Questions tagged «ssl»

我使用Nginx作为4个Apache实例的代理。我的问题是SSL协商需要很多时间（600毫秒）。以此为例：http : //www.webpagetest.org/result/101020_8JXS/1/details/ 这是我的Nginx Conf： user www-data; worker_processes 4; events { worker_connections 2048; use epoll; } http { include /etc/nginx/mime.types; default_type application/octet-stream; access_log /var/log/nginx/access.log; sendfile on; keepalive_timeout 0; tcp_nodelay on; gzip on; gzip_proxied any; server_names_hash_bucket_size 128; } upstream abc { server 1.1.1.1 weight=1; server 1.1.1.2 weight=1; server 1.1.1.3 weight=1; } …

17 linux  ssl  nginx 

Web服务器是否有可能根据传入连接的主机头选择要使用的SSL证书，或者仅在建立SSL连接后才可用的信息？ 也就是说，如果请求https://foo.com，我的网络服务器是否可以在端口443上列出并使用foo.com证书，如果请求https://bar.com还是我正在尝试使用bar.com证书？不可能的事情是因为服务器必须在知道客户端需要什么之前建立SSL连接？

17 ssl  web-hosting  ssl-certificate  https 

我正在实现一个多租户应用程序，其中我的应用程序托管并提供了租户产品的技术文档。 现在，我正在考虑的方法是-我是主持人的文件docs.<tenant>.mycompany.com，并要求我的房客设置一个CNAME DNS记录指向docs.tenantcompany.com到docs.<tenant>.mycompany.com。 我希望该站点使用我的租户的证书启用SSL。我想了解我的租户公司是否具有通配符SSL证书，该证书是否可以在此设置下使用，还是需要购买新的SSL证书docs.tenantcompany.com？

17 domain-name-system  ssl  ssl-certificate  cname-record  dns-zone 

我的apache conf有点问题。当我阅读错误日志时，可以看到以下内容： [client xxx.xxx.xx.xx] AH01964: Connection to child 1 established (server www.mywebsite.com:443) [client xxx.xxx.xx.xx] AH01964: Connection to child 6 established (server www.mywebsite.com:443) [client xxx.xxx.xx.xx] AH01964: Connection to child 10 established (server www.mywebsite.com:443) [client xxx.xxx.xx.xx] AH01964: Connection to child 15 established (server www.mywebsite.com:443) [client xxx.xxx.xx.xx] AH01964: Connection to child 18 established …

17 apache-2.2  ssl  https 

该ssh-keygen命令生成的.pub文件描述为“公钥文件”，但与我通常看到的大多数“公钥文件”的格式完全不同，它们都是PEM格式。该ssh-keygen风格的文件看起来是这样的： ssh-rsa AAAAB3NzaC1... user@host ...而PEM文件如下所示： -----BEGIN CERTIFICATE----- MIIGZjCCBU6gAwIBAgIDCIrNMA0GCSqGSIb3DQEBBQUAMIGMMQsw... -----END CERTIFICATE----- 这两种格式是可以互换的，还是执行根本不同的目的？我遇到了这个问题，因为我想获得我的PEM编码的公共密钥文件的RSA2密钥指纹，但是通常建议这样做的方法（ssh-keygen -l）表示我的PEM编码的文件“不是公共密钥文件”。 顺便说一句，我知道这个答案，但是它并不涵盖由生成的.pub文件ssh-keygen。

17 ssl  encryption 

我们有一台用于通过Cisco SSL VPN（\\speeder）连接的机器。 我可以对我们speeder进行ping 操作10.0.0.3： 上的路由表\\speeder显示了我们分配给它的多个IP地址： 与Cisco AnyConnect VPN客户端连接后： 我们不能再ping \\speeder： 并且尽管有Cisco VPN适配器的新路由条目，但连接后没有修改现有路由条目： 可以预料，我们无法在Cisco VPN适配器（192.168.199.20）上 ping Speeder的IP地址，因为它位于与我们的网络不同的子网上（我们是10.0.xx 255.255.0.0），即： C:\Users\ian.AVATOPIA>ping 192.168.199.20 Pinging 192.168.199.20 with 32 bytes of data: Request timed out. 我们遇到的问题是我们无法在以下位置ping 现有 IP地址\\speeder： C:\Users\ian.AVATOPIA>ping 10.0.1.17 Pinging 10.0.1.17 with 32 bytes of data: Request timed out. C:\Users\ian.AVATOPIA>ping 10.0.1.22 Pinging 10.0.1.22 with …

17 ssl  cisco  cisco-vpn 

给了我两个要导入的.pem文件。我没有生成这些文件。我可以将它们导入IIS 7还是必须将其转换为另一种格式？我知道IIS喜欢.pfx-如果需要，可以将.pem转换吗？ 任何帮助是极大的赞赏！

