คำถามติดแท็ก ssl

ฉันใช้ Nginx เป็นพร็อกซีถึงอินสแตนซ์ของ apache 4 ตัว ปัญหาของฉันคือการต่อรอง SSL ใช้เวลานาน (600 ms) ดูตัวอย่างนี้: http://www.webpagetest.org/result/101020_8JXS/1/details/ นี่คือ Nginx Conf ของฉัน: user www-data; worker_processes 4; events { worker_connections 2048; use epoll; } http { include /etc/nginx/mime.types; default_type application/octet-stream; access_log /var/log/nginx/access.log; sendfile on; keepalive_timeout 0; tcp_nodelay on; gzip on; gzip_proxied any; server_names_hash_bucket_size 128; } upstream …

17 linux  ssl  nginx 

เป็นไปได้หรือไม่ที่เว็บเซิร์ฟเวอร์จะเลือกใบรับรอง SSL ที่จะใช้ตามส่วนหัวโฮสต์ของการเชื่อมต่อขาเข้าหรือเป็นข้อมูลที่มีให้หลังจากการเชื่อมต่อ SSL สำเร็จแล้วเท่านั้น? นั่นคือเว็บเซิร์ฟเวอร์ของฉันสามารถแสดงรายการที่พอร์ต 443 และใช้ใบรับรอง foo.com หากมีการร้องขอhttps://foo.comและใบรับรอง bar.com หากมีการร้องขอhttps://bar.comหรือฉันพยายามจะทำ มีบางสิ่งที่เป็นไปไม่ได้เพราะเซิร์ฟเวอร์จะต้องทำการเชื่อมต่อ SSL ก่อนที่มันจะรู้ว่าลูกค้าต้องการอะไร?

17 ssl  web-hosting  ssl-certificate  https 

ฉันกำลังใช้งานแอปพลิเคชันหลายผู้เช่าที่แอปพลิเคชันของฉันโฮสต์และให้บริการเอกสารทางเทคนิคสำหรับผลิตภัณฑ์ของผู้เช่า ตอนนี้วิธีการที่ฉันได้รับการพิจารณาเป็น - ฉันเป็นเจ้าภาพจัดการเอกสารที่docs.<tenant>.mycompany.comและขอให้ผู้เช่าของฉันไปที่การตั้งค่าระเบียน CNAME DNS ไปยังจุดที่จะdocs.tenantcompany.comdocs.<tenant>.mycompany.com ฉันต้องการให้เว็บไซต์เปิดใช้งาน SSL ด้วยใบรับรองของผู้เช่าของฉัน ฉันต้องการเข้าใจว่า บริษัท ผู้เช่าของฉันมีใบรับรองไวด์การ์ด SSL จะทำงานกับการตั้งค่านี้หรือจะต้องซื้อใบรับรอง SSL ใหม่docs.tenantcompany.comหรือไม่

17 domain-name-system  ssl  ssl-certificate  cname-record  dns-zone 

ฉันมีปัญหาเล็กน้อยกับ conf apache ของฉัน เมื่อฉันอ่านบันทึกข้อผิดพลาดนี่คือสิ่งที่ฉันเห็น: [client xxx.xxx.xx.xx] AH01964: Connection to child 1 established (server www.mywebsite.com:443) [client xxx.xxx.xx.xx] AH01964: Connection to child 6 established (server www.mywebsite.com:443) [client xxx.xxx.xx.xx] AH01964: Connection to child 10 established (server www.mywebsite.com:443) [client xxx.xxx.xx.xx] AH01964: Connection to child 15 established (server www.mywebsite.com:443) [client xxx.xxx.xx.xx] AH01964: Connection to …

