Questions tagged «ssl-certificate»

我们有来自网络解决方案的网站SSL证书。将Apache / OpenSSL升级到版本2.4.9之后，现在启动HTTPD时会收到以下警告： AH02559: The SSLCertificateChainFile directive (/etc/httpd/conf.d/ssl.conf:105) is deprecated, SSLCertificateFile should be used instead 根据Apache的mod_ssl手册，情况确实如此： 不推荐使用SSLCertificateChainFile 当扩展SSLCertificateFile以便从服务器证书文件中加载中间CA证书时，SSLCertificateChainFile在2.4.8版中已过时。 查找SSLCertificateFile的文档，看来我只需要用SSLCertificateFile替换对SSLCertificateChainFile的调用即可。 此更改使我的ssl.conf与此不同： SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt SSLCertificateKeyFile /etc/ssl/server.key SSLCertificateChainFile /etc/ssl/Apache_Plesk_Install.txt 对此： SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt SSLCertificateFile /etc/ssl/Apache_Plesk_Install.txt SSLCertificateKeyFile /etc/ssl/server.key ...但这是行不通的。Apache只是拒绝启动而没有任何错误消息。 我不确定在这里还能尝试什么，因为我一般都不熟悉mod_ssl或SSL证书。我确实记得我们需要为Internet Explorer 添加Apache_Plesk_Install.txt文件，以便在我们的网站上没有SSL警告，但是除此之外，我没有任何线索。 任何帮助将不胜感激。谢谢。

14 ssl-certificate  apache-2.4  mod-ssl  certificate 

我刚刚购买了SSL证书，这是我得到的所有证书文件： Root CA Certificate - xxCARoot.crt Intermediate CA Certificate - x1.crt Intermediate CA Certificate - x2.crt Intermediate CA Certificate - x3.crt Your EssentialSSL Wildcard Certificate - mydomain.crt 现在在apache上安装我的证书： 我是否需要公开根CA证书？ 由于apache只允许1个SSLCertificateChainFile指令，我是否应该创建中间CA的捆绑文件？ 如果是这样的话。捆绑文件中的证书顺序将被颠倒为： 猫x3.crt x2.crt x1.crt> myca.bunndle 如果必须添加根证书，它是捆绑包中的最后一个（z1之后）还是第一个（x3之前）（假设顺序正确）？

14 apache-2.2  security  ssl  ssl-certificate 

我有两个主机名，它们共享要通过HTTP服务的相同域名。我有一个通配符SSL证书，并创建了两个vhost配置： 主持人A listen 127.0.0.1:443 ssl; server_name a.example.com; root /data/httpd/a.example.com; ssl_certificate /etc/ssl/wildcard.cer; ssl_certificate_key /etc/ssl/wildcard.key; 主机B listen 127.0.0.1:443 ssl; server_name b.example.com; root /data/httpd/b.example.com; ssl_certificate /etc/ssl/wildcard.cer; ssl_certificate_key /etc/ssl/wildcard.key; 但是，我为任一主机名使用了相同的虚拟主机。

14 nginx  ssl  virtualhost  ssl-certificate  https 

我有一个奇怪的问题。将我的LAMP开发机（Debian）更新为PHP7。之后，我无法再通过Curl连接到特定的TLS加密API。 有问题的SSL证书由thawte签名。 curl https://example.com 给我 curl: (60) SSL certificate problem: unable to get local issuer certificate 而 curl https://thawte.com 当然，这也是Thawte作品签名的。 我可以在其他计算机上通过HTTPS访问API站点，例如通过curl和浏览器在我的桌面上。因此该证书绝对有效。SSL Labs评级为A。 从我的开发机到其他SSL加密站点的任何其他Curl请求都可以工作。我的根证书是最新的。为了验证，我跑了update-ca-certificates。我什至将http://curl.haxx.se/ca/cacert.pem下载到/ etc / ssl / certs并运行c_rehash。 还是一样的错误。 有什么方法可以调试验证过程并查看正在寻找但找不到的本地颁发者证书curl（或openssl），即文件名？ 更新 curl -vs https://example.com 告诉我（IP +域名已匿名） * Hostname was NOT found in DNS cache * Trying 192.0.2.1... * Connected to …

