คำถามติดแท็ก ssl

ฉันกำลังติดตั้งพร็อกซี nginx ssl บนเซิร์ฟเวอร์ Fedora ของฉัน ฉันได้สร้างคู่คีย์และใบรับรองภายใต้ / etc / nginx พวกเขามีลักษณะเช่นนี้: ls -l /etc/nginx/ total 84 ... -rw-r--r--. 1 root root 1346 Sep 20 12:11 demo.crt -rw-r--r--. 1 root root 1679 Sep 20 12:11 demo.key ... ในฐานะที่เป็น root ฉันพยายามเริ่มบริการ nginx: systemctl start nginx.service ฉันได้รับข้อผิดพลาดต่อไปนี้: nginx[30854]: nginx: [emerg] SSL_CTX_use_certificate_chain_file("/etc/nginx/demo.crt") failed …

25 nginx  ssl  ssl-certificate 

ฉันมีข้อผิดพลาดเมื่อพยายามที่จะเปลี่ยนเส้นทางhttps://example.comเพื่อhttps://www.example.com เมื่อฉันไปที่https://example.comจะไม่เปลี่ยนเส้นทางและส่งคืนสถานะหน้า / 200 ฉันไม่ต้องการที่นี้ผมต้องการให้เปลี่ยนเส้นทางไปยังhttps://www.example.com เมื่อฉันไปที่http://example.comมันจะเปลี่ยนเส้นทางไปที่https://www.example.com ใครสามารถบอกฉันได้ว่าฉันกำลังทำผิดอยู่ที่ไหน? นี่คือไฟล์คอนฟิกูเรชันดีฟอลต์และ default-ssl ของฉัน: default.conf server { listen 80; server_name example.com; return 301 https://www.example.com$request_uri; } เริ่มต้น ssl.conf upstream app_server_ssl { server unix:/tmp/unicorn.sock fail_timeout=0; } server { server_name example.com; return 301 https://www.example.com$request_uri } server { server_name www.example.com; listen 443; root /home/app/myproject/current/public; index index.html index.htm; error_log …

25 nginx  ssl  ssl-certificate  https 

เป้าหมายของฉันคือการรับรองความปลอดภัยที่เหมาะสมสำหรับลูกค้าที่เชื่อมต่อกับ nginx ของฉัน ฉันปฏิบัติตามคำแนะนำของ Mozilla เพื่อกำหนดค่า TLS อย่างถูกต้องในการติดตั้ง nginx ของฉัน แต่ฉันไม่มีภาพรวมของโปรโตคอล / ciphersuites จริง ๆ ที่ใช้ในทางปฏิบัติ สิ่งที่ฉันมีตอนนี้: server { listen 443; ssl on; ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_dhparam /path/to/dhparam.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'the_long_ciphersuite_listed_there'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:50m; } ด้วยสิ่งนี้ฉันต้องการบันทึกว่าใช้โปรโตคอล SSL ใดสำหรับการเชื่อมต่อและเลือก ciphersuite หลังจากไคลเอนต์ / เซิร์ฟเวอร์เจรจา เช่น: …

24 nginx  security  logging  tls  ssl 

ฉันจะสร้างไฟล์. key และ. crt จากไฟล์. p12 ได้อย่างไร

24 apache-2.2  ssl  certificate  openssl 

ฉันรู้ว่าต้องใช้ IP เฉพาะสำหรับการตั้งค่า SSL จะเกิดอะไรขึ้นถ้าเราเพิ่ม SSL สำหรับโดเมนที่แชร์ IP (NameVirtualHost)

