Questions tagged «tls»

我们已经在Ubuntu Trusty上运行了nginx。它通过一个IP地址上的https服务多个网站。 随机地，尽管它似乎与工作量有些关系，但有时单个请求会出现在错误的虚拟主机上。这导致要求lustrum.thalia.nu由服务，thalia.nu反之亦然。然后，当用户突然进入另一个网站时，这将产生令人讨厌的错误页面。按时F5，用户将再次回到原始目标。 似乎与浏览器或操作系统无关。已经确认它会在Firefox（Linux，Windows，Mac），Edge（Windows）和Chrome（Linux，Windows，Android）和Safari（iOS）上发生。 当系统处于负载状态时，此问题似乎更经常发生，这表明存在某种竞争状况。 芦荟 server { server_name lustrum.thalia.nu; listen 443 ssl; ssl on; ssl_certificate /etc/nginx/certs/lustrum.thalia.nu.crt; ssl_certificate_key /etc/nginx/certs/lustrum.thalia.nu.key; add_header Strict-Transport-Security "max-age=63072000; preload"; root /var/www/thalia-lustrum/public_html; location / { index index.php; try_files $uri $uri/ /index.php?$args; } # Add trailing slash to */wp-admin requests. rewrite /wp-admin$ $scheme://$host$uri/ permanent; # Pass all .php …

9 nginx  ssl  virtualhost  php-fpm  tls 

sendmail对TLS对话设置了一个位置限制。我想检查发送到example.com的邮件是否已发送到具有* .messagelabs.com证书的服务器。我想防止DNS欺骗和MitM。如果messagelabs只有一台服务器，那就容易了： TLS_Rcpt:example.com VERIFY:256+CN:mx.messagelabs.com 但是，messagelabs有许多服务器和不同服务器的群集，它们具有相同名称的唯一IP和证书。很好，我只想检查要向我发送邮件的服务器是否经过验证，属于Messagelabs。 我努力了 TLS_Rcpt:example.com VERIFY:256+CN:messagelabs.com TLS_Rcpt:example.com VERIFY:256+CN:*.messagelabs.com TLS_Rcpt:example.com VERIFY:256+CN:.*.messagelabs.com 但我收到类似的错误 CN mail31.messagelabs.com does not match .*.messagelabs.com 我怎样才能做到这一点？这是对我们的经常性请求（主要是针对TLS_Rcpt：example.com VERIFY：256 + CN：*。example.com之类的配置），因此我可以修改sendmail.cf，但我无法理解 STLS_req R $| $+ $@ OK R<CN> $* $| <$+> $: <CN:$&{TLS_Name}> $1 $| <$2> R<CN:$&{cn_subject}> $* $| <$+> $@ $>"TLS_req" $1 $| <$2> R<CN:$+> $* $| …

9 smtp  email-server  sendmail  tls 

我想为某些域托管邮件服务。我已经成功设置了postfix来为这些虚拟域查询sql。我想做的是： 对于25上的连接： 拒绝中继（仅传递给我的虚拟域的收件人） 将tls保留为可选，但仅在客户端执行tls时才提供身份验证 仅接受未列入黑名单的客户端（例如，限制来自spamhaus的XBL + SBL + PBL）或执行tls和auth（设置为通过auth和tls向我进行身份验证的“朋友邮件服务器”）的客户端 对于587上的连接： 强制执行tls和auth 许可中继。 仅接受未列入黑名单的客户（如上黑名单，但不进行PBL检查） 我的问题： 答：我知道上面的postfix选项，但是我找不到如何根据侦听端口来区分它们的方法。 B.使用上述政策，我是否会遇到合法客户的广为人知的问题？ 我是邮件服务器设置的新手，对于任何无意义的问题/建议，都深表歉意（请指出）。谢谢。

9 postfix  smtp  tls 

我在服务器的Windows事件日志中收到此错误： 从远程客户端应用程序收到了TLS 1.0连接请求，但是服务器不支持客户端应用程序支持的所有密码套件。SSL连接请求失败。 当我尝试从Windows Server 2003框连接到Windows 7框上的Web服务时。 如何将密码套件添加到另一个密码套件中？ （固定客户端是理想的选择，但是如果没有服务器解决方案就可以了-我可以访问所有涉及的设备，我只是想在它们之间进行一些基本的加密以保护隐私）。 随着数小时的谷歌搜索和阅读，我尝试了： 检查服务器Windows事件查看器（发现密码套件错误） 从http://support.microsoft.com/kb/948963向test1添加了密码套件（没有帮助） 将TLS 1.0添加到服务器Windows注册表中密码套件中的协议中（不变） 安装IIS工具，希望为Schannel添加更多协议（不是） 再次为客户导出证书，但包含私钥（不变） 检查服务器和客户端上已安装的密码套件是否匹配（找不到win2k3列出它们的位置） 将TLS_RSA_WITH_AES_256_CBC_SHA（由上述修补程序安装）添加到服务器的密码套件中（不，已经存在）

9 windows-server-2003  windows-7  tls  ssl 

我正在尝试通过遵循本指南https://help.ubuntu.com/12.04/serverguide/openldap-server.html在ubuntu 12.04上设置openldap 当我尝试通过创建上述指南中所述的自签名证书在服务器上启用TLS时，出现以下错误 我跑的命令 ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ssl/certinfo.ldif ldif文件的内容 dn: cn=config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem 错误信息 ldap_modify: Inappropriate matching (18) additional info: modify/add: olcTLSCertificateFile: no equality matching rule 经过数小时的Google搜索，我没有发现任何有关此错误的信息。有人对此有更多信息吗？

