タグ付けされた質問 「ssl」

ポート80を通過するトラフィックを検査するために、2枚のネットワークカードでセットアップされたLinuxボックスがあります。1枚のカードはインターネットへの送信に使用され、もう1枚はネットワークスイッチに接続されます。ポイントは、デバッグ目的でそのスイッチに接続されたデバイス上のすべてのHTTPおよびHTTPSトラフィックを検査できるようにすることです。 iptablesについて次のルールを作成しました。 nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.1:1337 -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 1337 -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE 192.168.2.1:1337に、Charles（http://www.charlesproxy.com/）を使用して記録する透過HTTPプロキシがあります。 ポート80ではすべて問題ありませんが、ポート1337を指すポート443（SSL）に同様のルールを追加すると、チャールズを通じて無効なメッセージに関するエラーが表示されます。 Charlesと同じコンピューターでSSLプロキシを使用したことがあります（http://www.charlesproxy.com/documentation/proxying/ssl-proxying/）が、何らかの理由で透過的に実行することに失敗しました。私がグーグルで調べたいくつかのリソースは不可能だと言っています-誰かが理由を説明できるなら、私はそれを答えとして受け入れます。 注として、サブネットに接続されたすべてのクライアントを含む、説明されたセットアップへのフルアクセスがあります。したがって、Charlesによる自己署名証明書を受け入れることができます。理論的には、透過的なプロキシが行うため、ソリューションはCharles固有である必要はありません。 ありがとう！ 編集：少し遊んだ後、特定のホストで動作するようになりました。iptablesを次のように変更すると（およびリバースプロキシ用にcharlesで1338を開きます）： nat -A PREROUTING -i eth1 …

14 ssl  iptables  https  transparent-proxy  man-in-the-middle 

私のウェブサイトでabを実行しているとき、私はこれらの応答のトンを受け取ります： SSL read failed - closing connection SSL read failed - closing connection SSL read failed - closing connection また、成功することもあります。MacBook Pro 10.7.2を使用しています。奇妙なのは、誰かが私の隣のOS Lionではなく、非常に似たマシンで同じテストを行い、問題がないことです。 何か案は？私はあちこちで仕事をするために腹を立てるので、これは私のマシン上の何かだと確信しています。 コマンドは単純です： ab -c 100 -n 1000 https://mywebsite.com もう1つ、nginxのログを見ると、abからのリクエストがいくつか表示されるため、abが機能していることがわかります。また、ログには失敗したログは表示されません。

14 apache-2.2  nginx  ssl  ab 

私はちょうど.netサイトを提供するためにAmazonに飛び乗りましたが、あるサイトではSSLが必要です。 EC2インスタンスを指すエラスティックIPがあり、IIS 7でサイトのセットアップがすべて正常に機能しています。ベンダーからのSSL証明書もあります。IISにSSL証明書をインストールしましたが、https接続でWebページが表示されません。 問題の証明書/ウェブサイト専用のIPアドレスを持っていないという事実と関係があると思います。 誰も私に何かヒントを教えてもらえますか？

14 ssl  amazon-ec2  ssl-certificate 

問題：Windows Server 2008 R2は、サーバーで特定の証明書を使用する場合、次のSSL暗号スイートのみをサポートします。 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA XP Cryptographic APIはデフォルトではAES暗号をサポートしないため、これによりXPクライアントはサーバーに接続できなくなります。 その結果、Internet Explorerまたはリモートデスクトップを使用して接続しようとすると、サーバーログに次のエラーが表示されます。（MicrosoftのCAPIを使用しているため） Schannelエラー36874「リモートクライアントアプリケーションからTLS 1.0接続を受信しましたが、クライアントでサポートされている暗号スイートの一部がサーバーでサポートされています。SSL接続要求は失敗しました。」 Schannelエラー36888「次の致命的なアラートが生成されました：40。内部エラー状態は1204です」

14 windows-server-2008-r2  ssl-certificate  ssl 

SSL証明書を購入したばかりですが、取得したすべての証明書ファイルは次のとおりです。 Root CA Certificate - xxCARoot.crt Intermediate CA Certificate - x1.crt Intermediate CA Certificate - x2.crt Intermediate CA Certificate - x3.crt Your EssentialSSL Wildcard Certificate - mydomain.crt 次に、Apacheに証明書をインストールします。 ルートCA証明書を公開する必要はありますか？ Apacheは1つのSSLCertificateChainFileディレクティブしか許可しないので、中間CAのバンドルファイルを作成することになっていますか？ もしそうなら。バンドルファイル内の証明書の順序は、次のように逆になります。 cat x3.crt x2.crt x1.crt> myca.bunndle ルート証明書を追加する必要がある場合、バンドルの最後（z1の後）に来るか、最初（x3の前）に来るか（最初の順序が正しいと仮定）？

