タグ付けされた質問 「ssl」

私の会社には、現在自己署名された社内認証局があります。外部のSSLと顧客への安全な電子メールに使用を開始したいので、信頼する必要があります。 社内PKIの信頼されたルート証明書を取得するためにかかる費用について、だれでも大丈夫ですか？4桁？5桁？6桁？2000〜3000人を雇用しています。

12 email  ssl  ssl-certificate  certificate  certificate-authority 

私は小さなチーム用の開発ツールをインストールしようとしていますが、認証を正しく取得できません。 私たちは分散チームであるため、サーバーはインターネット上にあります。そして、SSO +ゼロクライアント構成が必要です。 gitクライアントは基本認証のみを使用できますが、パスワードを保存せず、一部のIDEプラグインはUIでパスワードの質問を転送しないため、基本的にhttps + webdav上のgitは実用的ではありません。 sshでgitを使用する必要があります。gitosisをインストールしましたが、基本的に非対称キーで動作します。各開発者にキーをインストールするように依頼する必要があります。これを行うことができますが、ゼロ設定は忘れてください。 次に、httpsにあるWebツール（wiki、チケットなど）に開発者がアクセスできるようにしますが、今回は、SSH間で形式に互換性がないため、ログイン/パスワードまたは別の秘密キーを提供する必要がありますSSLとOSでのSSLの保存場所は同じではありません。今、私はSSOを忘れなければなりませんか？ 私は間違っていますか？

12 ssh  ssl  certificate 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 4年前に閉鎖されました。 最近、共有ホスティングプロバイダーに連絡して、いくつかのサイトのプライベートSSLを設定しました。同じプランでホストされているサイトがいくつかあります（このプランでは無制限のドメインが許可されています）。ただし、共有ホスティングであり、最終的に各サイトは同じIPアドレスから実行されるため、単一の証明書のみをインストールし、1つのサイトのみを保護できると言われました（各証明書には専用IPが必要なため）。 彼らが私に与えた他のオプションは、共有証明書を使用することでした。ブラウザは証明書の警告を生成するため、これは受け入れられません。私の質問は、これは共有ホスティングプロバイダーの典型的なものですか、それとも複数のプライベート証明書を許可するものを見つけることができますか？現在、いくつかのサイトを開発していますが、コストを最小限に抑えたいため、まだVPSまたは専用ホスティングにアップグレードしていません。ありがとう。

12 ssl  hosting  web-hosting 

内部ネットワーク用のカスタムルート認証局、example.comを作成しました。理想的には、この認証局に関連付けられたCA証明書をLinuxクライアント（Ubuntu 9.04およびCentOS 5.3を実行）にデプロイして、すべてのアプリケーションが認証局を自動的に認識するようにしたい（つまり、 Firefox、Thunderbirdなどを手動で設定して、この認証局を信頼するようにします）。 UbuntuでPEMエンコードされたCA証明書を/ etc / ssl / certs /および/ usr / share / ca-certificates /にコピーし、/ etc / ca-certificates.confを変更してupdate- CA証明書、ただし、アプリケーションは、別の信頼できるCAをシステムに追加したことを認識していないようです。 したがって、システムにCA証明書を1回追加することは可能ですか、それともネットワーク内でこのCAによって署名されたホストへのSSL接続を試行する可能性のあるすべてのアプリケーションにCAを手動で追加する必要がありますか？システムにCA証明書を1回追加できる場合、どこに行く必要がありますか？ ありがとう。

12 ssl  certificate 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 5年前に閉鎖されました。 ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け入れていません。 少数の従業員によるリモートアクセスと管理を容易にするために、SSL証明書が必要です。自宅のコンピューターに自己公開証明書をインストールするために、技術に詳しくないユーザーの集団をトレーニングする必要はありませんので、信頼できるプロバイダーから証明書を購入したいと思います。電子商取引などに使用することはないため、一部の大手プロバイダーが要求する価格を支払うことを正当化するのは難しいようです。 検討すべき優れた低コストのプロバイダーは誰ですか？異なる価格帯で利用可能な製品の重要な違いは何ですか？（そして、証明書ビジネスは本当にラケットのように見えますか？）

12 ssl  certificate 

WindowsでApacheを使用する必要があるベンダーの製品を使用しています。 独自のCAがあります。 命名目的： AppServer-Server2012r2-Apache 2.4 OldCertsha1-Server2012r2 NewCertsha2-Server2012r2 以下の2つのコマンドを使用して、AppServerにCSRを作成しました。 genrsa –des3 –out name.sub.domain.com.key 2048 req –new –key name.sub.domain.com.key –out name.sub.domain.com.csr それはすべてうまくいく req -noout -text -in name.sub.domain.com.csr Certificate Request: Data: Version: 0 (0x0) Subject: C=xx, ST=xx, L=xx, O=xx, OU=xx, CN=name.sub.domain.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 …

