タグ付けされた質問 「ssl」

https://example.comをhttps://www.example.comにリダイレクトしようとするとエラーが発生します。 私がに行くときhttps://example.com、それはリダイレクトし、ページ/ 200ステータスを返していません。 これは望ましくありません。https://www.example.comにリダイレクトしてほしいです。 私がに行くときhttp://example.com、それはにリダイレクトhttps://www.example.com 誰かが私が間違っている場所を教えてもらえますか？ これは私のデフォルトおよびdefault-ssl設定ファイルです： default.conf server { listen 80; server_name example.com; return 301 https://www.example.com$request_uri; } default-ssl.conf upstream app_server_ssl { server unix:/tmp/unicorn.sock fail_timeout=0; } server { server_name example.com; return 301 https://www.example.com$request_uri } server { server_name www.example.com; listen 443; root /home/app/myproject/current/public; index index.html index.htm; error_log /srv/www/example.com/logs/error.log info; access_log /srv/www/example.com/logs/access.log …

25 nginx  ssl  ssl-certificate  https 

Fedoraサーバーにnginx sslプロキシをインストールしています。 / etc / nginxの下に証明書とキーのペアを作成しました。次のようになります。 ls -l /etc/nginx/ total 84 ... -rw-r--r--. 1 root root 1346 Sep 20 12:11 demo.crt -rw-r--r--. 1 root root 1679 Sep 20 12:11 demo.key ... ルートとして、nginxサービスを開始しようとしています。 systemctl start nginx.service 次のエラーが表示されます。 nginx[30854]: nginx: [emerg] SSL_CTX_use_certificate_chain_file("/etc/nginx/demo.crt") failed (SSL: error:0200100D:system library:fopen:Permission denied...e:system lib) nginx[30854]: nginx: configuration file …

25 nginx  ssl  ssl-certificate 

私の目標は、nginxに接続するクライアントに適切なセキュリティを確保することです。私はnginxインストールでTLSを適切に設定するためにMozillaのガイドに従いますが、実際に使用されている実際のプロトコル/暗号スイートの概要はありません。 私が今持っているもの： server { listen 443; ssl on; ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_dhparam /path/to/dhparam.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'the_long_ciphersuite_listed_there'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:50m; } これにより、接続に使用されたSSLプロトコルと、クライアント/サーバーのネゴシエート後に選択された暗号スイートをログに記録したいと思います。例えば： 10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] "GET / HTTP/1.1" 200 1234 "-" "User agent bla" に 10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 …

24 nginx  security  logging  tls  ssl 

.p12ファイルから.keyファイルと.crtファイルをどのくらい正確に生成しますか？

24 apache-2.2  ssl  certificate  openssl 

SSLのセットアップには専用IPが必要であることを知っています。IPを共有するドメインにSSLを追加するとどうなりますか？（Namevirtualhost）

24 apache-2.2  ssl  https  certificate 

ハートブリードの脆弱性の最近の発見により、認証局は証明書を再発行するようになりました。 heartbleed脆弱性が発見される前に生成された2つの証明書があります。SSL発行者から証明書を再生成するように指示された後、サーバー/ドメインの両方を新しい証明書で更新しました。 私の理解が正しい場合、古い証明書はCAによって失効され、CRL（証明書失効リスト）またはOCSPデータベース（オンライン証明書ステータスプロトコル）に到達する必要があります。そうでない場合、誰かが「侵害された証明書から取得した情報から証明書を再生成することにより、中間者攻撃。 古い証明書がCRLとOCSPに到達したかどうかを確認する方法はありますか。それらが含まれていない場合、それらを含める方法はありますか？ 更新：状況は、既に証明書を置き換えていることです。古い証明書の.crtファイルのみであるため、URLを使用して確認することは実際には不可能です。

