คำถามติดแท็ก ssl-certificate

เรามีใบรับรอง SSL สำหรับเว็บไซต์ของเราจาก Network Solutions หลังจากอัพเกรด Apache / OpenSSL เป็นเวอร์ชั่น 2.4.9 ฉันได้รับคำเตือนต่อไปนี้เมื่อเริ่มต้น HTTPD: AH02559: The SSLCertificateChainFile directive (/etc/httpd/conf.d/ssl.conf:105) is deprecated, SSLCertificateFile should be used instead ตามคู่มือ Apache สำหรับ mod_sslนี่เป็นกรณีจริง: SSLCertificateChainFile เลิกใช้แล้ว SSLCertificateChainFile ล้าสมัยกับรุ่น 2.4.8 เมื่อ SSLCertificateFile ถูกขยายเพื่อโหลดใบรับรอง CA ระดับกลางจากไฟล์ใบรับรองเซิร์ฟเวอร์ด้วย มองขึ้นไปเอกสารสำหรับSSLCertificateFileมันดูเหมือนผมเพียงแค่ต้องการที่จะเปลี่ยนการโทรของฉันไปSSLCertificateChainFileกับSSLCertificateFile การเปลี่ยนแปลงนี้ทำให้ ssl.conf ของฉันเปลี่ยนจากสิ่งนี้: SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt SSLCertificateKeyFile /etc/ssl/server.key SSLCertificateChainFile /etc/ssl/Apache_Plesk_Install.txt สำหรับสิ่งนี้: …

14 ssl-certificate  apache-2.4  mod-ssl  certificate 

ฉันเพิ่งซื้อใบรับรอง SSL และนี่คือไฟล์ใบรับรองทั้งหมดที่ฉันได้รับ: Root CA Certificate - xxCARoot.crt Intermediate CA Certificate - x1.crt Intermediate CA Certificate - x2.crt Intermediate CA Certificate - x3.crt Your EssentialSSL Wildcard Certificate - mydomain.crt ตอนนี้เพื่อติดตั้งใบรับรองของฉันใน apache: ฉันจำเป็นต้องเปิดเผยใบรับรองรูท CA หรือไม่? เนื่องจาก apache อนุญาตเพียง 1 SSLCertificateChainFiledirective ฉันควรสร้างไฟล์บันเดิลของ CA ระดับกลางหรือไม่ ถ้าเป็นเช่นนั้น ลำดับของใบรับรองในไฟล์บันเดิลจะถูกย้อนกลับดังนี้: cat x3.crt x2.crt x1.crt> myca.bunndle หากต้องเพิ่มใบรับรองรูทจะถือเป็นใบรับรองล่าสุด …

14 apache-2.2  security  ssl  ssl-certificate 

ฉันมีชื่อโฮสต์สองชื่อที่ใช้ชื่อโดเมนเดียวกันซึ่งฉันต้องการให้บริการผ่าน HTTP ฉันมีใบรับรอง wildcard-SSL และสร้าง vhost configs สองอัน: โฮสต์ A listen 127.0.0.1:443 ssl; server_name a.example.com; root /data/httpd/a.example.com; ssl_certificate /etc/ssl/wildcard.cer; ssl_certificate_key /etc/ssl/wildcard.key; โฮสต์ B listen 127.0.0.1:443 ssl; server_name b.example.com; root /data/httpd/b.example.com; ssl_certificate /etc/ssl/wildcard.cer; ssl_certificate_key /etc/ssl/wildcard.key; อย่างไรก็ตามฉันได้รับ vhost เดียวกันสำหรับชื่อโฮสต์อย่างใดอย่างหนึ่ง