17 apache-2.2  ssl  https 

ssh-keygenคำสั่งสร้าง.pubไฟล์ที่มันอธิบายว่า "ไฟล์คีย์สาธารณะ" แต่พวกเขามีรูปแบบที่แตกต่างกันโดยสิ้นเชิงให้มากที่สุด "ไฟล์คีย์สาธารณะ" ผมเคยเห็นปกติที่อยู่ในรูปแบบ PEM ssh-keygenไฟล์สไตล์มีลักษณะเช่นนี้ ssh-rsa AAAAB3NzaC1... user@host ... ในขณะที่ไฟล์ PEM มีลักษณะดังนี้: -----BEGIN CERTIFICATE----- MIIGZjCCBU6gAwIBAgIDCIrNMA0GCSqGSIb3DQEBBQUAMIGMMQsw... -----END CERTIFICATE----- สองรูปแบบเหล่านี้ใช้แทนกันได้หรือพวกเขามีวัตถุประสงค์ที่แตกต่างกันโดยพื้นฐาน? ฉันเจอปัญหานี้เพราะฉันต้องการได้รับลายนิ้วมือกุญแจ RSA2 ของไฟล์กุญแจสาธารณะที่เข้ารหัส PEM ของฉัน แต่วิธีการมักจะแนะนำให้ทำ ( ssh-keygen -l) บอกว่าไฟล์ที่เข้ารหัส PEM ของฉัน "ไม่ใช่ไฟล์กุญแจสาธารณะ" โดยวิธีการที่ฉันรู้คำตอบนี้ssh-keygenแต่มันไม่ครอบคลุมไฟล์ผับที่สร้างขึ้นโดย

17 ssl  encryption 

เรามีเครื่องสำหรับเชื่อมต่อผ่าน Cisco SSL VPN ( \\speeder) ฉันสามารถ ping พวกเราspeederบน10.0.0.3: ตารางเส้นทางบน\\speederแสดงที่อยู่ IP หลายที่เราได้กำหนด: หลังจากเชื่อมต่อกับไคลเอนต์ Cisco AnyConnect VPN แล้ว: เราไม่สามารถ ping ได้อีก\\speeder: และในขณะที่มีรายการเส้นทางใหม่สำหรับอะแดปเตอร์ Cisco VPN จะไม่มีการแก้ไขรายการเส้นทางที่มีอยู่หลังจากการเชื่อมต่อ: คาดว่าเราจะไม่สามารถ ping ที่อยู่ IP ของ Speeder บนอะแดปเตอร์ Cisco VPN (192.168.199.20) เนื่องจากอยู่ในเครือข่ายย่อยที่แตกต่างจากเครือข่ายของเรา (เราคือ 10.0.xx 255.255.0.0) เช่น: C:\Users\ian.AVATOPIA>ping 192.168.199.20 Pinging 192.168.199.20 with 32 bytes of data: Request timed …

17 ssl  cisco  cisco-vpn 

ฉันได้รับไฟล์. pem สองไฟล์เพื่อนำเข้า ฉันไม่ได้สร้างไฟล์เหล่านี้ ฉันสามารถนำเข้าสิ่งเหล่านั้นลงใน IIS 7 ได้หรือไม่และต้องแปลงเป็นรูปแบบอื่นหรือไม่ ฉันรู้ว่า IIS ชอบ. pfx - สามารถแปลง. pem ได้ไหมถ้าจำเป็น ความช่วยเหลือใด ๆ ที่ชื่นชมอย่างมาก!

