Questions tagged «ssl»

我有一个使用https将JavaScript文件传输到客户端的网站。该网站为getsimpleapps.com。 事实证明，使用https（20.08s-29.08s）加载此文件的速度比使用http（380ms）慢52倍。 该网站的首页与javacript文件共享相同的慢度。 http://getsimpleapps.com https://getsimpleapps.com 我最近从Dreamhost切换到了linode，并且骇入了让SSL在新服务器上运行直到实现的目的。我没有进行任何疯狂的配置。 linode运行Ubuntu 12.04，并且该站点位于（LAMP）堆栈的顶部。 我对堆栈溢出社区的问题是：如何在服务器上修复SSL和HTTPS？我知道栈溢出到处都是关于HTTPS速度慢的问题，但是没有给出真正的解决方案。ubuntu教程或配置指南将是理想的选择。 文件：/etc/apache2/sites-enabled/getsimpleapps.com <VirtualHost *:80> ServerAdmin admin@getsimpleapps.com ServerName getsimpleapps.com ServerAlias www.getsimpleapps.com DocumentRoot /srv/sites/getsimpleapps.com/public/ ErrorLog /srv/sites/getsimpleapps.com/logs/error.log CustomLog /srv/sites/getsimpleapps.com/logs/access.log combined </VirtualHost> <VirtualHost 50.116.58.18:443> SSLEngine On #SSLCertificateFile /etc/apache2/ssl/www.getsimpleapps.com.crt #SSLCertificateKeyFile /etc/apache2/ssl/www.getsimpleapps.com.key #SSLCACertificateFile /etc/apache2/ssl/comodo.crt SSLCertificateFile /etc/apache2/ssl/dreamhost/dh.crt SSLCertificateKeyFile /etc/apache2/ssl/dreamhost/dh.key SSLCACertificateFile /etc/apache2/ssl/dreamhost/dh.cer ServerAdmin admin@getsimpleapps.com ServerName getsimpleapps.com ServerAlias www.getsimpleapps.com DocumentRoot /srv/sites/getsimpleapps.com/public/ …

8 apache-2.2  ubuntu  ssl  https 

我运行了一个debian squeeze标准Apache安装（2.2），并使用SSLClientCertificates来授权用户。到目前为止，这个工作正常。 但是我们注意到一些并行请求的速度变慢，并尝试检查我SSLSessionCache的工作是否正常。 所以我检查了我的localhost / server-status，它看起来像这样： SSL/TLS Session Cache Status: cache type: SHMCB, shared memory: 512000 bytes, current sessions: 0 subcaches: 32, indexes per subcache: 133 index usage: 0%, cache usage: 0% total sessions stored since starting: 0 total sessions expired since starting: 0 total (pre-expiry) sessions scrolled out of …

8 apache-2.2  ssl  cache  session 

我有一个颁发了前sysadmin的SSL证书（CRT文件。）在搜索文件系统时，我发现了几个.key文件。如何将crt与密钥文件匹配并确认它们匹配？这是带有Apache2 modssl的Ubuntu Server 11.10。

8 apache-2.2  ubuntu  ssl  ssl-certificate 

以前，我有另一家公司的SSL证书。它昨晚过期了。我今天早上购买了一个新服务器，从服务器的“服务器证书”下删除了第一个服务器，并创建了一个新请求。当我单击“完成证书申请”并放入新证书时-没问题，它已安装。 但是，在浏览器中，每当我访问该网站时，仍然会在浏览器中收到提示，提示它不安全。在Firefox中，在弹出的用于验证证书的对话框中，我单击了两次“ Get Certificate”（获取证书）-它仍然表示无效，并且当我单击View Details时，颁发者的名称是原始证书的名称，即过期并删除。 我唯一想到的就是重新启动服务器。没有骰子。 有什么建议吗？

8 iis-7  ssl 

我一直在尝试为我的SBS 2011服务器设置SSTP VPN，并且一直在与证书问题作斗争。我已经能够为我的外部vpn地址生成一个新证书，将其导入到客户端计算机中，并将服务器添加为受信任的证书颁发机构。现在我得到了错误： Error 0x80092013: The revocation function was unable to check revocation because the revocation server was offline. 当我检查证书上的CRL分发点时，我看到唯一的URL指向我的内部地址，因此我添加了另一个指向我的外部地址的URL（保留了原来的内部URL）。我生成了一个新证书，从客户端中删除了现有证书，然后导入了新证书，然后重新启动了RRAS，并验证SSTP正在使用我的新证书，但是仍然出现相同的错误。 当查看我导入的证书的详细信息时，我看到新的外部CDP出现在列表中（对http://mydomain.com/CertEnroll/MYSERVER-CA.crl有所影响）。当我将其放入Web浏览器时，会收到一条消息，说明CRL导入已成功，这使我知道该URL可从外部访问且处于联机状态。 我觉得这是我与安全VPN之间的最后一站，这里我想念的是什么？

