タグ付けされた質問 「ssl-certificate」

Network SolutionsのWebサイト用のSSL証明書があります。Apache / OpenSSLをバージョン2.4.9にアップグレードした後、HTTPDを起動すると次の警告が表示されます。 AH02559: The SSLCertificateChainFile directive (/etc/httpd/conf.d/ssl.conf:105) is deprecated, SSLCertificateFile should be used instead mod_sslのApacheマニュアルによると、これは確かにそうです。 SSLCertificateChainFileは非推奨です SSLCertificateChainFileは、SSLCertificateFileがサーバー証明書ファイルから中間CA証明書もロードするように拡張されたときに、バージョン2.4.8で廃止されました。 ドキュメント見上げるSSLCertificateFileを、私はちょうどに私の呼び出し置き換えるために必要なように、それが見えたSSLCertificateChainFileとSSLCertificateFileを。 この変更により、ssl.confは次のようになりました。 SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt SSLCertificateKeyFile /etc/ssl/server.key SSLCertificateChainFile /etc/ssl/Apache_Plesk_Install.txt これに： SSLCertificateFile /etc/ssl/STAR.EXAMPLE.COM.crt SSLCertificateFile /etc/ssl/Apache_Plesk_Install.txt SSLCertificateKeyFile /etc/ssl/server.key ...しかし、これは機能しません。Apacheは、エラーメッセージなしで起動を拒否します。 私はmod_sslやSSL証明書全般にそれほど詳しくないので、ここで他に何を試すべきかわかりません。サイトにSSL警告を表示しないようにInternet ExplorerのApache_Plesk_Install.txtファイルを追加する必要があったことを覚えていますが、これ以外には手がかりがありません。 どんな助けも大歓迎です。ありがとう。

14 ssl-certificate  apache-2.4  mod-ssl  certificate 

SSL証明書を購入したばかりですが、取得したすべての証明書ファイルは次のとおりです。 Root CA Certificate - xxCARoot.crt Intermediate CA Certificate - x1.crt Intermediate CA Certificate - x2.crt Intermediate CA Certificate - x3.crt Your EssentialSSL Wildcard Certificate - mydomain.crt 次に、Apacheに証明書をインストールします。 ルートCA証明書を公開する必要はありますか？ Apacheは1つのSSLCertificateChainFileディレクティブしか許可しないので、中間CAのバンドルファイルを作成することになっていますか？ もしそうなら。バンドルファイル内の証明書の順序は、次のように逆になります。 cat x3.crt x2.crt x1.crt> myca.bunndle ルート証明書を追加する必要がある場合、バンドルの最後（z1の後）に来るか、最初（x3の前）に来るか（最初の順序が正しいと仮定）？

14 apache-2.2  security  ssl  ssl-certificate 

HTTP経由で提供する同じドメイン名を共有する2つのホスト名があります。ワイルドカードSSL証明書を取得し、2つの仮想ホスト構成を作成しました。 ホストA listen 127.0.0.1:443 ssl; server_name a.example.com; root /data/httpd/a.example.com; ssl_certificate /etc/ssl/wildcard.cer; ssl_certificate_key /etc/ssl/wildcard.key; ホストB listen 127.0.0.1:443 ssl; server_name b.example.com; root /data/httpd/b.example.com; ssl_certificate /etc/ssl/wildcard.cer; ssl_certificate_key /etc/ssl/wildcard.key; ただし、どちらのホスト名でも同じ仮想ホストが提供されます。