24 apache-2.2  ssl  https  certificate 

การค้นพบช่องโหว่ที่ผ่านมาเร็ว ๆ นี้ได้กระตุ้นให้หน่วยงานออกใบรับรองออกใบรับรองอีกครั้ง ฉันมีสองใบรับรองที่สร้างขึ้นก่อนที่จะค้นพบช่องโหว่ หลังจากผู้ออก SSL บอกให้ฉันสร้างใบรับรองใหม่ฉันได้อัปเดตทั้งเซิร์ฟเวอร์ / โดเมนด้วยใบรับรองใหม่ หากความเข้าใจของฉันถูกต้องแล้วใบรับรองเก่าควรถูกเพิกถอนโดย CA และควรส่งไปที่ CRL (รายการเพิกถอนใบรับรอง) หรือฐานข้อมูล OCSP (โพรโทคอลสถานะสถานะใบรับรองออนไลน์) มิฉะนั้นเป็นไปได้ทางเทคนิคสำหรับบุคคลที่จะดำเนินการ " คนที่อยู่ตรงกลางโจมตี "โดยการสร้างใบรับรองจากข้อมูลที่หยิบมาจากใบรับรองที่ถูกบุกรุก มีวิธีการตรวจสอบว่าใบรับรองเก่าของฉันทำกับ CRL และ OCSP หรือไม่ หากพวกเขาไม่ได้มีวิธีที่จะรวมพวกเขา? อัปเดต: สถานการณ์คือฉันได้แทนที่ใบรับรองทั้งหมดที่ฉันมีแล้วคือไฟล์. crt ของใบรับรองเก่าดังนั้นการใช้ url เพื่อตรวจสอบจึงเป็นไปไม่ได้จริงๆ

23 linux  ssl  heartbleed  crl  ocsp 

ฉันสามารถรับใบรับรองจากรูต CA ที่ฉันสามารถใช้เพื่อเซ็นชื่อในใบรับรองเว็บเซิร์ฟเวอร์ของตัวเองได้หรือไม่? ถ้าเป็นไปได้ฉันจะใช้ใบรับรองที่ลงนามเป็นสื่อกลางในการเซ็นรับรองอื่น ๆ ฉันรู้ว่าฉันจะต้องกำหนดค่าระบบของฉันในบางวิธีด้วยใบรับรองระดับกลางของฉัน "" เพื่อที่จะให้ข้อมูลเกี่ยวกับห่วงโซ่ความเชื่อมั่นที่มีต่อลูกค้าของฉัน เป็นไปได้ไหม CA รูตเต็มใจลงชื่อใบรับรองเช่นนี้หรือไม่ มันแพง? พื้นหลัง ฉันคุ้นเคยกับพื้นฐานของ SSL เนื่องจากเกี่ยวข้องกับการรักษาความปลอดภัยของการรับส่งข้อมูลทางเว็บผ่าน HTTP ฉันยังมีความเข้าใจพื้นฐานเกี่ยวกับวิธีการทำงานของ chain of trust ในการรับส่งข้อมูลเว็บนั้นปลอดภัย "โดยค่าเริ่มต้น" ถ้าคุณเข้ารหัสด้วยใบรับรองที่มีเชนที่ถูกต้องตลอดทางจนถึงรูต CA ตามที่กำหนดโดยเบราว์เซอร์ / ผู้ขายระบบปฏิบัติการ ฉันยังทราบด้วยว่า CA รูตจำนวนมากเริ่มลงนามใบรับรองสำหรับผู้ใช้ปลายทาง (เช่นฉัน) ด้วยใบรับรองระดับกลาง นั่นอาจต้องใช้การตั้งค่าอีกเล็กน้อยในตอนท้ายของฉัน แต่ไม่เช่นนั้นใบรับรองเหล่านั้นจะใช้ได้ดี ฉันเดาว่าสิ่งนี้เกี่ยวข้องกับการปกป้องคีย์ส่วนตัวที่มีค่าสำหรับ CA และความหายนะที่จะเกิดขึ้นหากฉันถูกบุกรุก ตัวอย่าง https://www.microsoft.com https://www.sun.com https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs ตอนนี้เราไม่ได้มีขนาดขององค์กรเหล่านั้นอย่างแน่นอน แต่พวกเขาดูเหมือนจะทำอะไรแบบนี้ แน่นอนว่ามันจะทำให้การจัดการใบรับรองเหล่านี้น่าพึงพอใจมากขึ้นโดยเฉพาะอย่างยิ่งการพิจารณาทางเดียวที่เราจะขยายการเข้าถึงแพลตฟอร์มอีคอมเมิร์ซของเรา