14 nginx  ssl  virtualhost  ssl-certificate  https 

ฉันมีใบรับรองไวด์การ์ด SSL และโดเมนย่อยหลายรายการใน IP เดียวกัน ตอนนี้ฉันต้องการให้ nginx ของฉันจัดการเฉพาะชื่อเซิร์ฟเวอร์ที่กล่าวถึงและการเชื่อมต่อแบบหล่นสำหรับผู้อื่นเพื่อให้ดูเหมือนว่า nginxไม่ทำงานสำหรับชื่อเซิร์ฟเวอร์ที่ไม่แสดง (ไม่ตอบสนองปฏิเสธปฏิเสธไม่ใช่หนึ่งไบต์ในการตอบสนอง) ฉันทำต่อไปนี้ ssl_certificate tls/domain.crt; ssl_certificate_key tls/domain.key; server { listen 1.2.3.4:443 ssl; server_name validname.domain.com; // } server { listen 1.2.3.4:443 ssl; server_name _; // deny all; // return 444; // return 404; //location { // deny all; //} } ฉันได้ลองเกือบทุกอย่างในบล็อกเซิร์ฟเวอร์ล่าสุด แต่ไม่สำเร็จ ฉันได้รับการตอบสนองที่ถูกต้องจากเซิร์ฟเวอร์เสมือนที่รู้จักหรือรหัสข้อผิดพลาด …

14 nginx  ssl  virtualhost  ssl-certificate 

ฉันมีปัญหาแปลก ๆ อัปเดตเครื่อง LAMP dev ของฉัน (Debian) เป็น PHP 7 หลังจากนั้นฉันไม่สามารถเชื่อมต่อกับ API ที่เข้ารหัส TLS ผ่านทาง Curl ได้อีกต่อไป คำถามเกี่ยวกับใบรับรอง SSL ถูกลงชื่อโดย thawte curl https://example.com ให้ฉัน curl: (60) SSL certificate problem: unable to get local issuer certificate แต่ทว่า curl https://thawte.com ซึ่งแน่นอนว่ายังมีลายเซ็นของ Thawte ฉันสามารถเข้าถึงไซต์ API ผ่าน HTTPS บนเครื่องอื่น ๆ เช่นเดสก์ท็อปของฉันผ่านทาง curl และในเบราว์เซอร์ ดังนั้นใบรับรองจึงมีผลใช้ได้แน่นอน …

14 ssl  ssl-certificate  openssl  tls  curl 

เราใช้ Nginx เป็น reverse proxy ไปยังเว็บแอพพลิเคชันเซิร์ฟเวอร์ของเรา Nginx จัดการ SSL ของเราและเช่นนั้นทำหน้าที่เป็น reverse proxy เราต้องการใบรับรองลูกค้าที่ถูกต้องสำหรับคำขอ/jsonrpcแต่ไม่ต้องการที่อื่น วิธีที่ดีที่สุดที่เราพบคือ server { listen *:443 ssl; ssl on; ssl_certificate /etc/nginx/server.crt; ssl_certificate_key /etc/nginx/server.key; ssl_client_certificate /etc/nginx/client-ca.crt; ssl_verify_client optional; location /jsonrpc { if ($ssl_client_verify != "SUCCESS") { return 403; } proxy_pass http://localhost:8282/jsonrpc-api; proxy_read_timeout 90; proxy_redirect http://localhost/ $scheme://$host:$server_port/; } } สิ่งนี้ใช้ได้ดีกับเบราว์เซอร์ส่วนใหญ่ …

14 nginx  ssl-certificate 

ฉันมีสองเซิร์ฟเวอร์ทั้งคู่มี nginx เซิร์ฟเวอร์ A กำลังรับฟัง 443 และได้รับการกำหนดค่าให้ตรวจสอบสิทธิ์ด้วยใบรับรอง SSL ของไคลเอ็นต์ เซิร์ฟเวอร์ B มีกระบวนการภายในที่ต้องสื่อสารกับเซิร์ฟเวอร์ A ถึง nginx ฉันต้องการกำหนดค่า Nginx บนเซิร์ฟเวอร์ B ที่จะรับฟัง 8080 (ไม่มีการเข้ารหัสเนื่องจากเป็นการสื่อสารในท้องถิ่นทั้งหมด) และ proxy_pass เป็น ServerA: 443 คำถามคือฉันจะฉีดใบรับรองลูกค้าได้อย่างไร ฉันไม่พบฟังก์ชัน proxy_xxxx ใด ๆ ที่จะทำเช่นนั้น ฉันรู้วิธีทำให้เทียบเท่ากับ socat แต่ความต้องการของฉันคือใช้ nginx

