คำถามติดแท็ก ssl-certificate

เว็บไซต์ของเราโฮสต์โดย บริษัท โฮสติ้ง HA ภายใต้โดเมน D ในแผนการโฮสต์ที่ใช้ร่วมกัน ฉันต้องการเปลี่ยนผู้ให้บริการโฮสติ้งของเราเป็น HB ของ บริษัท และฉันยินดีที่จะซื้อใบรับรอง SSL ใหม่เพื่อวัตถุประสงค์ดังกล่าว ฉันไม่ต้องการโยกย้ายใบรับรองที่มีอยู่อย่างชัดเจนเพราะฉันไม่สามารถเข้าถึงเซิร์ฟเวอร์บน HA คำถามของฉันคือถ้าทั้ง HA และ HB พร้อมกันสามารถมีใบรับรองอิสระสำหรับโดเมน D เดียวกันได้หรือไม่ ถ้าเป็นเช่นนั้นไซต์ใหม่จะทำงานภายใต้ SSL ได้อย่างราบรื่นทันทีที่ฉันเปลี่ยนโดเมนเป็น HB หรือฉันต้อง "ยกเลิกการลงทะเบียน" ใบรับรองบน ​​HA ก่อนที่ฉันจะสามารถติดตั้งใหม่บน HB ได้หรือไม่

10 ssl-certificate 

ฉันเพิ่งลองซื้อ Comodo Positive SSL แต่ถูกปฏิเสธเนื่องจากไม่สนับสนุนที่อยู่ IP สาธารณะ แต่แทนที่จะสนับสนุนชื่อโดเมนเท่านั้น ไม่มีใครรู้จักผู้ให้บริการใบรับรอง SSL ที่สนับสนุนที่อยู่ IP สาธารณะแทนชื่อโดเมนหรือไม่ บริษัท ของฉันมีเซิร์ฟเวอร์เฉพาะที่โฮสต์กับ บริษัท เว็บโฮสติ้งซึ่งใช้สำหรับเรียกใช้ตัวติดตามบั๊กสำหรับโครงการหลายโครงการ (สำหรับลูกค้าหลายราย) เนื่องจากใช้สำหรับนักติดตามบั๊กเราจึงไม่ต้องการชื่อโดเมน (ลูกค้าของเราเข้าถึงได้โดยพิมพ์ IP สาธารณะในเบราว์เซอร์)

10 ssl-certificate  domain-name  ip-address 

ล็อคแล้ว คำถามและคำตอบของคำถามนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ ตัวอย่าง: ใบรับรอง Wildcard SSL สำหรับ* .example.comติดตั้งในสองกล่องที่แตกต่างกัน hostEU.example.com A 60.70.80.90 hostUS.example.com A 200.210.220.240 ฉันคิดว่านี่เป็นสถานการณ์ที่สมบูรณ์แบบซึ่งชื่อโฮสต์จริงไม่ได้อยู่ใน IP เดียวกัน (หรือแม้แต่ช่องเดียวกันเพื่อเห็นว่า) สมมติฐานของฉันถูกต้องหรือไม่

10 ssl  ip  ssl-certificate  hostname  wildcard 

สำหรับเว็บไซต์ scirra.com ( คลิกเพื่อผลการทดสอบเซิร์ฟเวอร์ SSL Labs ) Google Chrome รายงานไอคอนต่อไปนี้: มันเป็น EV SSL และดูเหมือนว่าจะทำงานได้ดีใน Firefox และ Internet Explorer แต่ไม่ใช่ Chrome อะไรคือสาเหตุของสิ่งนี้?