23 ssl  certificate  x509 

ฉันจัดการเพื่อสร้างใบรับรองด้วย LE โดยไม่มีข้อผิดพลาดฉันยังจัดการเปลี่ยนเส้นทางปริมาณการใช้งานของฉันจากพอร์ต 80 ไปยังพอร์ต 443 แต่เมื่อฉันรีโหลดเซิร์ฟเวอร์ nginx ของฉันฉันไม่สามารถเข้าถึงเว็บไซต์ของฉันได้ บันทึกข้อผิดพลาด Ngnix แสดงบรรทัดนี้: 4 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking, client: 192.168.0.104, server: 0.0.0.0:443 ฉันคิดว่านี่หมายความว่าไม่ได้หาใบรับรองที่ฉันไปแล้วไปที่เส้นทางของใบรับรองและทั้งคู่อยู่ที่นั่นสิ่งที่อาจเป็นปัญหา นี่คือลักษณะการกำหนดค่า Ngnix ของฉัน: server { listen 80; server_name pumaportal.com www.pumaportal.com; return 301 https://$server_name$request_uri; } server { listen 443 ssl; …

23 nginx  ssl  lets-encrypt 

myfile-privkey.pemผมได้มีไฟล์ ฉันจะตรวจสอบว่าไฟล์คีย์ส่วนตัวได้รับการป้องกันด้วยรหัสผ่านโดยใช้ ssh-keygen ได้อย่างไร

23 ssl  ssl-certificate  ssh-keygen 

ฉันได้ติดตั้งคีย์ส่วนตัว (เข้ารหัส pem) และใบรับรองกุญแจสาธารณะ (เข้ารหัส pem) ใน Amazon Load Balancer อย่างไรก็ตามเมื่อฉันตรวจสอบ SSL ด้วยเครื่องมือทดสอบเว็บไซต์ฉันได้รับข้อผิดพลาดต่อไปนี้: เกิดข้อผิดพลาดขณะตรวจสอบใบรับรอง SSL !! ไม่สามารถรับผู้ออกใบรับรองในท้องถิ่น ไม่พบผู้ออกใบรับรองที่ค้นหาแบบโลคัล โดยปกติสิ่งนี้บ่งชี้ว่าไม่ได้ติดตั้งใบรับรองระดับกลางทั้งหมดไว้บนเซิร์ฟเวอร์ ฉันแปลงไฟล์ crt เป็น pem โดยใช้คำสั่งเหล่านี้จากบทช่วยสอนนี้: openssl x509 -in input.crt -out input.der -outform DER openssl x509 -in input.der -inform DER -out output.pem -outform PEM ในระหว่างการตั้งค่า Amazon Load Balancer ตัวเลือกเดียวที่ฉันเหลือคือสายโซ่ใบรับรอง (เข้ารหัส pem) อย่างไรก็ตามนี่เป็นตัวเลือก …

22 amazon-ec2  ssl  load-balancing 

ฉันมีเซิร์ฟเวอร์ foo.example.com ที่ 192.0.2.1 มันทำงาน exim เพื่อรับอีเมลสำหรับหลาย ๆ โดเมนของฉัน แต่ละโดเมนของฉันมีระเบียน MX ที่ชี้ไปที่ mx.example.com ซึ่งแก้ไขเป็น 192.0.2.1 หากฉันต้องการทำการเข้ารหัส TLS ของ exim ให้สำหรับการเชื่อมต่ออีเมลขาเข้าฉันควรใส่ชื่อโฮสต์ใดในใบรับรอง SSL foo.example.com เพราะนั่นคือสิ่งที่เซิร์ฟเวอร์จะพูดใน HELO หรือไม่ mx.example.com เพราะนั่นคือชื่อโฮสต์ที่ไคลเอ็นต์จะเชื่อมต่อหรือ http://www.checktls.comแนะนำว่าแบบหลังนั้นถูกต้อง แต่ฉันไม่พบคำตอบที่ชัดเจน