17 iis  iis-7  ssl  ssl-certificate 

我只是想知道。我们使用许多SSL证书。如今，我们几乎只使用letencrypt（谢谢！）。这些证书的底线是，证书上域名的所有权证明来自操纵这些域下的DNS记录或网站的权力。DNS证明来自将一些密钥（由letencrypt提供）作为TXT记录添加到DNS。 因此，如果有足够的证据可以更改域的DNS记录，那么为什么不在DNS中使用带有指纹的自签名证书呢？ 我要说的是，此信任与letencrypt（和其他CA）基于DNS的过程完全相同： 创建一个自签名的CA（只需遵循各种操作步骤即可） 为某些域创建证书 使用来自步骤1的CA对来自步骤2的证书进行签名。现在，您具有由不受信任的CA签名的基本证书。 将TXT（或专用）记录添加到每个域的DNS中，说明：我们已使用此CA签署了该域的证书。像：“ CA = -CA的指尖” 浏览器下载证书并通过比较CA的指纹/ CA证书与给定域的DNS中的数据进行验证。 这样就可以创建不受第三方干扰的，与任何基本SSL证书具有相同信任级别的受信任的自签名证书。只要您有权访问DNS，您的证书就有效。甚至可以添加一些DNSSEC（如加密），以从CA加上SOA记录中进行哈希处理，以确保信任因DNS记录的更改而消失。 以前考虑过吗？ 耶尔默

16 domain-name-system  ssl  certificate-authority  lets-encrypt  self-signed-certificate 

由于运行RDP的Windows 10计算机，TrustWave的漏洞扫描程序无法通过扫描： 具有64位块大小（例如DES和3DES）的生日攻击的块密码算法，称为Sweet32（CVE-2016-2183） 注意：在运行RDP（远程桌面协议）的Windows 7/10系统上，应禁用的易受攻击的密码标记为“ TLS_RSA_WITH_3DES_EDE_CBC_SHA”。 使用Nartac的IIS Crypto，我尝试应用“最佳实践”模板以及PCI 3.1模板，但是它们都包含不安全的密码（TLS_RSA_WITH_3DES_EDE_CBC_SHA）： 如果禁用此密码，则从此计算机到许多Windows工作站的RDP 将停止工作（它仍可用于某些2008 R2和2012 R2服务器）。RDP客户端仅给出“发生内部错误”和事件日志： 创建TLS客户端凭据时发生致命错误。内部错误状态为10013。 我检查了其中一台服务器的服务器事件日志，并看到这两条消息 从远程客户端应用程序收到了TLS 1.2连接请求，但是服务器不支持客户端应用程序支持的所有密码套件。SSL连接请求失败。 生成以下致命警报：40.内部错误状态为1205。 如何在不破坏传出RDP的情况下修复安全漏洞？ 或者，如果上述操作不可行，那么在无法再连接到该RDP主机上的每个RDP主机上是否可以做些什么呢？ --- 更新＃1 --- 在Windows 10计算机上禁用TLS_RSA_WITH_3DES_EDE_CBC_SHA之后，我尝试连接到多个RDP主机（其中一半失败，并显示“内部错误...”）。所以，我比较了这些主机中的一个，我可以连接到一个打击，我无法连接。两者都是2008 R2。两者都具有相同的RDP版本（6.3.9600，支持RDP协议8.1）。 我使用IIS加密对TLS协议和密码进行了比较，以对它们的当前设置执行“保存模板”，以便可以比较模板文件。他们是一样的！因此，无论出现什么问题，似乎都不是主机上缺少Chipher套件的问题。这是文件“超越比较”的屏幕截图： 导致此问题的两个RDP主机之间可能有何不同以及如何解决？

16 windows  security  ssl  rdp 

来自Certbot Webroot插件的文档 webroot插件通过为中的每个您请求的域创建一个临时文件来工作${webroot-path}/.well-known/acme-challenge。 然后，让我们加密验证服务器发出HTTP请求，以验证每个请求域的DNS都解析为运行certbot的服务器。 在私有家用服务器上，我禁用了端口80，即路由器中未启用任何端口转发。我无意开放那个港口。 如何告诉certbot验证服务器不应发出HTTP请求，而是发出HTTPS（端口443）请求来验证域的所有权？ 验证服务器甚至不需要验证家庭服务器的证书，因为默认情况下它已经使用HTTP。我可能有一个自签名证书，或者即将更新的证书，但这无关紧要。 目前，我需要启用端口80转发以及服务器上的服务器以创建/续订证书。这不允许我使用cronjob来续订证书。好吧，只要有足够的工作，但我已经有一个监听443的服务器，它也可以完成这项工作。