14 nginx  proxy  ssl-certificate 

สำหรับใบรับรอง SSL บนโดเมน example.com การทดสอบบางอย่างบอกฉันว่าห่วงโซ่ไม่สมบูรณ์และเนื่องจาก Firefox เก็บใบรับรองของตัวเองไว้จึงอาจล้มเหลวบน Mozilla ( 1 , 2 , 3 ) คนอื่นบอกฉันว่ามันใช้ได้ดีเช่นเดียวกับ Firefox 36 ซึ่งบอกฉันว่าเชนใบรับรองนั้นใช้ได้ UPDATE: ฉันทดสอบบน Opera, Safari, Chrome และ IE ทั้ง Windows XP และ MacOS X Snow Leopard พวกเขาทำงานได้ดี มันล้มเหลวบน Firefox <36 บนทั้งสองระบบปฏิบัติการเท่านั้น ฉันไม่สามารถเข้าถึงทดสอบบน Linux ได้ แต่สำหรับเว็บไซต์นี้มีผู้เข้าชมน้อยกว่า 1% และส่วนใหญ่อาจเป็นบ็อต ดังนั้นนี่เป็นการตอบคำถามเดิม "การตั้งค่านี้ทำให้เกิดคำเตือนใน Mozilla Firefox หรือไม่" …

13 ssl  ssl-certificate  https  certificate  certificate-authority 

คอมพิวเตอร์สองสามเครื่อง แต่ไม่มากที่สุดกำลังปฏิเสธใบรับรอง SSL จากเว็บเซิร์ฟเวอร์ของฉัน ปัญหาดูเหมือนว่าคอมพิวเตอร์บางเครื่องปฏิเสธ CA certs ดูเหมือนว่าปัญหาจะปรากฏใน Mac OS X 10.6 เมื่อไม่ได้รับการอัพเดตอย่างสมบูรณ์ ตามที่http://www.sslshopper.com/index.php?q=ssl-checker.html#hostname=beta.asana.com - ไม่มีปัญหา อ้างอิงจากhttp://certlogik.com/sslchecker/ไม่มีการส่งใบรับรองกลาง หนังสือรับรองของฉันมาจาก Starfield Technologies และฉันใช้sf_bundle.crtจากที่นี่: certs.godaddy.com/anonymous/repository.seam ฉันจัดการ SSL บนเซิร์ฟเวอร์ของฉันผ่าน stunnel ด้วยสิ่งต่อไปนี้stunnel.conf: cert = $CODEZ/admin/production/proxy/asana.pem CAfile = $CODEZ/admin/production/proxy/sf_bundle.crt pid = client = no [<forwarded port>] accept = 443 connect = 8443 ความคิดใดที่ฉันสามารถทำผิดได้?

13 ssl  ssl-certificate  stunnel 

TLS เป็นรุ่น "ใหม่" ของ SSL หรือไม่ มันมีคุณสมบัติอะไรเพิ่มหรือปัญหาด้านความปลอดภัยมันอยู่? มีอะไรที่รองรับ SSL รองรับ TLS ได้บ้าง สิ่งที่จะมีส่วนร่วมในการทำสวิทช์? สวิตช์มีค่าไหม เหตุใดจึงมีการส่งอีเมลผ่าน "Opportunistic TLS" และ VPN มักเรียกว่า SSL VPN เทคโนโลยีมีความแตกต่างหรือไม่บางทีสร้างห้องสำหรับสายผลิตภัณฑ์ "TLS VPN"