9 ssl  chrome  ssl-certificate 

ในสภาพแวดล้อมการทดสอบฉันกำลังถูกระงับการทดสอบบางสิ่งที่ต้องติดตั้งในไม่ช้า (จริง ๆ แล้ว แต่คุณรู้ว่ากำหนดเวลาดำเนินไปอย่างไร ... ) เนื่องจาก Windows ปฏิเสธที่จะเชื่อถือใบรับรองที่ลงนามด้วยตนเองที่เรามีใน สภาพแวดล้อมการทดสอบแบบแยก ในขณะที่ฉันสามารถทำตามขั้นตอนปัญหากับใบรับรอง "ของจริง" และเทคนิค DNS บางประการเพื่อเหตุผลด้านความปลอดภัย / การจำแนกประเภทฉันไม่มีใบรับรองดังกล่าว ฉันพยายามเชื่อมต่อกับเซิร์ฟเวอร์อีเมลที่ใช้ Linux ชื่อ Zimbra มันกำลังใช้ใบรับรอง OpenSSL ที่ลงชื่อด้วยตนเองที่สร้างขึ้นโดยอัตโนมัติ ในขณะที่หน้าเว็บของ Google ได้เปิดขึ้นโดยเฉพาะอ้างถึงเว็บไซต์ IIS ที่มีใบรับรองที่ลงนามด้วยตนเองของ IIS แต่ฉันไม่คิดว่าวิธีการสร้างหน้าเว็บนั้นเป็นเรื่องสำคัญ ตามคำแนะนำที่ฉันพบที่นี่และที่นี่สิ่งนี้เป็นเรื่องง่าย ๆ ในการติดตั้งใบรับรองลงในร้านค้า Trusted Root Certification Authority ของเครื่องคอมพิวเตอร์ ซึ่งฉันได้ทำไปแล้วรวมถึงการคัดลอกใบรับรองด้วยตนเองและนำเข้าโดยตรงผ่านสแน็ปอิน MMC การลงชื่อเข้าใช้และการเริ่มระบบใหม่จะไม่เปลี่ยนแปลงอะไรเลย นี่คือข้อผิดพลาดใบรับรองที่ฉันได้รับทุกครั้ง: และนี่คือเส้นทางการรับรอง (สปอยเลอร์: เป็นเพียงใบรับรองเท่านั้น): สุดท้ายนี่คือใบรับรองที่ซ่อนอยู่ในที่เก็บใบรับรองของคอมพิวเตอร์ในระบบอย่างปลอดภัยตามคำแนะนำที่ฉันพบว่าควรเป็น: คำแนะนำเหล่านี้อ้างอิง Vista …

9 ssl-certificate  windows-server-2012-r2  certificate 

ฉันรู้ว่ามันถูกถามไปแล้ว แต่แม้จะมีการวิจัยหลายชั่วโมงฉันก็หาวิธีแก้ปัญหาไม่ได้ ฉันกำลังพยายามติดตั้งใบรับรองหลักของฉันในเซิร์ฟเวอร์ของฉันเพื่อให้บริการภายในสามารถผูกกันเองโดยใช้ SSL สิ่งที่ควรรู้เกี่ยวกับรูท CA ใหม่: Apache httpd และ PHP ลูกค้า OpenLDAP Node.js สำหรับ Apache ฉันต้องการแอปพลิเคชัน PHP เพื่อทราบเกี่ยวกับใบรับรองรูทดังนั้นหากไซต์เชื่อมต่อกับเว็บไซต์ SSL อื่น (ลงชื่อโดย CA เดียวกัน) มันใช้งานได้ดีและไม่บ่นเกี่ยวกับใบรับรองที่ลงชื่อด้วยตนเอง สำหรับ OpenLDAP ฉันเชื่อว่ามันเหมือนกับ PHP โมดูลที่ใช้ค่อนข้างเก่าคือ Net_LDAP2 ติดตั้งกับ PEAR ฉันพยายามแก้ไขการกำหนดค่า openldap ในเครื่อง แต่ดูเหมือนว่าระบบไม่ได้ใช้งาน Last Node.js ซึ่งฉันใช้สำหรับ parsoid เซิร์ฟเวอร์ node.js ต้องเชื่อถือ CA เพื่อทำการเชื่อมต่อ SSL ที่ดี ฉันพยายามเพิ่มใบรับรองใน /etc/pki/tls/certs/ca-bundle.crt …