14 nginx  ssl  virtualhost  ssl-certificate  https 

奇妙な問題があります。LAMP開発マシン（Debian）をPHP 7に更新しました。その後、Curlを介して特定のTLS暗号化APIに接続できなくなりました。 問題のSSL証明書はthawteによって署名されています。 curl https://example.com 私にくれます curl: (60) SSL certificate problem: unable to get local issuer certificate 一方、 curl https://thawte.com もちろん、これもThawte Worksによって署名されています。 他のマシン上のHTTPSを介してAPIサイトにアクセスできます。たとえば、curlを介したデスクトップやブラウザーなどです。したがって、証明書は間違いなく有効です。SSL Labsの評価はAです。 私の開発マシンから他のSSL暗号化サイトへの他のCurl要求はすべて機能します。私のルート証明書は最新です。確認するために、実行しましたupdate-ca-certificates。http://curl.haxx.se/ca/cacert.pemを/ etc / ssl / certsにダウンロードして実行しましたc_rehash。 それでも同じエラー。 検証プロセスをデバッグして、どのローカル発行者証明書curl（またはopenssl）が探しているが見つからないか、つまりファイル名を確認する方法はありますか？ 更新 curl -vs https://example.com 教えてくれます（IP +ドメイン匿名化） * Hostname was NOT found in DNS cache * Trying 192.0.2.1... * …

14 ssl  ssl-certificate  openssl  tls  curl 

ドメインexample.comのSSL証明書の場合は、いくつかのテストは、チェーンが不完全であることを教えてとFirefoxは、独自の証明書ストアを保持するので、それは、Mozilla（に失敗することがあります1、2、3）。他の人は、それは結構です教えて証明書チェーンは大丈夫であることを私に告げるのFirefox 36は、同じように、。 更新：Windows XPとMacOS X Snow Leopardの両方でOpera、Safari、Chrome、IEでテストしましたが、すべて正常に動作します。両方のOSのFirefox <36でのみ失敗します。Linuxでテストすることはできませんが、このWebサイトでは訪問者の1％未満であり、ほとんどがボットです。したがって、これは「このセットアップはMozilla Firefoxで警告を表示するかどうか」および「このSSL証明書チェーンは壊れているかどうか」という元の質問に答えます。 したがって、問題は、どの証明書をssl.caファイルに配置して、Apacheで提供してFirefox <36が窒息しないようにする必要があるかを見つける方法ですか？ PS：補足説明として、証明書のテストに使用したFirefox 36はまったく新しいインストールでした。同じチェーンを使用するサイトへの前回の訪問の間に中間証明書をダウンロードしたので、文句を言わなかった可能性はありません。

13 ssl  ssl-certificate  https  certificate  certificate-authority 

ほとんどではないが、少数のコンピューターがWebサーバーからのSSL証明書を拒否しています。問題は、一部のコンピューターがCA証明書を拒否していることです。問題は、Mac OS X 10.6が完全に更新されていない場合に現れているようです。 http://www.sslshopper.com/index.php?q=ssl-checker.html#hostname=beta.asana.comによると、問題はありません。 http://certlogik.com/sslchecker/によると、送信される中間証明書はありません。 私の証明書はsf_bundle.crtStarfield Technologiesからのもので、ここから使用しています：certs.godaddy.com/anonymous/repository.seam 私は次のようにstunnel経由でサーバー上のSSLを処理していますstunnel.conf： cert = $CODEZ/admin/production/proxy/asana.pem CAfile = $CODEZ/admin/production/proxy/sf_bundle.crt pid = client = no [<forwarded port>] accept = 443 connect = 8443 私が間違っている可能性のあるアイデアはありますか？

13 ssl  ssl-certificate  stunnel 

TLSはSSLの「新しい」バージョンですか？どの機能を追加しますか、またはセキュリティの問題に対処しますか？ SSLをサポートするものはTLSをサポートできますか？切り替えには何が関係しますか？スイッチには価値がありますか？ なぜ「便宜的TLS」とVPNでしばしばSSL VPNと呼ばれる電子メールが送信されるのですか？技術に違いはありますか。おそらく「TLS VPN」製品ラインの余地がありますか？