13 vpn  ssl  ssl-certificate  tls 

Windows Server 2008 R2, IIS7 เรามีใบรับรอง SSL จาก Go Daddy มันเป็นใบรับรองไวด์การ์ดดังนั้นมันจะทำงานข้ามโดเมนย่อย (เช่น * .domain.com) ฉันทำตามคำแนะนำที่http://support.godaddy.com/help/article/4801/installing-an-ssl-certificate-in-microsoft-iis-7สำหรับการติดตั้งใบรับรอง ฉันไปที่ขั้นตอน IIS โดยที่: คลิกที่คุณสมบัติ "ใบรับรองความปลอดภัย" เมื่อเซิร์ฟเวอร์ถูกเลือกในบานหน้าต่างด้านซ้าย คลิกที่ "ขอใบรับรองที่สมบูรณ์" นำทางไปยังไฟล์. crt บนระบบไฟล์ ตั้งชื่อ "เป็นมิตร" คลิกเสร็จสิ้น ใบรับรองได้รับการระบุไว้ในบานหน้าต่างหลักในตอนนี้ของแผง "ใบรับรองเซิร์ฟเวอร์" แต่ถ้าฉันรีเฟรชหน้าเว็บหรือออกไปและกลับมามันก็หายไป และใบรับรองไม่ได้อยู่ในรายการที่มีผลผูกพันเมื่อพยายามผูกเว็บไซต์เพื่อ https ดูเหมือนว่าเป็นกระบวนการที่ค่อนข้างตรงไปตรงมา แต่ชัดเจนว่าฉันขาดอะไรบางอย่างที่นี่ ความคิดใด ๆ แก้ไข: ฉันพบโพสต์นี้ซึ่งดูเหมือนจะบอกเป็นนัยถึงพฤติกรรมนี้เกิดขึ้นเมื่อคุณพยายามใช้ใบรับรองระดับกลาง เมื่อฉันดาวน์โหลดไฟล์จาก GoDaddy มี 2 ไฟล์ใน zip 1 คือ gd_iis_intermediates ส่วนอีกชื่อสำหรับโดเมน …

13 windows-server-2008  iis-7  ssl  ssl-certificate 

เราใช้ใบรับรองด้านลูกค้าสำหรับการตรวจสอบหนึ่งในลูกค้าของเรา การตั้งค่าของเราคือ: เรามี nginx ต่อหน้าแอปพลิเคชั่น Django ในการตั้งค่า Nginx ของเราเรามีพารามิเตอร์ที่ต้องการที่จะได้รับการตรวจสอบฝั่งไคลเอ็นต์ใบรับรองที่เกิดขึ้นจริงในการทำงาน ( ssl_client_certificate, ssl_verify_clientฯลฯ ) และ uwsgi_param X-Client-Verify $ssl_client_verify; uwsgi_param X-Client-DN $ssl_client_s_dn; uwsgi_param X-SSL-Issuer $ssl_client_i_dn; ซึ่งหมายความว่าเราได้รับคุณค่าของตัวแปรเหล่านั้นลงในแอพ Django ของเรา จากนั้นแอป Django จะใช้ข้อมูลนี้เพื่อระบุผู้ใช้ที่กำลังเชื่อมต่อและอนุญาตพวกเขา เราประสบความสำเร็จในการใช้สิ่งนี้เป็นเวลาหลายเดือนโดยไม่มีปัญหาใด ๆ เมื่อเราเริ่มได้รับรายงานเกี่ยวกับคนที่ไม่สามารถเข้าสู่ระบบโดยใช้ใบรับรอง ปรากฏว่ารูปแบบของ$ssl_client_s_dnและ$ssl_client_i_dnค่ามีการเปลี่ยนแปลงจากรูปแบบที่คั่นด้วยเครื่องหมายสแลช: /C=SE/O=Some organziation/CN=Some CA เป็นรูปแบบที่คั่นด้วยเครื่องหมายจุลภาค: CN=Some CA,O=Some organization,C=SE การแก้ปัญหานี้เป็นเรื่องง่าย แต่ฉันไม่เข้าใจว่าทำไม ดังนั้นคำถามของฉันเป็นจริง: คุณค่าของการ$ssl_client_s_dnมาจากที่ใด มันถูกกำหนดโดย nginx? ลูกค้า? มีเอกสาร / ข้อมูลจำเพาะของรูปแบบที่ค่านี้สามารถมีและมีชื่อหรือไม่?