17 iis  iis-7  ssl  ssl-certificate 

ฉันแค่สงสัย เราใช้ใบรับรอง SSL จำนวนมาก ทุกวันนี้เราเกือบจะใช้ letsencrypt (ขอบคุณ!) บรรทัดล่างสุดของใบรับรองเหล่านี้คือหลักฐานการเป็นเจ้าของชื่อโดเมนในใบรับรองนั้นมาจากอำนาจในการจัดการระเบียน DNS หรือเว็บไซต์ภายใต้โดเมนเหล่านี้ หลักฐาน DNS มาจากการเพิ่มคีย์ (ที่ได้รับจาก allowencrypt) เป็นระเบียน TXT ไปยัง DNS ดังนั้นหากมีหลักฐานเพียงพอที่จะสามารถเปลี่ยนระเบียน DNS สำหรับโดเมนทำไมไม่ใช้ใบรับรองที่ลงชื่อด้วยตนเองด้วยลายนิ้วมือใน DNS ฉันจะบอกว่าสิ่งนี้ให้ความเชื่อมั่นในปริมาณเท่ากันกับขั้นตอนการใช้ DNS ของ allowencrypt (และ CA อื่น ๆ ): สร้าง CA ที่เซ็นชื่อด้วยตนเอง (เพียงทำตามขั้นตอนของวิธีการต่างๆ) สร้างใบรับรองสำหรับบางโดเมน เซ็นชื่อใบรับรองจากขั้นตอนที่ 2 ด้วย CA จากขั้นตอนที่ 1 ตอนนี้คุณมีใบรับรองพื้นฐานที่ลงชื่อโดย CA ที่ไม่น่าเชื่อถือ เพิ่มระเบียน TXT (หรือเฉพาะ) ไปยัง …

16 domain-name-system  ssl  certificate-authority  lets-encrypt  self-signed-certificate 

โปรแกรมสแกนช่องโหว่ของ TrustWave ไม่สามารถสแกนได้เนื่องจากเครื่อง Windows 10 ที่รัน RDP: บล็อกอัลกอริธึมเข้ารหัสที่มีขนาดบล็อก 64 บิต (เช่น DES และ 3DES) การโจมตีวันเกิดที่รู้จักกันในชื่อ Sweet32 (CVE-2016-2183) หมายเหตุ: ในระบบ Windows 7/10 ที่รัน RDP (Remote Desktop Protocol) รหัสตัวเลขที่มีช่องโหว่ที่ควรปิดการใช้งานจะมีป้ายกำกับว่า 'TLS_RSA_WITH_3DES_EDE_CBC_SHA' การใช้ IIS Crypto (โดย Nartac) ฉันลองใช้เทมเพลต "Best Practices" รวมถึงเท็มเพลต PCI 3.1 อย่างไรก็ตามทั้งคู่มีการเข้ารหัสที่ไม่ปลอดภัย (TLS_RSA_WITH_3DES_EDE_CBC_SHA): หากฉันปิดการใช้งานรหัสนี้ RDP จากคอมพิวเตอร์เครื่องนี้ไปยังสถานี Windows หลายแห่งหยุดทำงาน (ยังคงใช้ได้กับเซิร์ฟเวอร์ 2008 R2 และ …

16 windows  security  ssl  rdp 

จากเอกสารของปลั๊กอินเว็บรูท Certbot ปลั๊กอิน webroot ทำงานได้โดยการสร้างไฟล์ชั่วคราวสำหรับแต่ละโดเมนที่คุณขอ${webroot-path}/.well-known/acme-challengeมา จากนั้นเซิร์ฟเวอร์การตรวจสอบความถูกต้องของ Let's Encrypt จะทำการร้องขอ HTTP เพื่อตรวจสอบว่า DNS สำหรับแต่ละโดเมนที่ร้องขอแก้ไขไปยังเซิร์ฟเวอร์ที่ใช้ certbot บนเซิร์ฟเวอร์ภายในบ้านที่ใช้ส่วนตัวฉันปิดใช้งานพอร์ต 80 นั่นคือไม่มีการส่งต่อพอร์ตในเราเตอร์ ฉันไม่มีความตั้งใจที่จะเปิดพอร์ตนั้น ฉันจะบอก certbot ว่าเซิร์ฟเวอร์การตรวจสอบความถูกต้องไม่ควรทำการร้องขอ HTTP แต่เป็นการร้องขอ HTTPS (พอร์ต 443) เพื่อตรวจสอบความเป็นเจ้าของโดเมน เซิร์ฟเวอร์การตรวจสอบไม่ควรมีความจำเป็นในการตรวจสอบใบรับรองของโฮมเซิร์ฟเวอร์เนื่องจากใช้ HTTP เป็นค่าเริ่มต้นแล้ว ฉันอาจมีใบรับรองที่ลงนามเองหรือใบรับรองที่ต่ออายุได้ แต่ไม่ควรสำคัญ ขณะนี้ฉันอยู่ในสถานการณ์ที่ฉันจำเป็นต้องเปิดใช้งานการส่งต่อพอร์ต 80 เช่นเดียวกับเซิร์ฟเวอร์ในนั้นเพื่อสร้าง / ต่ออายุใบรับรอง สิ่งนี้ไม่ให้ฉันใช้ cronjob เพื่อต่ออายุใบรับรอง มันก็เพียงพอแล้วสำหรับการทำงาน แต่ฉันมีเซิร์ฟเวอร์ที่ฟังใน 443 อยู่แล้วซึ่งสามารถทำงานได้เช่นกัน

