タグ付けされた質問 「ssl」

最近、インフラストラクチャチームが開発チームに、httpsの証明書は必要ないことを伝えました。彼らは、証明書を購入する唯一の利点は、正しいウェブサイトに接続していることを消費者に安心させることであると述べました。 これは、httpsについて想定したすべてに反します。 私はウィキペディアを読みましたが、httpsを構成するには信頼できる証明書または自己署名証明書のいずれかが必要であると述べています。 それは、configureにすることなく、httpsに対応するためにIIS可能である任意の証明書？

9 windows-server-2008  ssl  iis-7.5  https  certificate 

警告： SSLv3は廃止されました。完全に無効にすることを検討してください。 StunnelをSSLキャッシュとしてサーバーに設定しようとしています。すべてがスムーズで、ほとんどが設計どおりに機能しました。 次に、ログファイルでエラーが発生しました。 SSL_accept: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number 何らかの奇妙な理由により、すべてのクライアントがそれをトリガーするわけではありません。リンクを使用してCentOSから接続する-エラーが表示されます（複数のマシンを試しました）。リンクを使用してUbuntuから接続-エラーなし。 wgetを使用してみましたが、TLSv1ではすべてがスムーズですが、SSLv3ではエラーが表示されます。同時に、wgetは次のように報告します。 OpenSSL: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure SSL接続を確立できません。 これが私の設定です： pid = /etc/stunnel/stunnel.pid debug = 3 output = /etc/stunnel/stunnel.log socket=l:TCP_NODELAY=1 socket=r:TCP_NODELAY=1 verify=3 ; fixing "fingerprint does not match" error fips=no [https] accept=12.34.56.78:443 connect=127.0.0.1:80 TIMEOUTclose=0 xforwardedfor=yes CAfile = /path/to/ssl/example.com.cabundle cert=/path/to/ssl/example.com.crt key=/path/to/ssl/example.com.key …

9 ssl  ssl-certificate  openssl  stunnel 

オンラインショッピングサイトがあります。ページをチェックアウトしようとすると、「error：14094410：SSL routines：SSL3_READ_BYTES：sslv3 alert handshake failure（35）」のようなエラーが発生します Apacheエラーログから、api.paypal.comに接続しようとする試みがいくつか見られます。これが私のApacheエラーログの一部です * About to connect() to api.paypal.com port 443 (#0) * Trying 66.211.168.123... * connected * Connected to api.paypal.com (66.211.168.123) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs * error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure * Closing connection #0 curlを使用してapi.paypal.comに接続しようとすると、次のようなエラーが発生します …

9 ssl  ssl-certificate 

私はこのエラーを受け取り続けます： No cURL data returned for https://XXX.XXXX.XXX:XXXX [0] SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed よくわからない、またはこの問題の原因がわからない。そして、これを解決する方法は？助けてください！

9 ssl  ssl-certificate  curl 

ssl、ローカルセッション、および負荷分散に関して、相互に関連していると思われる質問がたくさんあります。そのため、この質問については、事前にお詫び申し上げます。 ファイルベースのセッションを使用するWebサイトがあります。サイトの性質はほとんどがhttpですが、一部のセクションはsslです。現在、ファイルベースのセッションのため、sslリクエストは以前のhttpリクエストと同じサーバーにヒットする必要があります。 時間の制約のため、増加したhttpおよびsslトラフィックの負荷を分散するために、可能な限り簡単なことをしたいと考えています。 スティッキーロードバランシングアルゴリズムには2つのオプションがあるようです。 IPベース クッキーベース IPベースのソリューションはおそらく機能しますが、ハッシュアルゴリズムは、サーバーがダウンしたり追加されたときにユーザーが移動するサーバーを変更する可能性があります。これは、現在のファイルベースのセッション設定では望ましくありません。また、ユーザーがWebサイトを閲覧しているときに、IPを合法的に変更することは技術的には可能だと思います。 cookieベースのアルゴリズムはより良いように見えますが、sslで暗号化されたときにcookieを検査できないことは、それ自体に問題があるようです。 私はsslを負荷分散する方法の例を探していましたが、cookieベースの負荷分散を実行でき、別のsslデコーダーを追加することで増加したssl負荷を処理できる設定の明示的な例を見つけることができません。 私が見たほとんどの明示的な例では、ブラウザークライアントとロードバランサーの間にsslデコーダー（通常はハードウェア、apache_mod_ssl、またはnginx）があります。通常、例には次のようなものがあります（http://haproxy.1wt.eu/download/1.3/doc/architecture.txtから変更）。 192.168.1.1 192.168.1.11-192.168.1.14 ------- + ----------- + ----- + ----- + ----- + | | | | | +-+-+ +-+-+ +-+-+ +-+-+ +-+-+ | LB1 | | A | | B | | C | | D | + ----- + …