14 ssl  ssl-certificate  openssl  tls  curl 

我们使用Nginx作为Web应用程序服务器的反向代理。Nginx处理我们的SSL等，但否则仅充当反向代理。 我们想要要求有效的客户证书，/jsonrpc但在其他任何地方都不需要。我们发现的最好方法是 server { listen *:443 ssl; ssl on; ssl_certificate /etc/nginx/server.crt; ssl_certificate_key /etc/nginx/server.key; ssl_client_certificate /etc/nginx/client-ca.crt; ssl_verify_client optional; location /jsonrpc { if ($ssl_client_verify != "SUCCESS") { return 403; } proxy_pass http://localhost:8282/jsonrpc-api; proxy_read_timeout 90; proxy_redirect http://localhost/ $scheme://$host:$server_port/; } } 这对于大多数浏览器都可以正常工作，但是某些浏览器（例如Safari和Android上的Chrome浏览器）最终会提示用户提供客户端证书，无论它们在网站上的哪个位置。 我们如何让Nginx接受但并不真正在乎我们/jsonrpc所在地以外的所有地方的客户证书？

14 nginx  ssl-certificate 

我有两个服务器，两个都有nginx。服务器A正在侦听443，并且配置为使用客户端SSL证书进行身份验证。 服务器B有一个内部进程，需要通过nginx与服务器A进行通信。 我想在服务器B上配置Nginx，该服务器将侦听8080（不加密，因为它全部是本地通信），并将proxy_pass传递到ServerA：443。 问题是如何注入客户证书？我没有找到可以做到这一点的proxy_xxxx函数。 我确实知道如何使socat与之等效，但是我的要求是使用nginx。

14 nginx  proxy  ssl-certificate 

有关域example.com的SSL证书，一些测试告诉我，链是不完整的，因为火狐保持其自身存储的证书，它可能会在Mozilla（失败1，2，3）。其他人告诉我这很好，Firefox 36也一样，告诉我cert链很好。 更新：我在Windows XP和MacOS X Snow Leopard上的Opera，Safari，Chrome和IE上进行了测试，它们都可以正常工作。它仅在两个操作系统上的Firefox <36上均失败。我没有在Linux上进行测试的权限，但是对于此网站，它不到1％的访问者，并且大多数可能是机器人。因此，这回答了原始问题“此设置是否会在Mozilla Firefox中弹出警告”和“此SSL证书链是否断开？”。 因此，问题是我如何找出需要在ssl.ca文件中放置的证书，以便Apache可以为它们提供证书，从而使Firefox <36不再受阻？ PS：作为旁注，我用来测试证书的Firefox 36是全新安装的。它没有机会不会抱怨，因为它在上次访问使用相同链的网站时下载了中间证书。

13 ssl  ssl-certificate  https  certificate  certificate-authority 

我在同一个IP上有一个通配符SSL证书和几个子域。现在，我希望我的nginx只处理提到的服务器名称，并断开与其他服务器的连接，以便看起来好像 nginx未运行未列出的服务器名称（不响应，拒绝，无效，没有单个字节作为响应）。我做以下 ssl_certificate tls/domain.crt; ssl_certificate_key tls/domain.key; server { listen 1.2.3.4:443 ssl; server_name validname.domain.com; // } server { listen 1.2.3.4:443 ssl; server_name _; // deny all; // return 444; // return 404; //location { // deny all; //} } 我已经尝试了最后一个服务器块中的几乎所有内容，但没有成功。我从已知的虚拟服务器收到有效响应或错误代码。请帮忙。

13 nginx  ssl  virtualhost  ssl-certificate 

少数计算机（但不是大多数）正在拒绝我的网络服务器的SSL证书。问题似乎是某些计算机拒绝了CA证书。未完全更新时，问题似乎在Mac OS X 10.6上显现。 根据http://www.sslshopper.com/index.php?q=ssl-checker.html#hostname=beta.asana.com的介绍 -没问题。 根据http://certlogik.com/sslchecker/，没有中间证书被发送出去。 我的证书来自Starfield Technologies，我在sf_bundle.crt这里使用：certs.godaddy.com/anonymous/repository.seam 我正在通过stunnel在服务器上处理SSL，内容如下stunnel.conf： cert = $CODEZ/admin/production/proxy/asana.pem CAfile = $CODEZ/admin/production/proxy/sf_bundle.crt pid = client = no [<forwarded port>] accept = 443 connect = 8443 有什么想法我可能做错了吗？

13 ssl  ssl-certificate  stunnel 

TLS是SSL的“新”版本吗？它增加了哪些功能，或解决了安全问题？ 任何支持SSL的东西都可以支持TLS吗？进行切换会涉及什么？开关值得吗？ 为什么通过“机会性TLS”和VPN（通常称为SSL VPN）发送电子邮件？技术上是否有所不同，也许会为“ TLS VPN”产品线创造空间？