12 windows  ssl  apache-2.4 

顧客の認証にクライアント側の証明書を使用しています。 セットアップは次のとおりです。Djangoアプリケーションの前にnginxがあります。私たちのnginxの設定では、我々は（仕事に実際のクライアントサイド証明書の検証を取得するために必要なパラメータを持っているssl_client_certificate、ssl_verify_clientなど）、および uwsgi_param X-Client-Verify $ssl_client_verify; uwsgi_param X-Client-DN $ssl_client_s_dn; uwsgi_param X-SSL-Issuer $ssl_client_i_dn; つまり、これらの変数の値をDjangoアプリに取得します。Djangoアプリは、この情報を使用して、接続しているユーザーを特定し、それらを承認します。 証明書を使用してログインできない人々についてのレポートを突然取得し始めたとき、何ヶ月も問題なくこれを正常に使用しています。$ssl_client_s_dnand $ssl_client_i_dn値の形式が、スラッシュで区切られた形式から変更されたことが判明しました。 /C=SE/O=Some organziation/CN=Some CA カンマ区切り形式に： CN=Some CA,O=Some organization,C=SE これを解決するのは簡単でしたが、その理由はわかりません。だから私の質問は本当にです： の価値は$ssl_client_s_dnどこから来ますか？nginxによって設定されていますか？クライアント？ この値が持つことができる形式のドキュメント/仕様はありますか？名前はありますか？

12 nginx  ssl  ssl-certificate 

サブドメイン（sub.domain.comなど）をリッスンするWebサイトを、IISおよびSSLを使用して、第2レベルドメイン（domain2.com、domain3.comなど）の直下に存在する複数のWebサイトと共にホストしたいと思います。 サブドメインを含むWebサイトには、ワイルドカード証明書（* .domain.com）があり、他のサイト（domain2.comおよびdomain3.com）専用の証明書もあります。 そのようなセットアップは、同じIISでホストできますか（もしそれが重要な場合、Azure Cloud Service Webロールで）？ 問題は、ここで titobfが説明したとおりです。理論的には、SNIを使用してバインドし、domain2 / 3.comにホストを指定し、次に* .domain.comに*ホストを使用したキャッチオールWebサイトを使用する必要があります。ただし、実際には、キャッチオールWebサイトが有効になっている場合、バインディングの設定方法に関係なく、domain2 / 3.comへのすべての要求も受信します（ただし、最後の手段としてのみ一致するはずです）。 任意の助けをいただければ幸いです。 未解決 残念ながら、これを解決することはできませんでした。IISとインターネット（基本的にはファイアウォール）の間に位置し、SSLハンドシェイクが行われる前に着信要求を変更するソフトウェアを作成するなど、非常に複雑な方法でしか解決できないようです！ ）シナリオを許可します。これは、IISでは不可能であり、ネイティブモジュールからでさえ不可能だと確信しています。 明確にする必要があります。AzureCloud Servicesを使用しているため、複数のIPアドレスを使用できないという制約があります（http://feedback.azure.com/forums/169386-cloud-services-web-and -worker-role / suggestions / 1259311-multiple-ssl-and-domains-to-one-app）。複数のIPをサーバーに向けることができる場合、IPのバインディングも作成できるため、この問題はありません。これらは一緒にワイルドカードバインディングで機能します。具体的には、ワイルドカードサイト用のIP（ただし、別のIPを使用しているため、ワイルドカードホスト名バインディングを構成する必要はありません）および他のすべての非ワイルドカード用のIPが必要です。 実際の回避策は、非標準SSLポート8443の使用でした。したがって、SNIバインディングは実際にこのポートにバインドされているため、他のバインディングと一緒に機能します。いいとは言えませんが、Webロールに複数のIPを使用できるようになるまでは、回避策として受け入れられます。 動作しないバインディング 最初のhttpsバインディングは単純な証明書を使用したSNIであり、2番目はワイルドカード証明書を使用したSNIではありません。 SNI httpsサイトと同様にhttpサイトも機能しますが、ワイルドカードバインディングを使用したサイトでは「HTTPエラー503。サービスは利用できません」と表示されます。（追加情報なし、失敗した要求トレースまたはイベントログエントリなし）。 最後に基本的に動作させる 説明したTobiasのようなETWトレースログを有効にすると、ルートエラーは次のようになりました。 要求（要求ID 0xF500000080000008）は理由により拒否されました：UrlGroupLookupFailed。 私が理解している限り、これはhttp.sysが利用可能なエンドポイントにリクエストをルーティングできないことを意味します。 登録されたエンドポイントをチェックすると、netsh http show urlacl実際にポート443に何かが登録されていることがわかりました。 Reserved URL : https://IP:443/ User: NT AUTHORITY\NETWORK SERVICE Listen: Yes Delegate: …