8 windows-server-2008  vpn  ssl  windows-sbs-2011 

目前，我正在将Apache 2.2.3和CentOS 5.4用于我的PHP应用程序（PHP在5.3.7上运行），并且该应用程序在HTTPS上运行并且具有Root CA证书。 问题是我们一直在使用IE9（仅IE9）遇到一些奇怪的问题。IE9浏览器向我们的服务器提交HTTPS请求时，有时没有HTTPS响应。我注意到的是IE9将刷新页面。更具体地说，提到的页面是登录页面。因此，当我输入用户名和密码并提交表单，但没有响应时，IE9似乎又重新加载了相同的登录页面。（使用空白的用户名和密码） 从应用程序级别进行跟踪时，我确实注意到我已经收到了用户名和密码，并且该应用程序无任何错误地结束了。 最让人头疼的是它不能每次都被复制。有时我们可以登录而没有任何问题，但是有时它会遇到上述问题。 现在，我们公司拥有网络团队，开发人员和其他团队。我们的Apache在负载均衡器下运行。网络人员声称他们从不更改任何设置，唯一的更改是我们的应用程序。但是从开发人员的角度来看，更改与登录过程无关。 从我的角度来看，好像用户单击了提交，应用程序（apache）就通过发送HTML（HTTPS响应）来完成它的工作，但是HTML在网络中以某种方式消失了。我是否怀疑与连接保持活动有关？可能是IE9浏览器代理以不同的方式处理它，并且它以某种方式认为连接失败并重新加载页面以进行重试？ 但是无论如何，我已经注意到Apache中用于SSL连接的以下设置： SetEnvIf User-Agent“ 。MSIE 。 ” \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0强制响应-1.0 不确定如何设置排除IE9及更高版本的方式？当我进行搜索时，以上设置是为了解决IE与Apache连接时的一些长期存在的问题。但是由于IE9相当新，所以问题可能已经解决，我们需要更新设置吗？ 希望有人可以对此有所启发。

8 apache-2.2  ssl  internet-explorer-9 

我一直在搜索许多小时，有关为SSL（不是Squid）设置透明代理的方法。普遍的答案是我不能，但是我知道有一些方法。我的目的只有以下几点： 黑名单/白名单域名（不是IP号）。内容将不会被过滤或修改。 强制用户浏览这些列表。如果我在网络浏览器中修改了此类设置，则可以撤消该设置。 以下页面告诉我我可以不加修改地通过流量，但没有说明如何： iptables使用privoxy的https透明代理？ 下一页显示了443的iptables规则，我本人无法使用：http : //alien.slackbook.org/dokuwiki/doku.php?id=slackware : proxy 以下页面介绍了如何使其仅与Squid一起使用：http : //www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https 编辑：一个人在这里说： 我如何使用IPTABLES在Squid周围创建HTTPS（443）传递？ “最好的做法是阻止对端口443的直接访问，并告诉用户如果他们要使用HTTPS，则必须将其浏览器配置为使用代理。” 但是我只知道如何完全阻止443，而不是让它在代理下工作。

8 ssl  iptables  https  transparent-proxy 

我们为我们的域拥有一个GlobalSign域证书。我已将证书安装到IIS中，并将GlobalSign域中间证书添加到本地计算机的中间证书颁发机构中 看来IIS并不是通过中间证书发送（导致firefox错误），而只是通过域证书发送。我已经使用OpenSSL以及包括GlobalSign自己的健康检查器在内的各种网站对此进行了验证。 在IIS中，我可以遍历整个链，每个证书都是“确定”的，没有选择安装任何表明它们已经存在的证书的选项。 有什么想法可能有问题吗？

8 iis  ssl  certificate 

假设我为每个用户创建一个子域，例如mysite.test.com，该域受通配符ssl证书保护。如果我允许用​​户通过CNAME拥有自己的自定义网址，那么新网址仍将包含在证书中，还是每个自定义网址都需要单独的证书？

8 ssl  ssl-certificate  cname-record 

我正在尝试将OpenVPN设置为侦听端口443，然后通过使用该port-share选项将所有HTTPS通信传递给Apache 。相关的配置片段为： 开放VPN local ${PUBLIC_IP} port 443 port-share localhost 443 带有SSL的Apache Listen localhost:443 我的OpenVPN客户端连接正常，但是打开启用HTTPS的页面时，出现错误。Firefox说： SSL收到的记录超过了最大允许长度。 （错误代码：ssl_error_rx_record_too_long） 卷曲说 curl：（35）错误：140770FC：SSL例程：SSL23_GET_SERVER_HELLO：未知协议 该请求最终在Apache上结束，因为我在错误日志中看到以下消息： [Wed Oct 06 01:10:20 2010] [error] [client 127.0.0.1] Invalid method in request \x16\x03\x01 [Wed Oct 06 01:11:04 2010] [error] [client 127.0.0.1] Invalid method in request \x16\x03\x01 [Wed Oct 06 01:11:51 2010] …

