Questions tagged «ssl»

少数计算机（但不是大多数）正在拒绝我的网络服务器的SSL证书。问题似乎是某些计算机拒绝了CA证书。未完全更新时，问题似乎在Mac OS X 10.6上显现。 根据http://www.sslshopper.com/index.php?q=ssl-checker.html#hostname=beta.asana.com的介绍 -没问题。 根据http://certlogik.com/sslchecker/，没有中间证书被发送出去。 我的证书来自Starfield Technologies，我在sf_bundle.crt这里使用：certs.godaddy.com/anonymous/repository.seam 我正在通过stunnel在服务器上处理SSL，内容如下stunnel.conf： cert = $CODEZ/admin/production/proxy/asana.pem CAfile = $CODEZ/admin/production/proxy/sf_bundle.crt pid = client = no [<forwarded port>] accept = 443 connect = 8443 有什么想法我可能做错了吗？

13 ssl  ssl-certificate  stunnel 

TLS是SSL的“新”版本吗？它增加了哪些功能，或解决了安全问题？ 任何支持SSL的东西都可以支持TLS吗？进行切换会涉及什么？开关值得吗？ 为什么通过“机会性TLS”和VPN（通常称为SSL VPN）发送电子邮件？技术上是否有所不同，也许会为“ TLS VPN”产品线创造空间？

13 vpn  ssl  ssl-certificate  tls 

Windows Server 2008 R2，IIS7。我们有来自Go Daddy的SSL证书。这是一个通配符证书，因此可以跨子域（例如* .domain.com）使用。我按照http://support.godaddy.com/help/article/4801/installing-an-ssl-certificate-in-microsoft-iis-7中的说明安装证书。我进入IIS步骤，在其中： 在左窗格中选择服务器后，单击“安全证书”功能 点击“完成证书申请” 导航到文件系统上的.crt文件 给它起一个“友好的”名称，单击完成 该证书现在在“服务器证书”面板的主窗格中列出。但是，如果我刷新页面，或者导航离开并返回，它就消失了。尝试将网站绑定到https时，该证书未列为可行的绑定。 这似乎是一个非常简单的过程，但显然我在这里遗漏了一些东西。有任何想法吗？ 编辑：我发现了这篇文章，这似乎意味着您尝试使用中间证书时，会发生此行为。当我从GoDaddy下载文件时，zip文件中有2个文件。1是gd_iis_intermediates，另一个是为域命名的。我安装了域一（扩展名.crt）。似乎没有其他选择-从IIS安装另一个选项会出现错误“无法找到与此证书文件关联的证书请求。必须在创建请求的计算机上完成证书请求”。 话虽如此，但似乎没有其他我可以使用的下载。 在注释中（以及在谷歌搜索后的其他地方）中还提到将证书“导出”为pfx，然后安装该证书。但是我不知道如何导出它-即使通过certmgr.msc。 我还应该提到此证书已安装在另一台运行IIS6的计算机上（此IIS7安装旨在进行故障转移，以及将IIS6升级到IIS7时的主要操作）。但是我也不知道如何从那台计算机导出它。

13 windows-server-2008  iis-7  ssl  ssl-certificate 

我已将Web服务器设置为使用SSL（在将WAMP移至公共服务器之前，将WAMP用于我的登台场景）。该站点的目的已成功实现，我可以使用HTTPS协议从远程计算机使用该站点。 我的一位用户（测试人员）想到的一个问题是关于POST数据。在他的测试场景中，他在我们潜在客户之一的现场，访问了他们非常挑剔的公司防火墙后面的站点（我们已经弄清楚了该站点如何应用于其AUP，并且我们是干净的）。他正在使用Firebug在FireFox中运行该站点，以监视POST和GET数据。问题在这里： 在他的Firebug窗口中，以纯文本形式返回XMLHTTPRequest的POST和响应。那是因为他是发起安全连接的人吗？POST /响应数据会显示给网络管理员还是日志？ 请注意，此处的目的不是欺骗管理员或规避政策；这是一款适用于需要传输敏感数据的各个地点的现场人员的应用程序。使用情况将与我们遇到的每个网络基础结构进行协调。

13 ssl  https  encryption 

我的SSL证书之一（仅简单域验证）即将在Windows 2003 IIS 7.0服务器上到期。 我从另一个供应商那里得到了更好的报价，最初签发我的证书的家伙不想谈判更低的价格。 无论如何-通过IIS中的证书向导，我可以选择“更新”或“卸载”，然后安装新证书。 所以-我可以使用“更新”选项来创建证书申请并将其传递给新的供应商，还是需要从“新”申请开始？对于新供应商而言，先前的证书是由另一个签名者颁发的，这有关系吗？ 问题是，由于删除了旧证书并创建了新的CSR，我不想停止服务器（至少是安全部分），然后等待新证书安装。 或者，是否可以选择在不删除旧证书的情况下准备新的CSR？