12 iis  ssl  azure  ssl-certificate  sni 

ドメインにSSL証明書をインストールしたところ、httpsを使用してサイトを参照しようとすると、FFとchromeでローカルおよびクライアントの両方から接続リセットエラーが発生します。SSLなしで（httpを使用して）サイトにアクセスできます。 違いがある場合は、別のWebサイトに別のSSL証明書をインストールしていますが、別のIPにバインドされています。 Win2K8上でIIS7を実行しています 編集：httpsで動作していないサイトの場合：IPアドレスでもこのサイトにアクセスできません。私がそれにアクセスできる唯一の方法は、通常のhttpとドメイン名を使用することです。

12 iis-7  ssl 

IIS 8（win 2012 r2）サーバーがあり、同じWebサイトを2つの異なるドメインと2つの異なる証明書にバインドしたい。 ドメインが異なるFQDNであるため、ワイルドカードを使用できません。 httpsとポート443に2つのバインディングを追加すると、2つの異なる証明書を選択できません（一方のバインディングを変更すると、もう一方も変更されます）。 異なるポートを使用したり、2つの異なるWebサイトに分割したりせずにこれを解決する方法はありますか？ ありがとう！

12 ssl  ssl-certificate  iis-8  bindings 

以下は、RDPステータスのスナップショットです。いいね： リモートマシンから接続しようとすると、エラーが発生します。 "This computer can't connect to the remote computer. Try connecting again. If the problem continues..." ポート3389をリモートでテストしましたが、開いています。私はそれをnetstatでテストしました。 TCP 0.0.0.0:3389 hostname:0 LISTENING Windowsファイアウォールなし ネットワークファイアウォールなし 真新しい自己署名証明書 マシンは最近再起動され、その前に機能していました ターミナルサービスが実行されている SSL証明書を検査すると、すべての詳細が表示され、見栄えがよく、2014年に期限が切れます hklm：\ System \ CurrentControlSet \ Control \ Terminal Server \ fDenyTSConnectionsは0です C：\ ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys管理者はすべての特権を持っています 更新： …

12 ssl  windows-server-2012  remote-desktop  rdp 

私はそのようなクライアント証明書を使用してカールリクエストをしようとしています： curl -E my.pem https://some.site そして、私は次のエラーメッセージを受け取ります： curl: (35) error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca これは何を意味するのでしょうか？ この苦情は、私が接続しているサーバー、または私のcurlクライアントからのものですか？ （どのように判断しますか）このコンテキストのCAは何ですか？ caがわかるようにするにはどうすればよいですか？

12 ssl  ssl-certificate  openssl  certificate-authority  curl 

現在、サイトの「HTTPリダイレクト」機能にある永続的なリダイレクトを使用して、IIS 8.5で新しいアドレスにリダイレクトするように設定されたWebサイト（クライアントはドメイン名を変更しましたが、古いドメインから新しいサイトにユーザーを送信することを望んでいます）があります。 古いドメインのSSL証明書が更新されるようになりました。更新が必要かどうかについては、技術部門に未解決の問題があります。 IISでHTTPリダイレクトを設定した場合、サイトにはSSL証明書が必要ですか？または、訪問者はそのようなものがチェックされる前にリダイレクトされますか？

12 ssl  redirect  301-redirect  iis-8.5 

SSLの中間者攻撃は、特に企業環境では、思ったよりもはるかに一般的であることに気付きました。透過的なSSLプロキシサーバーを設置しているいくつかの企業について聞いたことがあります。すべてのクライアントは、このプロキシの証明書を信頼するように構成されています。これは基本的に、雇用主は理論的には、SSLで暗号化されたトラフィックでさえ、ブラウザに警告が表示されることなく傍受できることを意味します。前述のように、クライアントには信頼できる証明書が付属しています。これは、使用されている証明書を手動で検証することによってのみ明らかにできます。 私には、雇用主が彼の優れた地位を利用して従業員のSSLトラフィックをスパイしているように見えます。私にとって、これはSSLの概念全体を信頼できないものにします。私はmitmproxyを使用して同様のセットアップを自分でテストし、クライアントと電子バンキングサーバー間の通信を読み取ることができました。これは、誰にも明かされるべきではない情報です。 したがって、私の質問はかなり単純です：サーバー側で信頼チェーンを検証するにはどうすればよいですか？クライアントがサーバーの証明書と1つの信頼チェーンのみを使用するようにします。これは、ApacheのSSL構成で実現できるのでしょうか？これは、多くのアプリケーションに簡単に適用できるため便利です。これが不可能な場合、誰かがPHPでこれを行う方法を知っていますか？または、他に提案はありますか？

11 apache-2.2  ssl  ssl-certificate  mitmproxy 

次のようなコマンドを使用して、Apacheを適切にリロードしようとしています。 apache2ctl -k graceful これはHTTPユーザーに対して期待どおりに機能し、Webサイトのユーザーに影響を与えることなくApache構成が再ロードされます。 ただし、HTTPS経由でサーバーにアクセスしているユーザーは、正常なリロード中に切断されることがわかりました。 SSL接続に影響を与えずにApacheを正常にリロードするにはどうすればよいですか？ 役立つ場合は、Apache 2.4.20でHTTP 2を使用しています。

11 ssl  apache-2.4  http2