13 vpn  ssl  ssl-certificate  tls 

Windows Server 2008 R2、IIS7。Go DaddyからのSSL証明書があります。これはワイルドカード証明書であるため、サブドメイン（* .domain.comなど）で機能します。証明書のインストールについては、http：//support.godaddy.com/help/article/4801/installing-an-ssl-certificate-in-microsoft-iis-7にある指示に従いました。IISのステップに進みます。 左ペインでサーバーが選択されたら、「セキュリティ証明書」機能をクリックします 「証明書要求の完了」をクリックします ファイルシステム上の.crtファイルに移動します。 「わかりやすい」名前を付け、完了をクリックします この「サーバー証明書」パネルのメインペインに証明書がリストされます。しかし、ページを更新したり、移動して戻ってきたりすると、そのページは消えてしまいます。また、サイトをhttpsにバインドしようとすると、証明書は実行可能なバインドとしてリストされません。 これは非常に単純なプロセスのように思えますが、明らかにここに何かが欠けています。何か案は？ 編集：私はこの投稿を見つけました。これは、中間証明書を使用しようとするとこの動作が起こることを暗示しているようです。GoDaddyからファイルをダウンロードしたとき、zipファイルには2つありました。1はgd_iis_intermediatesで、もう1つはドメインの名前です。ドメイン1（拡張子.crt）をインストールしました。他のオプションはないようです。IISから他のオプションをインストールすると、「この証明書ファイルに関連付けられている証明書要求が見つかりません。要求が作成されたコンピューターで証明書要求を完了する必要があります。」 そうは言っても、私が使用できる他のダウンロードはないようです。 また、コメント（およびグーグルの後の別の場所）で、証明書をPFXとして「エクスポート」し、それをインストールすることについて言及されていました。しかし、certmgr.mscを使用しても、エクスポート方法を把握できません。 また、この証明書は、IIS6を実行している別のコンピューターにインストールされていることにも言及する必要があります（このIIS7のインストールは、IIS6をIIS7にアップグレードする際のフェールオーバーとプライマリーです）。しかし、そのコンピューターからエクスポートする方法もわかりません。

13 windows-server-2008  iis-7  ssl  ssl-certificate 

NginxをWebアプリケーションサーバーのリバースプロキシとして使用します。NginxはSSLなどを処理しますが、それ以外は単にリバースプロキシとして機能します。 リクエストには有効なクライアント証明書を要求しますが/jsonrpc、他の場所には要求しません。私たちが見つけた最良の方法は server { listen *:443 ssl; ssl on; ssl_certificate /etc/nginx/server.crt; ssl_certificate_key /etc/nginx/server.key; ssl_client_certificate /etc/nginx/client-ca.crt; ssl_verify_client optional; location /jsonrpc { if ($ssl_client_verify != "SUCCESS") { return 403; } proxy_pass http://localhost:8282/jsonrpc-api; proxy_read_timeout 90; proxy_redirect http://localhost/ $scheme://$host:$server_port/; } } これはほとんどのブラウザーで正常に機能しますが、SafariやChrome-on-Androidなどの一部のブラウザーは、ユーザーがWebサイトのどこに行ってもクライアント証明書を提供するように要求することになります。 Nginxに、/jsonrpc場所以外のすべての場所でクライアント証明書を受け入れますが、実際には気にしないようにするにはどうすればよいですか？

13 nginx  ssl-certificate 

私には2台のサーバーがあり、どちらにもnginxがあります。サーバーAは443をリッスンしており、クライアントSSL証明書で認証するように構成されています。 サーバーBには、nginxを介してサーバーAと通信する必要がある内部プロセスがあります。 8080（すべてローカル通信なので暗号化なし）をリッスンし、ServerA：443にproxy_passするサーバーBでNginxを構成したいと思います。 問題は、クライアント証明書をどのように注入するかです。私は、それを行うproxy_xxxx関数を見つけられませんでした。 私はsocatでそれと同等のものを作る方法を知っていますが、私の要件はnginxを使用することです。