23 linux  ssl  heartbleed  crl  ocsp 

ルートCAから証明書を取得して、それを使用して自分のWebサーバー証明書に署名できますか？可能であれば、他の証明書に署名するための中間証明書として署名済み証明書を使用します。 クライアントに信頼チェーンに関する情報を提供するために、「私の」中間証明書を使用して特定の方法でシステムを構成する必要があることを知っています。 これは可能ですか？ルートCAは、このような証明書に署名してもらえますか？高いですか？ バックグラウンド HTTPを介したWebトラフィックの保護に関連するSSLの基本に精通しています。また、ブラウザによって決定されるように、ルートCAに至るまで有効なチェーンを持つ証明書で暗号化すると、Webトラフィックが「デフォルトで」保護されるという点で、信頼チェーンの仕組みの基本的な理解もあります。 / OSベンダー。 また、ルートCAの多くが、中間証明書を使用して（私のような）エンドユーザーの証明書に署名し始めたことを認識しています。それには私の側でもう少しセットアップが必要かもしれませんが、そうでなければ、それらの証明書は問題なく動作します。これは、CAにとって非常に価値のある秘密鍵と、私が危うくなった場合の災害に関係していると思います。 例 https://www.microsoft.com https://www.sun.com https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs 今、私たちはこれらの組織の規模ではないことは間違いありませんが、彼らはこのようなことをしているようです。特に、eコマースプラットフォームのリーチを拡大する1つの方法を考えると、これらの証明書の管理がはるかに魅力的なものになります。

23 ssl  certificate  x509 

エラーなしでLEを使用して証明書を作成できました。また、トラフィックをポート80からポート443にリダイレクトすることもできました。しかし、nginxサーバーをリロードすると、Webサイトにアクセスできません。Ngnixエラーログには次の行が表示されます。 4 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking, client: 192.168.0.104, server: 0.0.0.0:443 これは、証明書を見つけることができず、証明書のパスにナビゲートしたことを意味すると思いますが、それらは両方ありますが、問題は何ですか？Ngnixの構成は次のようになります。 server { listen 80; server_name pumaportal.com www.pumaportal.com; return 301 https://$server_name$request_uri; } server { listen 443 ssl; server_name pumaportal.com www.pumaportal.com; add_header Strict-Transport-Security "max-age=31536000"; ssl_certificate /etc/letsencrypt/live/pumaportal.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/pumaportal.com/privkey.pem; ssl_stapling on; ssl_stapling_verify on; …

23 nginx  ssl  lets-encrypt 

ファイルがありますmyfile-privkey.pem。 秘密鍵ファイルがssh-keygenを使用してパスワードで保護されているかどうかを確認するにはどうすればよいですか？

23 ssl  ssl-certificate  ssh-keygen 

Amazon Load Balancerに秘密鍵（pemエンコード）と公開鍵証明書（pemエンコード）をインストールしました。ただし、サイトテストツールでSSLをチェックすると、次のエラーが表示されます。 SSL証明書の確認中にエラーが発生しました!! 証明書のローカル発行者を取得できません。ローカルに検索された証明書の発行者が見つかりませんでした。通常、これはすべての中間証明書がサーバーにインストールされているわけではないことを示しています。 このチュートリアルのこれらのコマンドを使用して、crtファイルをpemに変換しました。 openssl x509 -in input.crt -out input.der -outform DER openssl x509 -in input.der -inform DER -out output.pem -outform PEM Amazon Load Balancerのセットアップ中に、省略した唯一のオプションは証明書チェーンでした。（PEMエンコード）ただし、これはオプションでした。これが私の問題の原因でしょうか？そしてそうならば; 証明書チェーンを作成するにはどうすればよいですか？ 更新 VeriSignにリクエストを送信すると、証明書チェーンが提供されます。このチェーンには、パブリックcrt、中間crt、およびルートcrtが含まれます。Amazon Load Balancerの証明書チェーンボックスに追加する前に、証明書チェーン（最上位の証明書）からパブリックcrtを必ず削除してください。 AndroidアプリからHTTPSリクエストを行っている場合、上記の手順は2.1や2.2などの古いAndroid OSでは機能しない場合があります。古いAndroid OSで動作させるには： ここに行きます 「小売SSL」タブをクリックし、「セキュアサイト」>「Apacheサーバー用CAバンドル」をクリックします これらの中間証明書をコピーして、証明書チェーンボックスに貼り付けます。ここに見つからない場合は、直接リンクしてください。 ジオトラスト証明書を使用している場合、ソリューションはAndroidデバイスでもほぼ同じですが、Androidの中間証明書をコピーして貼り付ける必要があります。