9 centos  ssl  ssl-certificate  certificate-authority  certificate 

ฉันกำหนดค่า SSL สำหรับ MySQL โดยใช้สคริปต์ต่อไปนี้ #!/bin/bash # mkdir -p /root/abc/ssl_certs cd /root/abc/ssl_certs # echo "--> 1. Create CA cert, private key" openssl genrsa 2048 > ca-key.pem echo "--> 2. Create CA cert, certificate" openssl req -new -x509 -nodes -days 1000 -key ca-key.pem > ca-cert.pem echo "--> 3. Create Server certificate, …

9 mysql  ssl  ssl-certificate  encryption 

ทำไมอาปาเช่จึงให้ข้อความแสดงข้อผิดพลาดนี้ในบันทึกของฉัน มันเป็นบวกที่ผิดพลาดหรือไม่? [warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366) ฉันเพิ่งอัพเกรดจาก Centos 5.7 เป็น 6.3 และเป็นรุ่น httpd ที่ใหม่กว่า ฉันได้ทำ ssl virtualhost configuration ไว้ด้านล่างเสมอ ที่โดเมนทั้งหมดที่ใช้ใบรับรองเดียวกัน (ส่วนใหญ่ / เสมอสัญลักษณ์ตัวแทน) แบ่งปัน IP เดียวกัน แต่ไม่เคยได้รับข้อความแสดงข้อผิดพลาดนี้มาก่อน (หรือมีฉันบางทีฉันอาจไม่ได้ดูเพียงพอในบันทึกของฉัน?) จากสิ่งที่ฉันได้เรียนรู้สิ่งนี้ควรทำงานโดยไม่ต้อง SNI (บ่งชี้ชื่อเซิร์ฟเวอร์) นี่คือส่วนที่เกี่ยวข้องของไฟล์ httpd.conf ของฉัน หากไม่มี VirtualHost …

9 httpd  ssl-certificate  sni 

ฉันใช้ apache2 (2.2.3) เพื่อให้บริการเว็บไซต์ที่ฉันต้องการให้ลูกค้ารับรองความถูกต้องกับใบรับรอง เนื่องจากฉันต้องการตรวจสอบว่าผู้ใช้ที่แสดงใบรับรองเฉพาะนั้นเป็นผู้ใช้รายเดียวกันซึ่งได้นำเสนอใบรับรองนั้นในอดีต CA ที่เซ็นชื่อใบรับรองนั้นไม่เกี่ยวข้อง ดูเหมือนว่าการใช้SSLVerifyClient requireต้องการSSLCACertificateFile ...(หรือSSLCACertificatePath ...) แล้ว apache จะยอมรับเฉพาะใบรับรองที่ลงนามโดย CA ในไฟล์ / พา ธ นั้น มีวิธีรับ apache ในการยอมรับใบรับรองไคลเอ็นต์ใด ๆ โดยไม่คำนึงถึง CA ที่ออก / ร้องเพลง (เช่นตรวจสอบว่าลูกค้ามีคีย์ส่วนตัวที่สอดคล้องกับกุญแจสาธารณะที่นำเสนอ แต่ไม่ต้องตรวจสอบ CA ที่ออก / ลงนาม)

9 apache-2.2  ssl  ssl-certificate  certificate 

คำเตือน: SSLv3 เป็นล้าสมัย พิจารณาปิดการใช้งานทั้งหมด ฉันกำลังพยายามตั้งค่า Stunnel ไปยังเซิร์ฟเวอร์เป็นแคช SSL ทุกอย่างราบรื่นและส่วนใหญ่ทำงานตามที่ออกแบบไว้ จากนั้นฉันก็พบข้อผิดพลาดในไฟล์บันทึก: SSL_accept: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number ไม่ใช่ลูกค้าทุกคนเรียกสิ่งนั้นด้วยเหตุผลแปลก ๆ การเชื่อมต่อจาก CentOS โดยใช้ลิงก์ - ข้อผิดพลาดปรากฏขึ้น (ลองหลายเครื่อง) การเชื่อมต่อจาก Ubuntu โดยใช้ลิงก์ - ไม่มีข้อผิดพลาด ลองใช้ wget และทุกอย่างราบรื่นด้วย TLSv1 แต่ข้อผิดพลาดแสดงขึ้นด้วย SSLv3 ในเวลาเดียวกันรายงาน wget: OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure ไม่สามารถสร้างการเชื่อมต่อ SSL นี่คือการกำหนดค่าของฉัน: pid = /etc/stunnel/stunnel.pid debug …