14 apache-2.2  security  ssl  ssl-certificate 

HTTP経由で提供する同じドメイン名を共有する2つのホスト名があります。ワイルドカードSSL証明書を取得し、2つの仮想ホスト構成を作成しました。 ホストA listen 127.0.0.1:443 ssl; server_name a.example.com; root /data/httpd/a.example.com; ssl_certificate /etc/ssl/wildcard.cer; ssl_certificate_key /etc/ssl/wildcard.key; ホストB listen 127.0.0.1:443 ssl; server_name b.example.com; root /data/httpd/b.example.com; ssl_certificate /etc/ssl/wildcard.cer; ssl_certificate_key /etc/ssl/wildcard.key; ただし、どちらのホスト名でも同じ仮想ホストが提供されます。

14 nginx  ssl  virtualhost  ssl-certificate  https 

奇妙な問題があります。LAMP開発マシン（Debian）をPHP 7に更新しました。その後、Curlを介して特定のTLS暗号化APIに接続できなくなりました。 問題のSSL証明書はthawteによって署名されています。 curl https://example.com 私にくれます curl: (60) SSL certificate problem: unable to get local issuer certificate 一方、 curl https://thawte.com もちろん、これもThawte Worksによって署名されています。 他のマシン上のHTTPSを介してAPIサイトにアクセスできます。たとえば、curlを介したデスクトップやブラウザーなどです。したがって、証明書は間違いなく有効です。SSL Labsの評価はAです。 私の開発マシンから他のSSL暗号化サイトへの他のCurl要求はすべて機能します。私のルート証明書は最新です。確認するために、実行しましたupdate-ca-certificates。http://curl.haxx.se/ca/cacert.pemを/ etc / ssl / certsにダウンロードして実行しましたc_rehash。 それでも同じエラー。 検証プロセスをデバッグして、どのローカル発行者証明書curl（またはopenssl）が探しているが見つからないか、つまりファイル名を確認する方法はありますか？ 更新 curl -vs https://example.com 教えてくれます（IP +ドメイン匿名化） * Hostname was NOT found in DNS cache * Trying 192.0.2.1... * …

14 ssl  ssl-certificate  openssl  tls  curl 

実稼働環境の3台のマシンにハードウェアの問題があり、廃止されました。インフラストラクチャチームはそれらを再インストールし、同じホスト名とIPアドレスを与えました。目的は、これらのシステムでPuppetを実行して、これらを再度試運転できるようにすることです。 試行 1）古いPuppet証明書は、次のコマンドを発行してPuppetmasterから削除されました。 puppet cert revoke grb16.company.com puppet cert clean grb16.company.com 2）古い証明書が削除されると、再インストールされたノードのいずれかから次のコマンドを発行して、新しい証明書要求が作成されました。 [root@grb16 ~]# puppet agent -t Info: csr_attributes file loading from /etc/puppet/csr_attributes.yaml Info: Creating a new SSL certificate request for grb16.company.com Info: Certificate Request fingerprint (SHA256): 6F:2D:1D:71:67:18:99:86:2C:22:A1:14:80:55:34:35:FD:20:88:1F:36:ED:A7:7B:2A:12:09:4D:F8:EC:BF:6D Exiting; no certificate found and waitforcert is disabled [root@grb16 ~]# 3）証明書要求がPuppetmasterで表示されると、証明書要求に署名するために次のコマンドが発行されました。 [root@foreman …

14 ssl  puppet  certificate  puppetmaster  puppet-agent 

私は現在、foo.domain.comのNginxで実行されているvhostを持っています。 追加したい新しいサブドメイン用の新しいファイルbar.domain.comを作成しました。両方に同じ設定を使用しています。 Nginxを再起動すると、 Restarting nginx: nginx: [warn] conflicting server name "" on 0.0.0.0:443, ignored nginx. bar.domain.comにアクセスすると、表示されるはずのものが表示されますが、foo.domain.comにアクセスすると、bar.domain.comがリンクしているページが表示されます。 フー upstream php-handler { server unix:/var/run/php5-fpm.sock; } server { listen 80; server_name foo.domain.com; return 301 https://$server_name$request_uri; } server { listen 443; ssl on; ssl_certificate [path_foo]/cacert.pem; ssl_certificate_key [path_foo]/privkey.pem; root [path]/foo; ... } バー server { …

14 nginx  ssl  virtualhost 

ドメインexample.comのSSL証明書の場合は、いくつかのテストは、チェーンが不完全であることを教えてとFirefoxは、独自の証明書ストアを保持するので、それは、Mozilla（に失敗することがあります1、2、3）。他の人は、それは結構です教えて証明書チェーンは大丈夫であることを私に告げるのFirefox 36は、同じように、。 更新：Windows XPとMacOS X Snow Leopardの両方でOpera、Safari、Chrome、IEでテストしましたが、すべて正常に動作します。両方のOSのFirefox <36でのみ失敗します。Linuxでテストすることはできませんが、このWebサイトでは訪問者の1％未満であり、ほとんどがボットです。したがって、これは「このセットアップはMozilla Firefoxで警告を表示するかどうか」および「このSSL証明書チェーンは壊れているかどうか」という元の質問に答えます。 したがって、問題は、どの証明書をssl.caファイルに配置して、Apacheで提供してFirefox <36が窒息しないようにする必要があるかを見つける方法ですか？ PS：補足説明として、証明書のテストに使用したFirefox 36はまったく新しいインストールでした。同じチェーンを使用するサイトへの前回の訪問の間に中間証明書をダウンロードしたので、文句を言わなかった可能性はありません。