13 nginx  proxy  ssl-certificate 

同じIPにワイルドカードSSL証明書といくつかのサブドメインがあります。nginxリストされていないサーバー名で実行されていないように見えるように、nginxに言及されたサーバー名のみを処理し、他のサーバーへの接続をドロップするようにし ます（応答しない、応答しない、拒否する、デッドである、応答中の1バイトではない）。私は次のことをします ssl_certificate tls/domain.crt; ssl_certificate_key tls/domain.key; server { listen 1.2.3.4:443 ssl; server_name validname.domain.com; // } server { listen 1.2.3.4:443 ssl; server_name _; // deny all; // return 444; // return 404; //location { // deny all; //} } 最後のサーバーブロックのほとんどすべてを試しましたが、成功しませんでした。既知の仮想サーバーまたはエラーコードから有効な応答を受け取ります。助けてください。

12 nginx  ssl  virtualhost  ssl-certificate 

皆さんの多くは、実際にGoogleの証明書の透明性に関するイニシアチブを聞いたことがあると思います。現在、イニシエーブには、何らかのCAによって発行されたすべての証明書の公開ログが含まれています。これはある程度の作業であるため、すべてのCAがまだ設定しているわけではありません。たとえば、StartComは既に、彼らの側から設定するのは難しいと言っていましたが、適切な設定には数か月かかります。それまでの間、すべてのEV証明書はChromeによって「標準の証明書」に「ダウングレード」されます。 ダウングレードを防ぐために必要な記録を提供する方法は3つあると述べられました。 x509v3拡張、CAにのみ明らかに可能 TLS拡張 OCSPステープル 現在、2番目と3番目は発行元CAからの対話を必要としています（いいえ？）。 質問： CAがサポートしていない場合、Apache Webサーバーで証明書の透過性サポートを設定できますか？また、可能な場合はどうすればよいですか？

12 debian  ssl-certificate  apache-2.4  certificate-authority 

特定のドメイン内のすべてのターゲットで実行されていることを確認する必要があるサードパーティ発行の証明書があります。この証明書がDSC経由でインストールされていることを確認する方法はありますか？

12 powershell  ssl-certificate  dsc 

私の会社には、現在自己署名された社内認証局があります。外部のSSLと顧客への安全な電子メールに使用を開始したいので、信頼する必要があります。 社内PKIの信頼されたルート証明書を取得するためにかかる費用について、だれでも大丈夫ですか？4桁？5桁？6桁？2000〜3000人を雇用しています。

12 email  ssl  ssl-certificate  certificate  certificate-authority 

顧客の認証にクライアント側の証明書を使用しています。 セットアップは次のとおりです。Djangoアプリケーションの前にnginxがあります。私たちのnginxの設定では、我々は（仕事に実際のクライアントサイド証明書の検証を取得するために必要なパラメータを持っているssl_client_certificate、ssl_verify_clientなど）、および uwsgi_param X-Client-Verify $ssl_client_verify; uwsgi_param X-Client-DN $ssl_client_s_dn; uwsgi_param X-SSL-Issuer $ssl_client_i_dn; つまり、これらの変数の値をDjangoアプリに取得します。Djangoアプリは、この情報を使用して、接続しているユーザーを特定し、それらを承認します。 証明書を使用してログインできない人々についてのレポートを突然取得し始めたとき、何ヶ月も問題なくこれを正常に使用しています。$ssl_client_s_dnand $ssl_client_i_dn値の形式が、スラッシュで区切られた形式から変更されたことが判明しました。 /C=SE/O=Some organziation/CN=Some CA カンマ区切り形式に： CN=Some CA,O=Some organization,C=SE これを解決するのは簡単でしたが、その理由はわかりません。だから私の質問は本当にです： の価値は$ssl_client_s_dnどこから来ますか？nginxによって設定されていますか？クライアント？ この値が持つことができる形式のドキュメント/仕様はありますか？名前はありますか？

12 nginx  ssl  ssl-certificate