9 openldap  ubuntu-12.04  tls 

抽象 我需要从多个客户端到Internet上单个端口的加密TCP连接。鱿鱼可以实现吗？ 具体情况 我们在公司中使用监视和客户端管理解决方案，该解决方案可通过LAN和VPN访问。现在应该可以从不使用公司VPN的外部笔记本上访问它。通信必须是加密的（TLS）。客户端身份验证必须使用客户端证书。通信由客户端启动，并使用单个TCP端口。 我的调查结果 NGINX Plus似乎提供了此功能，但我们的管理员更喜欢乌贼或apache。在鱿鱼Wiki上，我发现：功能：HTTPS（HTTP安全或SSL / TLS上的HTTP）提到了TCP加密。但是我也发现了这个警告： 重要的是要注意，通过CONNECT传递的协议不仅限于Squid通常处理的协议。实际上，使用双向TCP连接的所有内容都可以通过CONNECT隧道传递。这就是为什么Squid默认ACL以deny CONNECT！SSL_Ports开头的原因，并且您必须有充分的理由在其上方放置任何类型的允许规则。 类似问题 这个问题使用SSL加密与鱿鱼正向代理的客户端连接是类似的，但是不处理反向代理/ TLS终止代理。 我需要知道的 我对该技术只有基本知识，我们的管理员要求我提供一般可行性。 Squid可以用于保存TCP连接的加密吗？ 可以使用客户端证书的身份验证来实现吗？ 还是应该仅将其用于HTTPS连接？

8 tcp  squid  certificate  tls  encryption 

关闭。这个问题是题外话。它当前不接受答案。 想改善这个问题吗？ 更新问题，使它成为服务器故障的主题。 4年前关闭。 我已经使用SSL Labs的SSL服务器测试来测试HTTP服务器的SSL设置，但是它不支持其他使用SSL的情况，例如IMAP。对于使用SSL的非HTTP服务器，是否有等效的详细测试？我已经使用SSL Shopper的SSL Checker进行了基本测试，但是并没有涉及诸如是否正确配置了Perfect Forward Secrecy等详细信息。

8 ssl  tls 

我尝试访问以下网站，以获取有关如何为Web服务器生成CSR的说明： http://www.entrust.net/knowledge-base/technote.cfm?tn=8649 但是，它仅生成CSR。私钥在哪里？有人告诉我密钥是在CSR生成时生成的。 我正在使用Windows10。我计划使用node.js Express。我们是否可以使用其他工具在Windows 10上生成CSR？

8 ssl  https  tls  node.js  csr 

我将需要使用SSL SNI，但是不幸的是，根据最近的Cloudflare博客文章，只有90％的网络支持它。我如何（例如使用nginx）检测客户端是否支持SNI并提供/重定向到网站的HTTP版本？这可能吗？使用SNI怎么能不丢失10％的流量？假设我没有有效的证书就无法将HTTPS流量重定向到HTTP，这样的请求是不可能的，这是否正确？ 谢谢。

8 tls 

威瑞信拥有所有这些证书发行公司：威瑞信Thawte Geotrust和Rapidssl。 它们之间有什么区别，为什么价格差异那么大？ 更新：这只是我遇到的 几处差异：GeoTrust未链接：未正确验证整个链条的设备可能对此运气更好。我已经看到ActiveSync与未链接的证书一起比已链接的证书更好地工作。 RapidSSL和Geotrust证书未按服务器授权，因此，您可以为整个Webfarm购买一个证书。 Verisign证书带有免费的每日恶意软件扫描，如果您的站点上发现任何此类软件，则会提醒您。 仅Verisign代码签名证书可与WinQual一起使用

8 ssl  ssl-certificate  wildcard  tls 

我正在Ubuntu 10.04上的Apache / 2.2.14上运行一个（自签名）SSL证书站点，但是各种浏览器在尝试进行一半连接时给出错误。刚才看到了来自Chrome的短暂错误： "Error 126 (net::ERR_SSL_BAD_RECORD_MAC_ALERT): Unknown error." 单击刷新，问题消失了一段时间。 wget也是： $ wget --no-check-certificate https://dev.foo.com/deps/ --2010-09-08 19:30:26-- https://dev.foo.com/deps/ Resolving dev.foo.com... 184.72.53.220 Connecting to dev.foo.com|184.72.53.220|:443... connected. OpenSSL: error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01 OpenSSL: error:04067072:rsa routines:RSA_EAY_PUBLIC_DECRYPT:padding check failed OpenSSL: error:1408D07B:SSL routines:SSL3_GET_KEY_EXCHANGE:bad signature Unable to establish SSL connection. 立即再次运行它，它的工作原理是： $ wget --no-check-certificate …

8 apache-2.2  ssl  ssl-certificate  httpd  tls 

我已经将Nginx设置为HTTP负载平衡器，并为Apache Web服务器提供了SSL / TLS终止功能。我的问题是使用Nginx终止ssl，如何将数据加密回浏览器/客户端。 是否必须将每个apache服务器配置为执行SSL还是将数据从apache发送回Nginx进行加密？我想限制apache网络服务器上的CPU资源。 感谢您在此问题上的任何帮助。 PS：我在Nginx配置上使用X-Forwarded-For。这会将浏览器的证书发送到apache服务器吗？

nginx  ssl  tls