Questions tagged «ssl»

我遵循了该指南：http : //hints.macworld.com/article.php?story=20041129143420344 这是我的虚拟主机定义 <VirtualHost *:443> SSLEngine on SSLProxyEngine On RequestHeader set Front-End-Https "On" CacheDisable * SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL DocumentRoot "/Users/me/projects/myproject/public" ServerName ssl.mydomain.com ServerAlias *.ssl.mydomain.com SSLCertificateKeyFile "/private/etc/apache2/certs/webserver.nopass.key" SSLCertificateFile "/private/etc/apache2/certs/newcert.pem" SSLCACertificateFile "/private/etc/apache2/certs/demoCA/cacert.pem" SSLCARevocationPath "/private/etc/apache2/certs/demoCA/crl" ErrorLog "/Users/me/Desktop/ssl.log" ProxyPass / https://localhost:3002/ ProxyPassReverse / https://localhost:3002 ProxyPreserveHost on </VirtualHost> 当我尝试通过Web浏览器连接到sevre时，出现此错误： [Thu Feb 02 16:50:40 2012] [error] …

9 apache-2.2  ssl  https  virtualhost 

最近，我们的基础架构团队告诉我们的开发团队，您不需要https的证书。他们提到购买证书的唯一好处是让消费者放心他们正在连接到正确的网站。 这违背了我对https所做的所有假设。 我阅读了维基百科，其中提到您需要信任的证书或自签名证书来配置https。 是否可以将IIS配置为在没有任何证书的情况下响应https ？

9 windows-server-2008  ssl  iis-7.5  https  certificate 

警告： SSLv3已过时。考虑完全禁用它。 我正在尝试将Stunnel设置为服务器作为SSL缓存。一切都很顺利，并且大多数情况下都按设计工作。 然后我在日志文件中遇到错误： SSL_accept: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number 由于某些奇怪的原因，并非所有客户都会触发该事件。使用链接从CentOS连接-显示错误（尝试多台计算机）。使用链接从Ubuntu连接-没有错误。 使用wget进行了尝试，并且使用TLSv1都可以顺利进行，但是使用SSLv3时会出现错误。同时，wget报告： OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure 无法建立SSL连接。 这是我的配置： pid = /etc/stunnel/stunnel.pid debug = 3 output = /etc/stunnel/stunnel.log socket=l:TCP_NODELAY=1 socket=r:TCP_NODELAY=1 verify=3 ; fixing "fingerprint does not match" error fips=no [https] accept=12.34.56.78:443 connect=127.0.0.1:80 TIMEOUTclose=0 xforwardedfor=yes CAfile = /path/to/ssl/example.com.cabundle cert=/path/to/ssl/example.com.crt key=/path/to/ssl/example.com.key …

9 ssl  ssl-certificate  openssl  stunnel 

我们有在线购物网站。当我要结帐页面时，我收到这样的错误：“错误：14094410：SSL例程：SSL3_READ_BYTES：sslv3警报握手失败（35）” 从apache错误日志中，我可以看到一些尝试连接到api.paypal.com。这是我的Apache错误日志的一部分 * About to connect() to api.paypal.com port 443 (#0) * Trying 66.211.168.123... * connected * Connected to api.paypal.com (66.211.168.123) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs * error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure * Closing connection #0 当我尝试使用curl连接到api.paypal.com时，出现了这样的错误 curl -iv https://api.paypal.com/ * …

9 ssl  ssl-certificate 

我不断收到此错误： No cURL data returned for https://XXX.XXXX.XXX:XXXX [0] SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed 我不确定，或者我可以说，我不知道这是什么问题。以及如何解决呢？请帮忙！

9 ssl  ssl-certificate  curl 

关于ssl，本地会话和负载平衡，我有很多问题似乎相互关联，因此对于这个问题的长度，我事先表示歉意。 我有一个使用基于文件的会话的网站。该站点的性质是，大多数站点是http，但是某些部分是ssl。当前，由于基于文件的会话，任何ssl请求都必须与以前的http请求命中同一台服务器。 由于时间限制，我想做最简单的事情来平衡增加的http和ssl流量。 粘性负载平衡算法似乎有2个选择： 基于IP 基于cookie 基于ip的解决方案可能会起作用，但是当服务器关闭或添加服务器时，哈希算法可能会更改用户访问的服务器，这在当前基于文件的会话设置中是不希望的。我还假设用户在浏览网站时合法地更改ips在技术上是可能的。 基于cookie的算法似乎更好，但是用ssl加密时无法检查cookie似乎存在其自身的问题。 我一直在搜索有关如何对ssl进行负载平衡的示例，但似乎找不到任何可以进行基于cookie的负载平衡并且可以通过添加另一个ssl解码器来处理增加的ssl负载的设置的显式示例。 我见过的大多数显式示例在浏览器客户端和负载平衡器之间都装有ssl解码器（通常是硬件，apache_mod_ssl或nginx）。这些示例通常看起来像这样（从http://haproxy.1wt.eu/download/1.3/doc/architecture.txt修改）： 192.168.1.1 192.168.1.11-192.168.1.14 ------- + ----------- + ----- + ----- + ----- + | | | | | +-+-+ +-+-+ +-+-+ +-+-+ +-+++ | LB1 | | A | | B | | C | | D | + ----- + …

