Questions tagged «ssl»

尝试将https://example.com重定向到https://www.example.com时出现错误。 当我转到https://example.com时，它不会重定向并返回page / 200状态。 我不想要这个，我希望它重定向到https://www.example.com。 当我转到http://example.com时，它将重定向到https://www.example.com 有人可以告诉我我要去哪里错吗？ 这是我的默认和default-ssl配置文件： default.conf server { listen 80; server_name example.com; return 301 https://www.example.com$request_uri; } default-ssl.conf upstream app_server_ssl { server unix:/tmp/unicorn.sock fail_timeout=0; } server { server_name example.com; return 301 https://www.example.com$request_uri } server { server_name www.example.com; listen 443; root /home/app/myproject/current/public; index index.html index.htm; error_log /srv/www/example.com/logs/error.log info; access_log …

25 nginx  ssl  ssl-certificate  https 

我正在Fedora服务器上安装Nginx ssl代理。 我已经在/ etc / nginx下创建了一个证书和密钥对。他们看起来像这样： ls -l /etc/nginx/ total 84 ... -rw-r--r--. 1 root root 1346 Sep 20 12:11 demo.crt -rw-r--r--. 1 root root 1679 Sep 20 12:11 demo.key ... 作为root，我正在尝试启动nginx服务： systemctl start nginx.service 我收到以下错误： nginx[30854]: nginx: [emerg] SSL_CTX_use_certificate_chain_file("/etc/nginx/demo.crt") failed (SSL: error:0200100D:system library:fopen:Permission denied...e:system lib) nginx[30854]: nginx: configuration file …

25 nginx  ssl  ssl-certificate 

我的目标是为连接到我的nginx的客户端确保适当的安全性。我正在遵循Mozilla的指南来在我的nginx安装上正确配置TLS，但是我没有概述实际使用的实际协议/密码套件。 我现在所拥有的： server { listen 443; ssl on; ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_dhparam /path/to/dhparam.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'the_long_ciphersuite_listed_there'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:50m; } 这样，我想记录使用哪种SSL协议进行连接以及在客户端/服务器协商后选择了哪种密码套件。例如： 10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] "GET / HTTP/1.1" 200 1234 "-" "User agent bla" 至 10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 …

24 nginx  security  logging  tls  ssl 

我怎样才能从.p12文件生成.key文件和.crt文件？

24 apache-2.2  ssl  certificate  openssl 

我知道设置SSL需要专用IP。如果我们为共享IP的域添加SSL，会发生什么情况？（名称虚拟主机）

24 apache-2.2  ssl  https  certificate 

最近发现的令人讨厌的漏洞已促使证书颁发机构重新颁发证书。 在发现流血的漏洞之前，我已经生成了两个证书。SSL发行者告诉我重新生成证书后，我已经用新证书更新了两个服务器/域。 如果我的理解是正确的，则旧证书应已由CA吊销，并且应已加入CRL（证书吊销列表）或OCSP数据库（在线证书状态协议），否则从技术上讲，某人可以执行“攻击中的“攻击者”，即从受感染证书中获取的信息中重新生成证书。 有没有办法检查我的旧证书是否已达到CRL和OCSP。如果没有，没有办法让他们加入进来吗？ 更新：这种情况是我已经替换了我的证书，我所拥有的只是旧证书的.crt文件，因此使用url进行检查实际上是不可能的。

23 linux  ssl  heartbleed  crl  ocsp 

我可以从根CA获得证书，然后将其用于签署自己的Web服务器证书吗？如果可能的话，我会使用签名证书作为中介来签署其他证书。 我知道我将必须以某种方式使用“我的”中间证书来配置系统，以便向我的客户提供有关信任链的信息。 这可能吗？根CA是否愿意签署这样的证书？这个很贵吗？ 背景 我熟悉SSL的基础知识，因为它与通过HTTP保护网络流量有关。我对信任链的工作方式也有基本的了解，因为如果您使用具有有效链的证书进行加密（一直返回到根CA）（由浏览器确定），则“默认情况下”将确保网络流量的安全/ OS供应商。 我也知道许多根CA已经开始使用中间证书为最终用户（如我）签署证书。这可能需要在我的一端进行更多设置，但否则，这些证书将可以正常工作。我猜想这与保护CA的所有宝贵私钥有关，以及如果我遭到入侵将带来的灾难。 例子 https://www.microsoft.com https://www.sun.com https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs 现在，我们绝对不是这些组织中的任何一家，但他们似乎在做这样的事情。无疑，这将使这些证书的管理更加可口，尤其是考虑到我们扩展电子商务平台范围的一种方式。