13 iis  ssl  certificate  renew 

您可以使用* .domain.com作为名称来制作SSL证书。 但不幸的是，这并不涵盖https://domain.com 有没有解决办法？

13 ssl  certificate  openssl  wildcard 

我在使用keytoolJava 1.7中的Java 实用程序生成带有主题备用名的密钥对时遇到问题。我试图按照此处的说明进行操作。 我正在使用的命令示例如下（该示例已经过测试）： keytool -keystore c:\temp\keystore.jks -storepass changeme -keypass changeme -alias spam -genkeypair -keysize 2048 -keyalg RSA -dname "CN=spam.example.com, OU=Spam NA, O=Spam Inc, L=Anywhere, S=State, C=US" -ext san=dns:spam,ip:192.168.0.1 然后，我使用以下命令生成CSR： keytool -keystore c:\temp\keystore.jks -storepass changeme -alias spam -certreq -file c:\temp\spam.csr 生成以下证书请求： -----BEGIN NEW CERTIFICATE REQUEST----- MIIC5TCCAc0CAQAwcDELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVN0YXRlMREwDwYDVQQHEwhBbnl3 aGVyZTERMA8GA1UEChMIU3BhbSBJbmMxEDAOBgNVBAsTB1NwYW0gTkExGTAXBgNVBAMTEHNwYW0u ZXhhbXBsZS5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCExCFepag4KH+j8xgR BjI58hOEiFuSrkgbL5/1steru3+FwDb98R8XO90kKreq/Qt7s/oHbTpFOwotdkGVxA2x44/R5OYr Qdfk3v32ypJTxms/8tu0Zi9wbH2ruA/h5AhtZ9TV/xLPFSe5eFvN0pUl90p+9zfd0ZCmPQ69k3Lb …

13 ssl  keytool  certificate 

我有一台运行Apache 2.2.22和mod_ssl和OpenSSL v1.0.1的Ubuntu 12.04.2 LTS服务器。 在我的vhosts配置中（其中所有其他行为均与我期望的一样），我有SSLProtocol一行-all +SSLv3。 使用该配置，启用了TLS 1.1和1.2并可以正常工作-这与我的直觉相反，因为我希望在该配置下仅启用S​​SLv3。 我可以通过启用/禁用TLSv1 -/+TSLv1，它可以按预期工作。但是+/-TLSv1.1，+/-TLSv1.2它们也不是有效的配置选项-所以我不能那样禁用它们。 至于我为什么要这样做-我正在处理一个第三方应用程序（我无法控制），该应用程序在启用TLS的服务器上有一些错误行为，因此我需要完全禁用它以继续前进。

13 apache-2.2  ssl  openssl  tls  mod-ssl 

我们正在使用客户端证书来认证我们的一位客户。 我们的设置是这样的：在Django应用程序的前面有nginx。在我们的nginx配置中，我们具有必需的参数，以使实际的客户端证书验证有效（ssl_client_certificate，ssl_verify_client等等），并且 uwsgi_param X-Client-Verify $ssl_client_verify; uwsgi_param X-Client-DN $ssl_client_s_dn; uwsgi_param X-SSL-Issuer $ssl_client_i_dn; 这意味着我们将这些变量的值输入到我们的Django应用中。然后，Django应用程序使用此信息来识别正在连接的用户并对其进行授权。 我们已经成功使用了几个月，没有任何问题，突然之间我们开始收到有关人们无法使用证书登录的报告。原来，$ssl_client_s_dn和$ssl_client_i_dn值的格式已从斜杠分隔的格式进行了更改： /C=SE/O=Some organziation/CN=Some CA 转换为逗号分隔的格式： CN=Some CA,O=Some organization,C=SE 解决这个问题很容易，但是我不明白为什么。所以我的问题确实是： 价值$ssl_client_s_dn从何而来？它是由nginx设置的吗？客户端？ 此值可以有格式的任何文档/规范，并且它有名称吗？

13 nginx  ssl  ssl-certificate 

我刚刚为我们的域安装了SSL证书，现在当我尝试使用https浏览到站点时，在本地和客户端都收到FF和chrome中的连接重置错误。我仍然可以在没有SSL的情况下访问网站（使用http）。 如果有什么不同，我为另一个网站安装了另一个SSL证书，但它绑定到另一个IP。 我们在Win2K8上运行IIS7 编辑：对于不支持https的站点：我也无法通过其IP地址访问此站点。我访问它的唯一方法是通过常规http并使用域名。