9 ssl  nginx  load-balancing  haproxy 

嗨，大家可以为IIS 6创建自己的SSL证书吗？如果是这样，是否有人在网络上提供了指向良好指南的链接？ 谢谢！ 约翰

9 ssl  iis-6  certificate 

我必须在Windows 2003 Server上更新IIS6的SSL证书。供应商（Thawte）告诉我我的证书签名请求不可撤消，这意味着我需要生成一个全新证书的请求。但是，在IIS管理器中，只要我安装了当前证书，我唯一的选择是： 续订当前证书 删除当前证书 替换当前证书 将当前证书导出到.pfx文件 将当前证书复制或移动到远程服务器站点 我以为“替换”将是显而易见的选择，但是它没有让我选择创建新请求来替换当前证书；我只能在服务器上已安装的证书之间进行选择。如果我“删除”当前证书以请求新证书，是否会导致我的客户立即被告知我的服务器不安全？还是我误解了Thawte的文档，我真的可以续订吗？我过去曾续签过证书，而且我无法想象没有任何方式可以在不破坏“ SSL安全”状态的情况下实现这一目标。提前致谢。

9 ssl  iis-6 

我的两个站点都有HAProxy，其中一个是公共站点，另一个是私有站点。 www.mysite.com private.mysite.com 自动取款机，我正在像这样使用haproxy： frontend mysite_https bind *.443 ssl crt /etc/mycert.pem ca-file /etc/myca.pem verify optional no-sslv3 mode http acl domain_www hdr_beg(host) -i www. acl domain_private hdr_beg(host) -i private. acl path_ghost path_beg /ghost/ acl clientcert ssl_c_used redirect location https://www.example.com if path_ghost !clientcert redirect location https://www.example.com if !domain_www !clientcert use_backend bknd_private if …

9 ssl  haproxy  sni 

我正在尝试让HTTPS与AWS ELB一起使用。 我已经尝试了大约一个小时，但是无论我如何尝试，通过HTTPS进行连接时，连接都会超时。HTTP工作正常，但HTTPS无效。 谁能提供帮助？

9 ssl  amazon-web-services  amazon-elb 

我在服务器的Windows事件日志中收到此错误： 从远程客户端应用程序收到了TLS 1.0连接请求，但是服务器不支持客户端应用程序支持的所有密码套件。SSL连接请求失败。 当我尝试从Windows Server 2003框连接到Windows 7框上的Web服务时。 如何将密码套件添加到另一个密码套件中？ （固定客户端是理想的选择，但是如果没有服务器解决方案就可以了-我可以访问所有涉及的设备，我只是想在它们之间进行一些基本的加密以保护隐私）。 随着数小时的谷歌搜索和阅读，我尝试了： 检查服务器Windows事件查看器（发现密码套件错误） 从http://support.microsoft.com/kb/948963向test1添加了密码套件（没有帮助） 将TLS 1.0添加到服务器Windows注册表中密码套件中的协议中（不变） 安装IIS工具，希望为Schannel添加更多协议（不是） 再次为客户导出证书，但包含私钥（不变） 检查服务器和客户端上已安装的密码套件是否匹配（找不到win2k3列出它们的位置） 将TLS_RSA_WITH_AES_256_CBC_SHA（由上述修补程序安装）添加到服务器的密码套件中（不，已经存在）

9 windows-server-2003  windows-7  tls  ssl 

我尝试安装mod_ssl，我使用此命令apt-get install mod_ssl进行安装，但出现错误提示unable to locate package mod_ssl。 执行上述命令后，我得到以下输出 Reading package list.. Done Build dependency tree Reading state information done.. E:unable to locate package mod_ssl 我该如何解决？

9 ubuntu  ssl  amazon-web-services  certificate 

我想强制对我的虚拟主机进行ssl客户端验证。但是出现“未发送必需的SSL证书”错误，试图从中获取某些信息。 这是我的测试配置： # defaults ssl_certificate /etc/certs/server.cer; ssl_certificate_key /etc/certs/privkey-server.pem; ssl_client_certificate /etc/certs/allcas.pem; server { listen 1443 ssl; server_name server1.example.com; root /tmp/root/server1; ssl_verify_client off; } server { listen 1443 ssl; server_name server2.example.com; root /tmp/root/server2; ssl_verify_client on; } 第一台服务器回复200个http代码，但第二台服务器返回“ 400 Bad Request，未发送所需的SSL证书，nginx / 1.0.4”。 可能在同一IP上使用ssl_verify_client是不可能的吗？我应该将这些服务器绑定到不同的IP，这可以解决我的问题吗？

9 nginx  ssl  web 

我正在尝试使用mod_proxy SSLCACertificatePath指令，但对于如何正确使用它有点困惑。 这是两个解释SSLCACertificatePath指令的链接： http : //httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcacertificatepath http://www.modssl.org/docs/2.8/ssl_reference.html#ToC13 我对如何创建哈希符号链接并不满意。第二个链接指出要使用apache make文件，但是我对那里所说的完全一无所知。 任何友好的指导将不胜感激。 感谢您的时间。 更新 我的问题的目的是弄清楚如何处理多个CA来验证最终用户客户端证书。我没有意识到可以在一个文件中使用多个pem证书，就我而言，这显然是前进的正确方法。

9 apache-2.2  ssl  mod-ssl 

除非我已阅读的每个答案都是错误的，否则SNI应该使我可以做自己想做的事情，但是每本指南都告诉我要做我正在做的事情。 但是nginx提供的证书错误，因此我显然做错了。 ❯ sudo nginx -V | grep SNI %1 nginx version: nginx/1.10.3 built with OpenSSL 1.1.0f 25 May 2017 TLS SNI support enabled configure arguments: --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-qJwWoo/nginx-1.10.3=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now' --prefix=/usr/share/nginx --conf-path=/etc/nginx/ngi nx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fa stcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi …

8 nginx  ssl  sni