13 ssl  ssl-certificate  https  certificate  certificate-authority 

Poodleの脆弱性が最近明らかにされた後、私たちのチームはSSLv3からの移行を決定しました。しかし、完全に削除する前に、ブラウザが非推奨のSSLv3を使用していることを毎日のユーザーに警告したいと考えています。だから、私たちはアイデアを思いついた フロントエンドSSLオフロードからプロトコル（SSLv3、TLS1など）を検出します（nginxを使用します） その情報（SSLプロトコル）をHTTPヘッダー経由でApache-backendに渡します。 次に、バックエンドコードがそのヘッダーを処理し、クライアントがSSLv3を使用している場合に警告を出します。 私はnginxに機能があることを知っていますproxy_set_header。したがって、これは次のように簡単になります proxy_set_header X-HTTPS-Protocol $something; 現在、問題は次のとおりです。明らかに、nginxはクライアントが使用するプロトコルを知っていますが、その情報をHTTPヘッダー経由でバックエンドに渡すにはどうすればよいですか？ ありがとう SSLv3を使用している場合、同様のスレッドApacheリダイレクトユーザーが指摘したように、この考えは非常に悪い考えになります。 理由は、HTTPトラフィックがTLSトンネルを介して送信される前にTLSハンドシェイクが発生するためです。バックエンドがSSLプロトコルを検出するまでに、クライアントは最初のリクエストでプライベートデータを送信した可能性があります。永続的かつ長期的なソリューションの場合、SSLv3を無効にすることを検討する必要があります。

13 nginx  ssl  poodle 

WebサーバーでSSLv3を無効にすることを含むpoodleの脆弱性に対するパッチをテストしようとしています。これを非実稼働環境で最初にテストするために、異なるテストサーバーのVirtualHostでSSLProtocolを設定しています。私の設定は次のようになります： <VirtualHost *:443> SSLEngine On SSLProtocol All -SSLv2 -SSLv3 ServerName test.mysite.com # bunch of other stuff omitted </VirtualHost> ただし、Apacheを再起動した後でも、私のテストサイトは脆弱であると主張されています。これは機能すると予想されますか？グローバルなssl configで設定する必要があるのか​​、それとも設定が機能しなかったり動作しない原因となっている微妙なものがあるのか​​どうか疑問に思っています。

13 apache-2.2  ssl  virtualhost  apache-2.4 

ルートCAを信頼されたルートCAとして信頼することなく、Windowsが証明書を信頼するようにすることは可能ですか？ 私は次の証明書チェーンを持っていると言います、 Dept-Root-CA Dept-Intermediate-1 Server-Certificate Server-Certificateを信頼したいが、Dept-Root-CAを信頼したくない 特定の操作についてServer-Certificateの証明書を信頼したいからといって、Dept-Root-CAが適切に保護されていることを信頼したいわけではありません。 ありがとう

13 windows  ssl 

私は手動で（puppet caコマンドの代わりにopensslを使用して）Puppetで使用できるCAを作成する方法を疑問に思っていますか？目的は、puppet certコマンドを使用して証明書を作成するのではなく、複数のpuppetmasterに展開するために、そのようなCAの作成をスクリプト化することです。 方法についてのアイデアはありますか？私はそのようなものを見つけることができました：https : //wiki.mozilla.org/ReleaseEngineering/PuppetAgain/HowTo/Set_up_a_standalone_puppetmaster-それは動作しません-CAとクライアント証明書を作成してpuppetmasterに適用した後、それは文句を言います： Feb 16 09:35:20 test puppet-master[81728]: Could not prepare for execution: The certificate retrieved from the master does not match the agent's private key. Feb 16 09:35:20 test puppet-master[81728]: Certificate fingerprint: 4F:08:AE:01:B9:14:AC:A4:EA:A7:92:D7:02:E9:34:39:1C:5F:0D:93:A0:85:1C:CF:68:E4:52:B8:25:D1:11:64 Feb 16 09:35:20 test puppet-master[81728]: To fix this, remove the certificate from both …

13 ssl  puppet  certificate  openssl 

ほとんどではないが、少数のコンピューターがWebサーバーからのSSL証明書を拒否しています。問題は、一部のコンピューターがCA証明書を拒否していることです。問題は、Mac OS X 10.6が完全に更新されていない場合に現れているようです。 http://www.sslshopper.com/index.php?q=ssl-checker.html#hostname=beta.asana.comによると、問題はありません。 http://certlogik.com/sslchecker/によると、送信される中間証明書はありません。 私の証明書はsf_bundle.crtStarfield Technologiesからのもので、ここから使用しています：certs.godaddy.com/anonymous/repository.seam 私は次のようにstunnel経由でサーバー上のSSLを処理していますstunnel.conf： cert = $CODEZ/admin/production/proxy/asana.pem CAfile = $CODEZ/admin/production/proxy/sf_bundle.crt pid = client = no [<forwarded port>] accept = 443 connect = 8443 私が間違っている可能性のあるアイデアはありますか？

13 ssl  ssl-certificate  stunnel