SSLCertificateChainFile 当扩展SSLCertificateFile以便从服务器证书文件中加载中间CA证书时，SSLCertificateChainFile在2.4.8版中已过时。 查找SSLCertificateFile的文档，看来我只需要用SSLCertificateFile替换对SSLCertificateChainFile的调用即可。 此更改使我的ssl.conf与此不同： SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt SSLCertificateKeyFile /etc/ssl/server.key SSLCertificateChainFile /etc/ssl/Apache_Plesk_Install.txt 对此： SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt SSLCertificateFile /etc/ssl/Apache_Plesk_Install.txt SSLCertificateKeyFile /etc/ssl/server.key ...但这是行不通的。Apache只是拒绝启动而没有任何错误消息。 我不确定在这里还能尝试什么，因为我一般都不熟悉mod_ssl或SSL证书。我确实记得我们需要为Internet Explorer 添加Apache_Plesk_Install.txt文件，以便在我们的网站上没有SSL警告，但是除此之外，我没有任何线索。 任何帮助将不胜感激。谢谢。

14 ssl-certificate  apache-2.4  mod-ssl  certificate 

我了解了针对TLS压缩的CRIME攻击（CVE-2012-4929，CRIME是针对ssl＆tls的BEAST攻击的继承者），并且我想通过禁用SSL压缩来保护我的Web服务器免受此攻击，该SSL压缩已添加到Apache 2.2.22（请参见Bug 53219）。 我正在运行httpd-2.2.15附带的Scientific Linux 6.3。httpd 2.2上游版本的安全修补程序应反向移植到该版本。 # rpm -q httpd httpd-2.2.15-15.sl6.1.x86_64 # httpd -V Server version: Apache/2.2.15 (Unix) Server built: Feb 14 2012 09:47:14 Server's Module Magic Number: 20051115:24 Server loaded: APR 1.3.9, APR-Util 1.3.9 Compiled using: APR 1.3.9, APR-Util 1.3.9 我在配置中尝试关闭SSLCompression，但是导致出现以下错误消息： # /etc/init.d/httpd restart Stopping httpd: [ OK …

14 apache-2.2  security  tls  mod-ssl 

我有一台运行Apache 2.2.22和mod_ssl和OpenSSL v1.0.1的Ubuntu 12.04.2 LTS服务器。 在我的vhosts配置中（其中所有其他行为均与我期望的一样），我有SSLProtocol一行-all +SSLv3。 使用该配置，启用了TLS 1.1和1.2并可以正常工作-这与我的直觉相反，因为我希望在该配置下仅启用S​​SLv3。 我可以通过启用/禁用TLSv1 -/+TSLv1，它可以按预期工作。但是+/-TLSv1.1，+/-TLSv1.2它们也不是有效的配置选项-所以我不能那样禁用它们。 至于我为什么要这样做-我正在处理一个第三方应用程序（我无法控制），该应用程序在启用TLS的服务器上有一些错误行为，因此我需要完全禁用它以继续前进。

13 apache-2.2  ssl  openssl  tls  mod-ssl 

我正在Windows Server 2003 R2 32位（加上PHP 5.4.5和OpenSSL 1.0.1c，但是我认为没有关系）上运行（实际上是在尝试运行）Apache 2.4.2，并且我正在错误日志中的以下行： [Sun Aug 05 11:52:39.546875 2012] [ssl:warn] [pid 5712:tid 348] AH01873: Init: Session Cache is not configured [hint: SSLSessionCache] 尝试连接https://localhost/时出现102-连接被拒绝错误。 使我感到困惑的SSLSessionCache 是配置了以下内容： SSLSessionCache "shmcb:C:/Program Files/Apache Software Foundation/Apache2.4/logs/ssl_scache(512000)" 这与我对Apache 2.2.17的配置文件完全相同（除了/Apache2.2而不是2.4），该文件运行得很好。使用mod_status，我没有获得有关“ SSL / TLS会话缓存状态”的信息，而获得了Apache 2.2的信息。 我认为两个httpd-ssl.conf文件之间并没有很多区别，主要是路径之间的区别，但是看来它们没问题。 端口80上的虚拟服务器运行正常。 我想念什么？ 编辑：对于那些想知道的人，这不是机器无法解决时有人收到的误导性警告ServerName。Apache 2.2没问题，我什至用刷新了DNS缓存netstat /flushdns。

12 apache-2.2  windows  windows-server-2003  mod-ssl 

用于SSLCertificateFile和SSLCertificateKeyFile指令的Apache mod_ssl文档指出，强烈建议不要在同一文件中存储私钥和SSL证书。 现在，显然应该保护私钥文件的安全，但是假设是这种情况，将证书存储在同一文件中是否有特定的风险？我很想知道为什么支持这种行为，但是强烈建议不要进行解释。

11 apache-2.2  ssl  web-server  mod-ssl 

使用mod_ssl时是否可以禁用Apache 2.2.x中的SSL / TLS压缩？ 如果不是，人们在做什么以减轻旧浏览器中的CRIME / BEAST的影响？ 相关链接： https://issues.apache.org/bugzilla/show_bug.cgi?id=53219 https://threatpost.com/zh_CN/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512 /security/19911/crime-how-to-beat-the-beast-successor

10 apache-2.2  security  ssl  tls  mod-ssl 

我正在尝试使用mod_proxy SSLCACertificatePath指令，但对于如何正确使用它有点困惑。 这是两个解释SSLCACertificatePath指令的链接： http : //httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcacertificatepath http://www.modssl.org/docs/2.8/ssl_reference.html#ToC13 我对如何创建哈希符号链接并不满意。第二个链接指出要使用apache make文件，但是我对那里所说的完全一无所知。 任何友好的指导将不胜感激。 感谢您的时间。 更新 我的问题的目的是弄清楚如何处理多个CA来验证最终用户客户端证书。我没有意识到可以在一个文件中使用多个pem证书，就我而言，这显然是前进的正确方法。

9 apache-2.2  ssl  mod-ssl 

我刚刚在https://www.ssllabs.com/上测试了我的网站，它说SSLv2是不安全的，我应该与弱密码套件一起禁用它。 如何禁用它？我尝试了以下操作，但不起作用。 /etc/httpd/conf.d/ssl.conf通过ftp 进入。添加 SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT 通过腻子连接到服务器并发出service httpd restart命令。 但是它在网站上仍然显示不安全。我该如何解决？我的服务器是Plesk 10.3.1 CentOS。同一台服务器上有3-4个站点。

8 apache-2.2  centos  ssl  mod-ssl  pci-dss