22 ssl  smtp  certificate  exim 

ฉันมีเซิร์ฟเวอร์https://www.groups.example.com- ใน FireFox ฉันได้รับThis Connection is Untrustedข้อความ "" และ "รายละเอียดทางเทคนิค" พูด www.groups.example.com uses an invalid security certificate. The certificate is only valid for the following names: *.example.com, example.com (Error code: ssl_error_bad_cert_domain) ฉันต้องให้ข้อมูลอื่นใดอีกเพื่อแก้ไขปัญหานี้ เพิ่งได้รับการยืนยันการติดตั้ง แต่ 99% มั่นใจว่าเป็น Linux และใช้ VHOSTS จะอัปเดตคำถามทันทีที่ได้รับการยืนยัน ข้อเท็จจริงที่ว่า www.groups.example.com ถูกมองว่ามีโดเมนย่อย 2 ระดับหรือไม่ ผู้ออกคือ DigiCert

22 ssl  https  ssl-certificate 

ใครช่วยอธิบายความแตกต่างระหว่างใบรับรองเหล่านี้ให้ฉันได้อย่างง่ายดาย? ฉันอ่านบทความบางฉบับ แต่ดูเหมือนว่าพวกเขาทำงานเดียวกันนั่นคือการเข้ารหัสหลายโดเมนด้วยใบรับรองเดียว

21 ssl  sni  subject-alternative-names 

หลังจากอัพเกรด Apache2 ไปเป็นเวอร์ชั่น 2.2.31 เมื่อเร็ว ๆ นี้ฉันพบพฤติกรรมแปลก ๆ ในการตั้งค่า SSL VirtualHost บางเว็บไซต์ที่ฉันโฮสต์กำลังแสดงใบรับรองสำหรับโฮสต์เริ่มต้นแม้ว่าลูกค้าจะรับServer Name Identificationรู้และสิ่งนี้เกิดขึ้นกับพวกเขาเพียงไม่กี่คน สิ่งนี้แสดงให้เห็นว่าเป็นคำเตือนหนังสือเดินทางของ Firefox / Chrome ทั่วไปเกี่ยวกับคุณที่อาจถูกหลอกลวงหากคุณกำลังค้นหาธนาคารบ้านของคุณ แต่นั่นไม่ใช่กรณี เพื่อความชัดเจนหากเซิร์ฟเวอร์host.hostingdomain.orgมี SSL ของตัวเองพยายามเข้าถึงhttps://www.hostedsite.orgใบรับรองรายงานhost.hostingdomain.orgแต่มีเพียงไม่กี่คนที่https://www.hostedsite.meรายงานใบรับรองที่ถูกต้อง ไซต์ทั้งหมดโฮสต์บนที่อยู่ IP เดียวกันบนพอร์ต 443 ความจริงก็คือ VirtualHosting ทำงานบนฝั่ง HTTP และเปลี่ยนเส้นทางไคลเอนต์ที่ทราบ SNI ไปยัง SSL โดยอัตโนมัติดังนั้นจึงเข้ากันได้กับไคลเอ็นต์ SNI ที่ไม่รู้จัก การตรวจสอบบันทึกข้อผิดพลาดสำหรับการละเมิด VirtualHosts แสดงข้อความต่อไปนี้ [Tue Dec 25 16:02:45 2012] [error] Server should be …

21 apache-2.2  ssl  virtualhost  sni 

ฉันสร้างใบรับรอง SSL ที่ผ่านการรับรองด้วยตนเองสำหรับการทดสอบเว็บไซต์ใหม่ เวลาได้มาถึงไซต์แล้วและฉันต้องการซื้อใบรับรองจาก GeoTrust ฉันสามารถใช้ CSR เดียวกับที่ฉันสร้างขึ้นสำหรับใบรับรองตนเองหรือฉันต้องสร้างใหม่หรือไม่ รวย

21 ssl  csr