8 apache-2.2  ssl  openvpn 

威瑞信拥有所有这些证书发行公司：威瑞信Thawte Geotrust和Rapidssl。 它们之间有什么区别，为什么价格差异那么大？ 更新：这只是我遇到的 几处差异：GeoTrust未链接：未正确验证整个链条的设备可能对此运气更好。我已经看到ActiveSync与未链接的证书一起比已链接的证书更好地工作。 RapidSSL和Geotrust证书未按服务器授权，因此，您可以为整个Webfarm购买一个证书。 Verisign证书带有免费的每日恶意软件扫描，如果您的站点上发现任何此类软件，则会提醒您。 仅Verisign代码签名证书可与WinQual一起使用

8 ssl  ssl-certificate  wildcard  tls 

我有一个奇怪的设置。看起来像这样： Browser ----------> HTTPs Proxy ------> Apache HTTP -----> Tomcat AJP HTTPS HTTP AJP 在HTTPS代理（一个非常笨的代理）上，出现了一个类似于https：//proxy.domain.com/app的URL。然后使用HTTP像http://apache.domain.com/app一样将其通过隧道传输到Apache（传入主机proxy.domain.com）。然后，Apache使用AJP协议在本地将请求隧道传输到ajp：// localhost：8009 / app /。 有时，应用服务器希望重定向请求的路径。例如，将/ app /重定向到/ app / webapp。因此，它将302发送回apache，以重定向路径-可能类似于ajp：// localhost：8009 / app / webapp。然后，Apache将重定向URL重写为http://proxy.domain.com/app/webapp。HTTPS代理很笨，因此它不会分析重定向并将http更改为https。 因此，我想弄清楚是否可以配置Apache重新编写302重定向URL，以将用户发送到https。 这是我到目前为止在Apache的https.conf中拥有的配置： ProxyPreserveHost on RewriteEngine on RewriteRule ^/app$ /app/ [PT] ProxyPass /app ajp://localhost:8009/app 我尝试使用ProxyPassReverse，但无法弄清楚如何强制使用https而不是http重写302重定向URL。 有什么想法吗？

8 apache-2.2  ssl  redirect  mod-proxy 

我正在Ubuntu 10.04上的Apache / 2.2.14上运行一个（自签名）SSL证书站点，但是各种浏览器在尝试进行一半连接时给出错误。刚才看到了来自Chrome的短暂错误： "Error 126 (net::ERR_SSL_BAD_RECORD_MAC_ALERT): Unknown error." 单击刷新，问题消失了一段时间。 wget也是： $ wget --no-check-certificate https://dev.foo.com/deps/ --2010-09-08 19:30:26-- https://dev.foo.com/deps/ Resolving dev.foo.com... 184.72.53.220 Connecting to dev.foo.com|184.72.53.220|:443... connected. OpenSSL: error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01 OpenSSL: error:04067072:rsa routines:RSA_EAY_PUBLIC_DECRYPT:padding check failed OpenSSL: error:1408D07B:SSL routines:SSL3_GET_KEY_EXCHANGE:bad signature Unable to establish SSL connection. 立即再次运行它，它的工作原理是： $ wget --no-check-certificate …

8 apache-2.2  ssl  ssl-certificate  httpd  tls 

如果我使用同一密钥生成两个SSL证书，是否会削弱证书的强度？（它是否为进行密码分析打开了大门，还是有可能破坏该通道中的数据）？ 谢谢

8 security  ssl  encryption  cryptography 

我有自己的服务器（正在运行的服务器Apache/2.4.27），今天我意识到从（勇敢的和Google Chrome-不同的计算机）我的网站上出现了这个错误； This site can’t provide a secure connection mywebsite.com sent an invalid response. ERR_SSL_PROTOCOL_ERROR 而且奇怪的是，我每五次点击我的网站都会收到此错误。 从我的conf文件： SSLEngine on SSLCertificateFile /etc/letsencrypt/live/mywebsite/cert.pem SSLCertificateKeyFile /etc/letsencrypt/live/mywebsite/privkey.pem Include /etc/letsencrypt/options-ssl-apache.conf SSLCertificateChainFile /etc/letsencrypt/live/mywebsite/chain.pem SSLCompression off 来自options-ssl-apache.conf; SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLCompression off 我已经检查了网站上的日志文件，但是什么也没有，这里也没有； /var/log/apache2/error.log 我试图找出导致此错误的原因，在哪里可以找到更多信息甚至更好的任何想法，如何解决此问题？ 编辑： 如果我尝试openssl s_client -connect mywebsite.com:443，它将返回： 我在用着： OpenSSL …

7 ssl  apache-2.4