9 ssl  nginx  load-balancing  haproxy 

こんにちは皆さん、IIS 6用の独自のSSL証明書を作成することは可能ですか？もしそうなら、誰かがウェブ上の優れたガイドへのリンクを持っていますか？ 感謝！ ジョン

9 ssl  iis-6  certificate 

Windows 2003 ServerでIIS6のSSL証明書を更新する必要があります。ベンダー（Thawte）は、私の証明書署名要求は署名不可であることを教えてくれます。これは、まったく新しい証明書の要求を生成する必要があることを意味します。ただし、IISマネージャーでは、現在の証明書がインストールされている限り、オプションは次のとおりです。 現在の証明書を更新する 現在の証明書を削除します 現在の証明書を置き換える 現在の証明書を.pfxファイルにエクスポートする 現在の証明書をリモートサーバーサイトにコピーまたは移動する 「置換」は当然の選択肢だと思っていましたが、現在の証明書を置き換えるための新しいリクエストを作成することはできません。サーバーにインストール済みの証明書からのみ選択できます。新しい証明書を要求するために現在の証明書を「削除」すると、サーバーが保護されていないことがクライアントにすぐに通知されますか？または、Thawteのドキュメントを誤解していて、本当に更新できますか？私は過去に証明書を更新したことがあり、「SSLで保護された」ステータスを中断することなくこれを実現する方法がまったくないとは想像できません。前もって感謝します。

9 ssl  iis-6 

私は2つのサイト用にHAProxyを持っています。1つはパブリック、もう1つはプライベートです。 www.mysite.com private.mysite.com Atm、私はこのようにhaproxyを使用しています： frontend mysite_https bind *.443 ssl crt /etc/mycert.pem ca-file /etc/myca.pem verify optional no-sslv3 mode http acl domain_www hdr_beg(host) -i www. acl domain_private hdr_beg(host) -i private. acl path_ghost path_beg /ghost/ acl clientcert ssl_c_used redirect location https://www.example.com if path_ghost !clientcert redirect location https://www.example.com if !domain_www !clientcert use_backend bknd_private if …

9 ssl  haproxy  sni 

サーバーの1つでSSL接続をテストしようとしています。サーバーはLBの背後にあるため、ポート8090でSSL接続を待機しています。 --resolveポート443でリッスンするLBと通信するときにテストするオプションを使用しています。 curl --resolve 'myservice.com:443:1.1.1.1' 'https://myservice.com' しかし私がするとき： curl --resolve 'myservice.com:8090:2.2.2.2' 'https://myservice.com:8090' curlは単にポートを無視して443を使用します。もちろん、これによりDNSキャッシュが失われ、最終的にパブリックDNS IPを使用してしまいます... * Added myservice.com:8090:2.2.2.2 to DNS cache * About to connect() to myservice.com port 443 (#0) * Trying 3.3.3.3... * Connected to myservice.com (3.3.3.3) port 443 (#0) curlがSSL接続にポート8090を使用するように強制するにはどうすればよいですか？ ありがとう。

9 ssl  port  curl 

AWS ELBでHTTPSを動作させようとしています。 1時間ほど試してみましたが、何をしようとしても、HTTPSで接続すると接続がタイムアウトするだけです。HTTPは正常に機能しますが、HTTPSは機能しません。 誰かが何らかの援助を提供できますか？