16 ssl  lets-encrypt 

我们有一个客户将他们的流量定向到我们的Web服务器，并且需要我们使用其通配符SSL证书。他们分两部分给了我，一个是公钥（.cer），另一个是包含私钥（ .key）的文件。我不知道如何将这两个元素整合到IIS中，因此可以将其绑定到站点。非常感谢您的协助。谢谢！

16 iis  ssl 

背景 我已经看到Comodo具有椭圆曲线的根（“ COMODO ECC证书颁发机构”），但是我在其网站上看不到EC证书。 Certicom是否具有阻止其他发行人提供EC证书的知识产权？广泛使用的浏览器是否不支持ECC？ECC是否适合Web服务器身份验证等传统PKI使用？还是没有需求？ 由于NSA Suite B的建议，我对切换到椭圆曲线感兴趣。但这对于许多应用程序似乎并不实际。 赏金标准 要申请赏金，答案必须提供指向知名CA网站上一个页面或多个页面的链接，该链接描述了他们提供的ECC证书选项，价格以及购买方式。在这种情况下，“知名”表示默认情况下，Firefox 3.5和IE 8中必须包含适当的根证书。如果提供了多个合格答案（一个可以希望！），则该证书具有来自无处不在的CA的最便宜的证书将赢得赏金。如果那不能消除任何联系（仍然希望！），我将不得不自行决定选择一个答案。 请记住，有人总是要求至少一半的赏金，因此即使您没有所有答案，也请尝试一下。

16 ssl  ssl-certificate  certificate  tls 

我有一台服务器，充当网络中cPanel邮件服务器的前端。前端服务器上的apache代理无故障运行了152天，然后突然发现使用它访问邮件服务器的Webmail客户端时出现500/502错误。 前端服务器使用已签名的SSL证书，cPanel服务器正在使用自签名的证书。这是前端服务器首次开始发生时的错误日志输出： [Tue Sep 10 18:22:52.959291 2013] [proxy:error] [pid 19531] (502)Unknown error 502: [client 173.xx.xx.xx:9558] AH01084: pass request body failed to 184.xx.xx.xx:2096 (184.xx.xx.xx), referer: https://domain.com:2096/cpsess12385596/3rdparty/roundcube/?_task=mail&_refresh=1&_mbox=INBOX [Tue Sep 10 18:22:52.959469 2013] [proxy:error] [pid 19531] [client 173.xx.xx.xx:9558] AH00898: Error during SSL Handshake with remote server returned by /cpsess12385596/3rdparty/roundcube/, referer: https://domain.com:2096/cpsess12385596/3rdparty/roundcube/?_task=mail&_refresh=1&_mbox=INBOX 前端服务器是一个EC2实例Apache/2.4.6 (Amazon) …

16 apache-2.2  amazon-ec2  ssl  reverse-proxy 

我已经为我的域设置了SSL，并且从Apache的角度来看它可以工作。 问题是通过HTTPS访问我的域有时会导致超时。如果它不起作用，则需要花费一些时间通过HTTP访问我的网站，但它永远不会超时。 为什么HTTPS会发生这种情况，并且有办法控制HTTPS的超时时间？ 我的配置：CentOS 5上的Apache 2.2.11 NameVirtualHost *:443 <VirtualHost *:443> SuexecUserGroup foo DocumentRoot /home/mydomain/www/ ServerName example.com SSLEngine on SSLProtocol -all +TLSv1 +SSLv3 SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM SSLCertificateFile /path/example.com.com.crt SSLCertificateKeyFile /path/example.com.key SSLVerifyClient none SSLProxyVerify none SSLVerifyDepth 0 SSLProxyVerifyDepth 0 SSLProxyEngine off SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0 <Directory "/home/mydomain/www"> SSLRequireSSL AllowOverride all …

16 apache-2.2  ssl  https  timeout 

我有一个EC2实例，其中Apache作为Web服务器（Wildfly作为应用程序服务器，尽管我不确定它与该问题无关）。在EC2的前面，我有一个负载平衡器，该负载平衡器终止HTTPS并应用SSL证书。 HTTP和HTTPS都可以在Chrome中正常运行，但不幸的是，在Safari中无法正常运行。访问http://test.papereed.com可以正常工作，但是访问https://test.papereed.com则会出现错误 "Safari can't open the page. The error is "The operation couldn't be completed. Protocol error" (NSPOSIXErrorDomain:100)" 我在/ etc / httpd / logs / error_log和/ etc / httpd / logs / access_log中以及在Safari控制台中都没有找到解决问题的任何提示。这就是我所学知识的发展程度:-(任何提示如何跟踪此问题的提示将不胜感激。

16 ssl  https  safari