16 ssl  lets-encrypt 

เรามีลูกค้าที่กำกับปริมาณการใช้งานไปยังเว็บเซิร์ฟเวอร์ของเราและต้องการให้เราใช้ใบรับรองไวด์การ์ด SSL ของพวกเขา พวกเขามอบมันให้ฉันเป็นสองชิ้นส่วนหนึ่งคือกุญแจสาธารณะ ( .cer) และอีกไฟล์หนึ่งที่มีรหัสส่วนตัว ( .key) ฉันไม่สามารถหาวิธีนำสองสิ่งนี้มารวมกันใน IIS เพื่อให้ฉันสามารถผูกเข้ากับไซต์ได้ ความช่วยเหลือเป็นที่ชื่นชมอย่างมาก ขอบคุณ!

16 iis  ssl 

พื้นหลัง ฉันเห็นแล้วว่า Comodo มีรูตแบบโค้งรูปไข่ ("หน่วยงานออกใบรับรอง COMODO ECC") แต่ฉันไม่เห็นการกล่าวถึงใบรับรอง EC บนเว็บไซต์ของพวกเขา Certicom มีสิทธิ์ในทรัพย์สินทางปัญญาที่ป้องกันไม่ให้ผู้ออกรายอื่นเสนอใบรับรอง EC หรือไม่ เบราว์เซอร์ที่ใช้กันอย่างแพร่หลายล้มเหลวในการรองรับ ECC หรือไม่ ECC เหมาะสมหรือไม่สำหรับการใช้ PKI แบบดั้งเดิมเช่นการรับรองความถูกต้องของเว็บเซิร์ฟเวอร์ หรือมีเพียงไม่ต้องการมันได้หรือไม่ ฉันสนใจที่จะเปลี่ยนเป็นเส้นโค้งรูปไข่เนื่องจากคำแนะนำของ NSA Suite B แต่ดูเหมือนจะไม่เป็นประโยชน์สำหรับแอปพลิเคชันจำนวนมาก เกณฑ์การจ่ายเงินรางวัล ในการอ้างสิทธิ์รับรางวัลคำตอบจะต้องมีลิงก์ไปยังหน้าหรือหน้าเว็บในเว็บไซต์ของ CA ที่มีชื่อเสียงซึ่งอธิบายตัวเลือกใบรับรอง ECC ที่เสนอราคาและวิธีการซื้อ ในบริบทนี้ "ที่รู้จักกันดี" หมายความว่าใบรับรองรูทที่เหมาะสมจะต้องรวมอยู่ในค่าเริ่มต้นใน Firefox 3.5 และ IE 8 หากมีคำตอบที่เหมาะสมหลายประการ (หนึ่งสามารถหวังได้!) ใบรับรองที่ถูกที่สุดจาก CA ที่แพร่หลาย จะชนะรางวัล หากยังไม่ได้กำจัดความสัมพันธ์ใด ๆ (ยังหวัง!) …