22 amazon-ec2  ssl  load-balancing 

サーバーfoo.example.comが192.0.2.1にあります eximを実行して、いくつかのドメインの電子メールを受信します。 各ドメインには、mx.example.comを指すMXレコードがあり、これは192.0.2.1に解決されます eximに着信電子メール接続用のTLS暗号化を提供させたい場合、SSL証明書にどのホスト名を入れる必要がありますか？ foo.example.comは、サーバーがHELOでそれを言うからです。 mx.example.comは、クライアントが接続するホスト名だからですか？ http://www.checktls.comは後者が正しいことを示唆していますが、決定的な答えは見つかりません。

22 ssl  smtp  certificate  exim 

サーバーがありますhttps://www.groups.example.com-FireFoxでは、「This Connection is Untrusted」メッセージと「技術的な詳細」が表示されます www.groups.example.com uses an invalid security certificate. The certificate is only valid for the following names: *.example.com, example.com (Error code: ssl_error_bad_cert_domain) これを解決するには、他にどのような情報を提供する必要がありますか？セットアップの確認を取得するだけですが、Linuxであり、VHOSTSを使用していることは99％確信しています。これが確認されるとすぐに質問を更新します。 www.groups.example.comが2レベルのサブドメインを持っていると見られているのは事実ですか？ 発行者はDigiCertです

22 ssl  https  ssl-certificate 

誰かがこれらの証明書の違いを簡単に説明できますか？私はいくつかの記事を読みましたが、同じ仕事をしているようです。つまり、1つの証明書で多くのドメインを暗号化します。

21 ssl  sni  subject-alternative-names 

最近Apache2をバージョン2.2.31にアップグレードした後、SSL VirtualHostのセットアップに奇妙な動作が見つかりました。 私がホストしているWebサイトのいくつかは、クライアントがServer Name Identification認識している場合でもデフォルトホストの証明書を表示していましたが、これは少数のWebサイトでのみ発生しました。これは、ホームバンキングを閲覧している場合に詐欺に遭う可能性があるという一般的なFirefox / Chromeのパスポート警告として表示されますが、そうではありません。 明確にするために、サーバーhost.hostingdomain.orgが独自のSSLを持っている場合、https://www.hostedsite.orgレポート証明書へのアクセスを試みますhost.hostingdomain.orgが、いくつhttps://www.hostedsite.meかの証明書は正しい証明書を報告しました。 すべてのサイトは、ポート443の同じIPアドレスでホストされています。実際、VirtualHostingはHTTP側で動作し、SNI対応クライアントを自動的にSSLにリダイレクトするため、SNI非対応クライアントと下位互換性があります。 問題のあるVirtualHostsのエラーログを調べると、次のテキストが表示されます [Tue Dec 25 16:02:45 2012] [error] Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] (/path/to/www.site.org.conf:20) 実際、vhostはSSLCertificateFileで正しく構成されました。 質問は明らかです：それを修正する方法？

21 apache-2.2  ssl  virtualhost  sni 

新しいWebサイトをテストするための自己認証SSL証明書を生成しました。サイトが公開される時が来たので、GeoTrustから証明書を購入したいと思います。自己証明書用に生成したものと同じCSRを使用できますか、それとも新しい証明書を作成する必要がありますか？ リッチ

21 ssl  csr