13 iis-7  ssl 

我有一个很大的VirtualHost定义，我不想重复它，因此该站点也可以通过HTTPS运行。 这是我想做的： <VirtualHost *> ServerName example.com <If port=443> SSLEngine on SSLCertificateFile ... SSLCertificateKeyFile ... SSLCertificateChainFile ... </If> (other config) </VirtualHost> 有什么办法可以做到这一点？ 我是否缺少不重复配置的其他方法？

13 apache-2.2  ssl  virtualhost 

我有一台IIS 8（win 2012 r2）服务器，我想将同一网站绑定到2个不同的域和2个不同的证书。 我不能使用通配符，因为域是不同的FQDN。 如果我为https和端口443添加2个绑定，则无法选择2个不同的证书（当我更改一个绑定时，它将更改另一个）。 有没有一种方法可以解决此问题，而无需使用不同的端口或拆分为2个不同的网站？ 谢谢！

13 ssl  ssl-certificate  iis-8  bindings 

我使用的供应商的产品必须在Windows上使用Apache。 我们有自己的CA。 出于命名目的： AppServer-Server2012r2-Apache 2.4 OldCertsha1-Server2012r2 NewCertsha2-Server2012r2 我使用以下两个命令在AppServer上创建了CSR。 genrsa –des3 –out name.sub.domain.com.key 2048 req –new –key name.sub.domain.com.key –out name.sub.domain.com.csr 一切都很好 req -noout -text -in name.sub.domain.com.csr Certificate Request: Data: Version: 0 (0x0) Subject: C=xx, ST=xx, L=xx, O=xx, OU=xx, CN=name.sub.domain.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 …

12 windows  ssl  apache-2.4 

我们有一个应用程序，长话短说，必须以这种方式进行设置，以确保应用程序的其余部分不会失败。 我们有一个域名 https：// server01 / AppNet 在IIS中，将443绑定设置为使用具有以下内容的证书： CN = server02 当我点击页面 https：// server01 / AppNet 我收到SSL警告 我发现这篇文章 /superuser/522123/how-do-i-get-my-browser-to-ignore-certificate-on-trusted-domain 但要避免涉及以下内容： “不幸的是，它也将阻止浏览器抱怨您访问的每个其他站点上的地址不匹配。这不理想，但这是您使用IE时要做出的一种权衡。” 我也遵循了以下概述的步骤，但是仍然出现错误 修复1 –安装证书 右键单击“ Internet Explorer”图标，然后选择“以管理员身份运行”。 访问该网站，然后选择“继续使用该网站（不推荐）”选项。 单击地址栏中显示“证书错误”的位置，然后选择“查看证书”。 选择“安装证书...”。 选择“下一步”。 选择“将所有证书放入以下存储区”选项。 选择“浏览...”。 选择“受信任的根证书颁发机构”，然后选择“确定”。 出现安全警告时，选择“是”。 在“导入成功”消息上选择“确定” 在“证书”框中选择“确定”。 这仅适用于内部网络 我可以添加到IIS吗？ 有什么我可以添加到DNS的内容吗？ 还有其他解决方法吗？

12 ssl  iis  internal-dns 

我想对我们网站的SSL密钥保密。它存储在2个USB记忆棒中，一个保存在保险箱中，另一个保存在我的手中。然后，我是唯一将其应用于Web服务器以使其完全安全的人。 除了... 至少在IIS上，您可以导出密钥。这样，作为管理员的任何人都可以获取密钥的副本。有没有办法解决？或者根据定义，所有管理员都具有对所有密钥的完全访问权限吗？ 更新： 我确实有完全信任的系统管理员。导致这种情况的原因之一是他们辞职了（他们到我们公司通勤了一个小时，到新公司通勤了5分钟）。尽管我信任这个人，就像我们在有人离开时禁用其Active Directory帐户一样，我认为我们应该有一种方法来确保他们不会保留使用我们SSL的能力。 最让我震惊的是，如果我是唯一拥有它的人。我们的证书将于1月到期，因此如果可以的话，现在是时候改变惯例了。根据答案，看来我们做不到。 因此，这引出了一个新问题-有权访问证书的人离开时，获得新证书并撤销现有证书的标准做法是吗？或者，如果离开的人值得信赖，那么我们是否继续持有证书？

12 ssl  certificate  iis