9 ssl  amazon-web-services  amazon-elb 

サーバーのWindowsイベントログに次のエラーが表示されます。 TLS 1.0接続要求がリモートクライアントアプリケーションから受信されましたが、クライアントアプリケーションでサポートされている暗号スイートがサーバーでサポートされていません。SSL接続要求が失敗しました。 Windows Server 2003ボックスからWindows 7ボックスのWebサービスに接続しようとすると、 他がサポートする暗号スイートに暗号スイートを追加するにはどうすればよいですか？ （クライアントを修正することは理想的ですが、サーバーソリューションで問題がないことに失敗しました-関連するすべてのボックスにアクセスできます。プライバシーのためにクライアント間の基本的な暗号化が必要です）。 何時間ものグーグルと読書に加えて、私は試しました： サーバーウィンドウのイベントビューアを確認しました（暗号スイートエラーが見つかりました） http://support.microsoft.com/kb/948963からtest1に暗号スイートを追加しました（助けにはなりませんでした） サーバーのWindowsレジストリの暗号スイートのプロトコルにTLS 1.0を追加（変更なし） Schannelにプロトコルを追加することを期待してIISツールをインストールします（そうではありません）。 クライアントの証明書をエクスポートしますが、秘密鍵が含まれています（変更なし） インストールされた暗号スイートがサーバーとクライアントで一致することを確認します（win2k3がそれらをリストする場所を見つけることができません） TLS_RSA_WITH_AES_256_CBC_SHA（上記の修正プログラムによってインストールされます）をサーバーの暗号スイートに追加します（いいえ、すでにそこにあります）

9 windows-server-2003  windows-7  tls  ssl 

mod_sslをインストールしようとしましたが、このコマンドを使用apt-get install mod_sslしてインストールしましたが、と言うエラーが発生しましたunable to locate package mod_ssl。 上記のコマンドを実行した後、私は以下の出力を得ました Reading package list.. Done Build dependency tree Reading state information done.. E:unable to locate package mod_ssl どうすれば解決できますか？

9 ubuntu  ssl  amazon-web-services  certificate 

仮想ホスト上でsslクライアント検証を強制したいのですが。しかし、「必要なSSL証明書が送信されませんでした」というエラーが表示され、そこから何かを取得しようとしています。 これが私のテスト設定です： # defaults ssl_certificate /etc/certs/server.cer; ssl_certificate_key /etc/certs/privkey-server.pem; ssl_client_certificate /etc/certs/allcas.pem; server { listen 1443 ssl; server_name server1.example.com; root /tmp/root/server1; ssl_verify_client off; } server { listen 1443 ssl; server_name server2.example.com; root /tmp/root/server2; ssl_verify_client on; } 最初のサーバーは200 HTTPコードで応答しますが、2番目は「400 Bad Request、No required SSL certificate was sent、nginx / 1.0.4」を返します。 おそらく、同じIPでssl_verify_clientを使用することは不可能でしょうか？これらのサーバーを別のIPにバインドする必要がありますが、問題は解決しますか？

9 nginx  ssl  web 

mod_proxy SSLCACertificatePathディレクティブを使用しようとしていますが、適切に使用する方法について少し混乱しています。 ここでSSLCACertificatePathディレクティブを説明する2つのリンクがある： http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcacertificatepath http://www.modssl.org/docs/2.8/ssl_reference.html#ToC13 ハッシュ化されたシンボリックリンクを作成する方法については、前向きではありません。2番目のリンクでは、ApacheのMakeファイルを使用するように記載されていますが、そこで正確に何が言われているのかまったくわかりません。 フレンドリーなガイダンスをいただければ幸いです。 お時間をいただきありがとうございます。 更新 私の質問の目的は、エンドユーザーのクライアント証明書を検証するために複数のCAを処理する方法を理解することでした。複数のpem証明書が1つのファイルで使用されている可能性があることに気付きませんでした。私の場合、これは明らかに前進する正しい方法です。

9 apache-2.2  ssl  mod-ssl 

私が読んだすべての答えが明らかに間違っていなかった場合を除き、SNIは私がやりたいことを可能にするはずですが、すべてのガイドは私がやっていることを正確に行うように指示しています。 それでも、nginxは間違った証明書を提供しているので、明らかに何か間違ったことをしています。 ❯ sudo nginx -V | grep SNI %1 nginx version: nginx/1.10.3 built with OpenSSL 1.1.0f 25 May 2017 TLS SNI support enabled configure arguments: --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-qJwWoo/nginx-1.10.3=. -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now' --prefix=/usr/share/nginx --conf-path=/etc/nginx/ngi nx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fa stcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi …

8 nginx  ssl  sni