23 ssl  certificate  x509 

我设法用没有错误的LE创建了我的证书，我也设法将流量从端口80重定向到端口443。但是，当我重新加载nginx服务器时，我无法访问我的网站。Ngnix错误日志显示以下行： 4 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking, client: 192.168.0.104, server: 0.0.0.0:443 我认为这意味着它找不到我随后导航到证书路径的证书，而且它们都在那儿，这可能是什么问题？这是我的Ngnix配置的样子： server { listen 80; server_name pumaportal.com www.pumaportal.com; return 301 https://$server_name$request_uri; } server { listen 443 ssl; server_name pumaportal.com www.pumaportal.com; add_header Strict-Transport-Security "max-age=31536000"; ssl_certificate /etc/letsencrypt/live/pumaportal.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/pumaportal.com/privkey.pem; ssl_stapling on; ssl_stapling_verify on; …

23 nginx  ssl  lets-encrypt 

我有一个文件myfile-privkey.pem。 如何使用ssh-keygen检查私钥文件是否受密码保护？

23 ssl  ssl-certificate  ssh-keygen 

我已经在Amazon Load Balancer上安装了私钥（pem编码）和公钥证书（pem编码）。但是，当我使用站点测试工具检查SSL时，出现以下错误： 检查SSL证书时出错！！无法获得证书的本地发行者。找不到本地查找的证书的颁发者。通常，这表明服务器上未安装所有中间证书。 我使用本教程中的以下命令将crt文件转换为pem ： openssl x509 -in input.crt -out input.der -outform DER openssl x509 -in input.der -inform DER -out output.pem -outform PEM 在设置Amazon Load Balancer期间，我唯一遗漏的选项是证书链。（pem编码）但是，这是可选的。这可能是我的问题吗？如果是这样; 如何创建证书链？ 更新 如果您向VeriSign提出请求，他们将为您提供证书链。该链包括公共crt，中间crt和根crt。在将公共crt添加到Amazon Load Balancer的证书链框中之前，请确保从证书链（最高级的证书）中删除公共crt。 如果您是从Android应用发出HTTPS请求，则以上说明可能不适用于旧版Android OS（例如2.1和2.2）。要使其在较旧的Android OS上运行，请执行以下操作： 到这里 单击“零售ssl”选项卡，然后单击“安全站点”>“用于Apache Server的CA Bundle” 将这些中间证书复制并粘贴到证书链盒中。以防万一，如果您没有找到它，这是直接链接。 如果您使用的是地理信任证书，那么该解决方案与Android设备的解决方案完全相同，但是，您需要复制并粘贴其针对Android的中间证书。

22 amazon-ec2  ssl  load-balancing 

我在192.0.2.1上有一个服务器foo.example.com 它运行exim以接收我的多个域的电子邮件。 我的每个域都有一个指向mx.example.com的MX记录，解析为192.0.2.1。 如果我想让exim为传入的电子邮件连接提供TLS加密，我应该在SSL证书中输入哪个主机名？ foo.example.com，因为这就是服务器在HELO中说的内容？ mx.example.com，因为这是客户端将连接到的主机名？ http://www.checktls.com建议后者是正确的，但我找不到明确的答案。

22 ssl  smtp  certificate  exim 

我有一个服务器https://www.groups.example.com-在FireFox中，我收到“ This Connection is Untrusted”消息和“技术细节”信息 www.groups.example.com uses an invalid security certificate. The certificate is only valid for the following names: *.example.com, example.com (Error code: ssl_error_bad_cert_domain) 为了解决这个问题，我还需要提供什么其他信息？只是得到安装程序的确认，但是99％的人确定它是Linux并使用VHOSTS。确认后将立即更新问题。 www.groups.example.com被视为具有两个级别的子域，这是事实吗？ 发行者是DigiCert

22 ssl  https  ssl-certificate 

有人可以简化方式向我解释这些证书之间的区别吗？我读了一些文章，但听起来好像他们做的是相同的工作，即用一个证书对许多域进行加密。

21 ssl  sni  subject-alternative-names 

在最近将Apache2升级到2.2.31版之后，我在SSL VirtualHost设置中发现了一个奇怪的行为。 即使客户Server Name Identification知道，我托管的一些网站仍在显示默认主机的证书，而只有少数几个发生了这种情况。这显示为Firefox / Chrome的通行护照，警告您在浏览家庭银行业务时可能会被骗，但事实并非如此。 需要明确的是，如果服务器host.hostingdomain.org具有自己的SSL，则尝试访问的https://www.hostedsite.org报告证书host.hostingdomain.org，但有少数https://www.hostedsite.me报告了正确的证书。 所有站点都托管在端口443上的相同IP地址上。事实是VirtualHosting在HTTP端工作，并且将SNI感知客户端自动重定向到SSL，因此它与SNI感知客户端向后兼容。 检查有问题的VirtualHosts的错误日志，显示以下文本 [Tue Dec 25 16:02:45 2012] [error] Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/path/to/www.site.org.conf:20) 实际上，vhost已使用SSLCertificateFile正确配置。 问题很明显：如何解决？

21 apache-2.2  ssl  virtualhost  sni 

我已经生成了用于测试新网站的自认证SSL证书。该网站上线的时间到了，我现在想从GeoTrust购买证书。我可以使用为自认证生成的相同CSR，还是需要创建一个新的CSR？ 丰富

21 ssl  csr