13 nginx  ssl  ssl-certificate 

ฉันมีเซิร์ฟเวอร์ IIS 8 (win 2012 r2) และฉันต้องการผูกเว็บไซต์เดียวกันกับ 2 โดเมนที่แตกต่างและ 2 ใบรับรองที่แตกต่างกัน ฉันไม่สามารถใช้สัญลักษณ์แทนเนื่องจากโดเมนต่างจาก FQDN หากฉันเพิ่มการเชื่อมโยง 2 รายการสำหรับ https และพอร์ต 443 ฉันไม่สามารถเลือกใบรับรองที่แตกต่างกัน 2 รายการ (เมื่อฉันเปลี่ยนการเชื่อมโยงหนึ่งรายการจะเป็นการเปลี่ยนแปลงการเชื่อมโยงอื่น ๆ ) มีวิธีแก้ปัญหานี้โดยไม่ใช้พอร์ตที่แตกต่างกันหรือแยกเป็น 2 เว็บไซต์ที่ต่างกันหรือ ขอบคุณ!

13 ssl  ssl-certificate  iis-8  bindings 

ฉันพยายามที่จะทำคำขอขดโดยใช้ใบรับรองลูกค้าเช่น: curl -E my.pem https://some.site และฉันได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้: curl: (35) error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca สิ่งนี้หมายความว่า? การร้องเรียนนี้มาจากเซิร์ฟเวอร์ที่ฉันกำลังเชื่อมต่อหรือไคลเอนต์ curl ของฉันหรือไม่ (ฉันจะทราบได้อย่างไร) ca ในบริบทนี้คืออะไร ฉันจะทำให้เป็นที่รู้จัก ca ได้อย่างไร

13 ssl  ssl-certificate  openssl  certificate-authority  curl 

ฉันคิดว่าคุณหลายคนเคยได้ยินเกี่ยวกับการริเริ่มการรับรองความโปร่งใสของGoogle ตอนนี้ initiave เกี่ยวข้องกับบันทึกสาธารณะของใบรับรองทั้งหมดที่ออกโดย CA บางแห่ง เนื่องจากนี่เป็นงานจำนวนหนึ่ง CAs บางตัวเท่านั้นที่ไม่ได้ตั้งค่า ตัวอย่างเช่นStartComกล่าวแล้วว่าเป็นการยากที่จะตั้งค่าจากด้านข้างของพวกเขาและการตั้งค่าที่เหมาะสมจะใช้เวลาเป็นเดือน ในระหว่างนี้ใบรับรอง EV ทั้งหมดจะถูก "ลดระดับ" เป็น "ใบรับรองมาตรฐาน" โดย Chrome ตอนนี้มีการระบุว่ามีสามวิธีในการจัดทำเร็กคอร์ดที่จำเป็นเพื่อป้องกันการลดระดับ: ส่วนขยาย x509v3 ซึ่งเป็นไปได้สำหรับ CA เท่านั้น ส่วนขยาย TLS เย็บเล่ม OCSP ตอนนี้ฉันคิดว่าส่วนที่สองและสามจำเป็นต้องมีการโต้ตอบ (ไม่?) จาก CA ที่ออก ดังนั้นคำถาม: ฉันสามารถตั้งค่าการสนับสนุนความโปร่งใสของใบรับรองกับเว็บเซิร์ฟเวอร์ apache ของฉันได้หรือไม่ถ้า CA ของฉันไม่รองรับและฉันจะทำอย่างไรถ้าเป็นไปได้

12 debian  ssl-certificate  apache-2.4  certificate-authority