9 ssl  ssl-certificate  openssl  stunnel 

เรามีเว็บไซต์ช็อปปิ้งออนไลน์ เมื่อฉันจะไปที่หน้าชำระเงินฉันได้รับข้อผิดพลาดเช่นนี้ "ข้อผิดพลาด: 14094410: กิจวัตร SSL: SSL3_READ_BYTES: การจับมือการแจ้งเตือน sslv3 ล้มเหลว (35)" จากบันทึกข้อผิดพลาด apache ฉันสามารถเห็นความพยายามในการเชื่อมต่อกับ api.paypal.com นี่คือส่วนหนึ่งของบันทึกข้อผิดพลาด apache ของฉัน * About to connect() to api.paypal.com port 443 (#0) * Trying 66.211.168.123... * connected * Connected to api.paypal.com (66.211.168.123) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: …

9 ssl  ssl-certificate 

ฉันได้รับข้อผิดพลาดนี้: No cURL data returned for https://XXX.XXXX.XXX:XXXX [0] SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed ฉันไม่แน่ใจหรือฉันสามารถพูดได้ฉันไม่รู้ว่าปัญหานี้คืออะไร และวิธีแก้ปัญหานี้? กรุณาช่วย!

9 ssl  ssl-certificate  curl 

กล่าวอีกนัยหนึ่งความเสี่ยงด้านความปลอดภัยของการไม่ลงนามใบรับรองกุญแจสาธารณะโดยผู้ออกใบรับรอง (จากมุมมองของผู้ใช้) คืออะไร ฉันหมายถึงข้อมูลยังคงถูกเข้ารหัส ... คนที่อยู่ตรงกลางสามารถทำอะไรกับใบรับรองที่ไม่ได้ลงชื่อ?

9 security  ssl-certificate  https  encryption 

VM การผลิตจะไม่ถูกโคลนเป็นเวลาสองสามวัน แต่เราต้องการไฟล์ CSR เพื่อซื้อใบรับรอง ฉันสามารถสร้างไพรเวตคีย์และไฟล์ CSR บนเครื่องของฉันเองส่งไฟล์ CSR ไปยังหน่วยงานออกใบรับรองเพื่อซื้อใบรับรองแล้วคัดลอกไฟล์ไปยังกล่องผลิตเมื่อพร้อมหรือไม่ หรือต้องสร้าง CSR ในกล่องผลิตเอง? ความแตกต่างใน openssl ระหว่างเครื่องของฉันและการผลิต VM ทำให้เกิดปัญหาได้หรือไม่?

9 apache-2.2  ssl-certificate 

ฉันมีปัญหากับ poste.io และการกำหนดค่าด้วย nginx-proxy DOMAIN เป็นโดเมนที่ถูกต้อง :) นี่คือนักเทียบท่าของฉันเขียนสำหรับ poste.io: version: '3' volumes: mailserver_posteio: services: mailserver: image: analogic/poste.io container_name: poste-io restart: always ports: - "25:25" - "110:110" - "143:143" - "587:587" - "993:993" - "995:995" - "4190:4190" environment: - LETSENCRYPT_EMAIL=ssl@DOMAIN - LETSENCRYPT_HOST=mail.DOMAIN - VIRTUAL_HOST=mail.DOMAIN - HTTPS=OFF volumes: - /etc/localtime:/etc/localtime:ro - mailserver_posteio:/data …

nginx  ssl-certificate  email-server  lets-encrypt