16 ssl  ssl-certificate  certificate  tls 

ฉันมีเซิร์ฟเวอร์ที่ทำหน้าที่เป็น front-end สำหรับ cPanel mailserver ในเครือข่าย พร็อกซี apache บนเซิร์ฟเวอร์ส่วนหน้าทำงานนาน 152 วันโดยไม่มีข้อผิดพลาดจากนั้นฉันได้รับข้อผิดพลาด 500/502 ทันทีเมื่อใช้เพื่อเข้าถึงเว็บเมล์ไคลเอ็นต์ของเมลเซิร์ฟเวอร์ เซิร์ฟเวอร์หน้าใช้ใบรับรอง SSL ที่ลงนามแล้ว cPanel เซิร์ฟเวอร์กำลังใช้ใบรับรองที่ลงนามด้วยตนเอง นี่คือเอาต์พุตบันทึกข้อผิดพลาดจากเซิร์ฟเวอร์ส่วนหน้าเมื่อเกิดขึ้นครั้งแรก: [Tue Sep 10 18:22:52.959291 2013] [proxy:error] [pid 19531] (502)Unknown error 502: [client 173.xx.xx.xx:9558] AH01084: pass request body failed to 184.xx.xx.xx:2096 (184.xx.xx.xx), referer: https://domain.com:2096/cpsess12385596/3rdparty/roundcube/?_task=mail&_refresh=1&_mbox=INBOX [Tue Sep 10 18:22:52.959469 2013] [proxy:error] [pid 19531] …

16 apache-2.2  amazon-ec2  ssl  reverse-proxy 

ฉันตั้งค่า SSL สำหรับโดเมนของฉันแล้วมันทำงานได้จาก Apache perspective ปัญหาคือการเข้าถึงโดเมนของฉันผ่าน HTTPS บางครั้งอาจทำให้หมดเวลา เมื่อใช้งานไม่ได้ต้องใช้เวลาสักครู่ในการเข้าถึงเว็บไซต์ของฉันผ่าน HTTP แต่ไม่เคยหมดเวลา ทำไมสิ่งนี้ถึงเกิดขึ้นกับ HTTPS และมีวิธีการควบคุมการหมดเวลาสำหรับ HTTPS หรือไม่ การกำหนดค่าของฉัน: Apache 2.2.11 บน CentOS 5 NameVirtualHost *:443 <VirtualHost *:443> SuexecUserGroup foo DocumentRoot /home/mydomain/www/ ServerName example.com SSLEngine on SSLProtocol -all +TLSv1 +SSLv3 SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM SSLCertificateFile /path/example.com.com.crt SSLCertificateKeyFile /path/example.com.key SSLVerifyClient none SSLProxyVerify none SSLVerifyDepth 0 …

16 apache-2.2  ssl  https  timeout 

ฉันมีอินสแตนซ์ EC2 ที่มี Apache เป็นเว็บเซิร์ฟเวอร์ (และ Wildfly เป็นแอปเซิร์ฟเวอร์แม้ว่าฉันไม่แน่ใจว่ามีส่วนเกี่ยวข้องกับปัญหานี้) หน้า EC2 ฉันมี load balancer ซึ่งจะยกเลิก HTTPS และใช้ใบรับรอง SSL ทั้ง HTTP และ HTTPS ทำงานได้ดีใน Chrome แต่น่าเสียดายที่ไม่ใช่ใน Safari การเข้าถึงhttp://test.papereed.comทำงานได้ดี แต่การเข้าถึงhttps://test.papereed.comจะทำให้เกิดข้อผิดพลาด "Safari can't open the page. The error is "The operation couldn't be completed. Protocol error" (NSPOSIXErrorDomain:100)" ฉันได้ดูใน / etc / httpd / logs …

16 ssl  https  safari