13 vpn  ssl  ssl-certificate  tls 

Windows Server 2008 R2，IIS7。我们有来自Go Daddy的SSL证书。这是一个通配符证书，因此可以跨子域（例如* .domain.com）使用。我按照http://support.godaddy.com/help/article/4801/installing-an-ssl-certificate-in-microsoft-iis-7中的说明安装证书。我进入IIS步骤，在其中： 在左窗格中选择服务器后，单击“安全证书”功能 点击“完成证书申请” 导航到文件系统上的.crt文件 给它起一个“友好的”名称，单击完成 该证书现在在“服务器证书”面板的主窗格中列出。但是，如果我刷新页面，或者导航离开并返回，它就消失了。尝试将网站绑定到https时，该证书未列为可行的绑定。 这似乎是一个非常简单的过程，但显然我在这里遗漏了一些东西。有任何想法吗？ 编辑：我发现了这篇文章，这似乎意味着您尝试使用中间证书时，会发生此行为。当我从GoDaddy下载文件时，zip文件中有2个文件。1是gd_iis_intermediates，另一个是为域命名的。我安装了域一（扩展名.crt）。似乎没有其他选择-从IIS安装另一个选项会出现错误“无法找到与此证书文件关联的证书请求。必须在创建请求的计算机上完成证书请求”。 话虽如此，但似乎没有其他我可以使用的下载。 在注释中（以及在谷歌搜索后的其他地方）中还提到将证书“导出”为pfx，然后安装该证书。但是我不知道如何导出它-即使通过certmgr.msc。 我还应该提到此证书已安装在另一台运行IIS6的计算机上（此IIS7安装旨在进行故障转移，以及将IIS6升级到IIS7时的主要操作）。但是我也不知道如何从那台计算机导出它。

13 windows-server-2008  iis-7  ssl  ssl-certificate 

我们正在使用客户端证书来认证我们的一位客户。 我们的设置是这样的：在Django应用程序的前面有nginx。在我们的nginx配置中，我们具有必需的参数，以使实际的客户端证书验证有效（ssl_client_certificate，ssl_verify_client等等），并且 uwsgi_param X-Client-Verify $ssl_client_verify; uwsgi_param X-Client-DN $ssl_client_s_dn; uwsgi_param X-SSL-Issuer $ssl_client_i_dn; 这意味着我们将这些变量的值输入到我们的Django应用中。然后，Django应用程序使用此信息来识别正在连接的用户并对其进行授权。 我们已经成功使用了几个月，没有任何问题，突然之间我们开始收到有关人们无法使用证书登录的报告。原来，$ssl_client_s_dn和$ssl_client_i_dn值的格式已从斜杠分隔的格式进行了更改： /C=SE/O=Some organziation/CN=Some CA 转换为逗号分隔的格式： CN=Some CA,O=Some organization,C=SE 解决这个问题很容易，但是我不明白为什么。所以我的问题确实是： 价值$ssl_client_s_dn从何而来？它是由nginx设置的吗？客户端？ 此值可以有格式的任何文档/规范，并且它有名称吗？

13 nginx  ssl  ssl-certificate 

我有一台IIS 8（win 2012 r2）服务器，我想将同一网站绑定到2个不同的域和2个不同的证书。 我不能使用通配符，因为域是不同的FQDN。 如果我为https和端口443添加2个绑定，则无法选择2个不同的证书（当我更改一个绑定时，它将更改另一个）。 有没有一种方法可以解决此问题，而无需使用不同的端口或拆分为2个不同的网站？ 谢谢！

13 ssl  ssl-certificate  iis-8  bindings 

我想你们当中许多人实际上已经听说过Google的“证书透明性”计划。现在，该初始化涉及一个CA颁发的所有证书的公共日志。由于这是一项繁重的工作，因此并非所有的CA都已设置好它。例如，StartCom已经说过很难从他们的角度进行设置，而正确的设置将花费几个月的时间。同时，Chrome将所有EV证书“降级”为“标准证书”。 现在，有人说可以通过三种方式提供必要的记录以防止降级： x509v3扩展，显然仅适用于CA TLS扩展 OCSP装订 现在，我认为第二个和第三个需要（不是？）与发行CA的交互。 那么问题来了： 如果我的CA不支持，我可以通过我的apache网络服务器设置证书透明度支持吗？

12 debian  ssl-certificate  apache-2.4  certificate-authority 

我有一个第三方颁发的证书，需要确保它在给定域中的所有目标上运行。有没有办法确保通过DSC安装此证书？

12 powershell  ssl-certificate  dsc