タグ付けされた質問 「ssl」

Nginxを4つのApacheインスタンスのプロキシとして使用しています。私の問題は、SSLネゴシエーションに多くの時間（600ミリ秒）がかかることです。例としてこれを参照してください：http : //www.webpagetest.org/result/101020_8JXS/1/details/ Nginx Confは次のとおりです。 user www-data; worker_processes 4; events { worker_connections 2048; use epoll; } http { include /etc/nginx/mime.types; default_type application/octet-stream; access_log /var/log/nginx/access.log; sendfile on; keepalive_timeout 0; tcp_nodelay on; gzip on; gzip_proxied any; server_names_hash_bucket_size 128; } upstream abc { server 1.1.1.1 weight=1; server 1.1.1.2 weight=1; server 1.1.1.3 weight=1; } …

17 linux  ssl  nginx 

Webサーバーは、着信接続のホストヘッダーに基づいて使用するSSL証明書を選択することはできますか、またはSSL接続が確立された後にのみその情報を利用できますか？ それは私のウェブサーバがポート443に上場している場合foo.com証明書を使用することができ、あるhttps://foo.comが要求され、そしてもしbar.com証明書https://bar.comが要求されているか、私がやろうとしていますサーバーはクライアントが何を望んでいるかを知る前にSSL接続を確立しなければならないので、不可能なことはありますか？

17 ssl  web-hosting  ssl-certificate  https 

私のアプリケーションがテナントの製品の技術文書をホストおよび提供するマルチテナントアプリケーションを実装しています。 さて、私が検討していることのアプローチだった-私のホストのドキュメントでdocs.<tenant>.mycompany.com、セットアップに私のテナントを尋ねるCNAME DNSレコードポイントにdocs.tenantcompany.comまでdocs.<tenant>.mycompany.com。 テナントの証明書を使用してサイトをSSL対応にしたい。テナント会社がワイルドカードSSL証明書を持っているdocs.tenantcompany.comかどうか、このセットアップで動作するか、新しいSSL証明書を購入する必要があるかを理解したかったのです。

17 domain-name-system  ssl  ssl-certificate  cname-record  dns-zone 

Apache confに少し問題があります。エラーログを読むと、次のように表示されます。 [client xxx.xxx.xx.xx] AH01964: Connection to child 1 established (server www.mywebsite.com:443) [client xxx.xxx.xx.xx] AH01964: Connection to child 6 established (server www.mywebsite.com:443) [client xxx.xxx.xx.xx] AH01964: Connection to child 10 established (server www.mywebsite.com:443) [client xxx.xxx.xx.xx] AH01964: Connection to child 15 established (server www.mywebsite.com:443) [client xxx.xxx.xx.xx] AH01964: Connection to child 18 established …

17 apache-2.2  ssl  https 

このssh-keygenコマンド.pubは、「公開キーファイル」と呼ばれるファイルを生成しますが、PEM形式の私が通常目にするほとんどの「公開キーファイル」とはまったく異なる形式です。ssh-keygenスタイルファイルは、次のようになります。 ssh-rsa AAAAB3NzaC1... user@host ...一方、PEMファイルは次のようになります。 -----BEGIN CERTIFICATE----- MIIGZjCCBU6gAwIBAgIDCIrNMA0GCSqGSIb3DQEBBQUAMIGMMQsw... -----END CERTIFICATE----- これらの2つの形式は互換性がありますか、それとも根本的に異なる目的を実行していますか？PEMエンコードされた公開キーファイルのRSA2キーフィンガープリントを取得したかったため、この問題に出くわしましたが、通常それを行うように提案された方法（ssh-keygen -l）では、PEMエンコードされたファイルは「公開キーファイルではありません」と述べています。 ところで、私はこの答えを知っていますが、によって生成された.pubファイルをカバーしていませんssh-keygen。

17 ssl  encryption 

Cisco SSL VPN経由で接続するためのマシンがあります（\\speeder）。 私は、私たちの私たちにpingを実行することができますspeeder上10.0.0.3： 上のルーティングテーブルに\\speederは、割り当てられた複数のIPアドレスが表示されます。 Cisco AnyConnect VPNクライアントと接続した後： pingできなくなりました\\speeder。 また、Cisco VPNアダプタの新しいルーティングエントリがありますが、接続後に既存のルーティングエントリは変更されませんでした。 Cisco VPNアダプター（192.168.199.20）のSpeederのIPアドレスは、ネットワーク（10.0.xx 255.255.0.0）とは異なるサブネット上にあるため、 pingできないことが予想されます。 C:\Users\ian.AVATOPIA>ping 192.168.199.20 Pinging 192.168.199.20 with 32 bytes of data: Request timed out. 私たちが経験している問題は、既存の IPアドレスにpingできないこと\\speederです： C:\Users\ian.AVATOPIA>ping 10.0.1.17 Pinging 10.0.1.17 with 32 bytes of data: Request timed out. C:\Users\ian.AVATOPIA>ping 10.0.1.22 Pinging 10.0.1.22 with 32 bytes of data: …

17 ssl  cisco  cisco-vpn 

インポートする2つの.pemファイルが与えられました。これらのファイルは生成しませんでした。それらをIIS 7にインポートできますか、または別の形式に変換する必要がありますか？IISは.pfxを好むことを知っています-必要に応じて.pemを変換できますか？ どんな助けも大歓迎です！

17 iis  iis-7  ssl  ssl-certificate 

私はただ疑問に思っていました。多くのSSL証明書を使用します。最近では、ほとんど専らletsencryptを使用しています（ありがとう！）。これらの証明書の要点は、証明書のドメイン名の所有権の証明は、これらのドメインの下でDNSレコードまたはWebサイトを操作する力に由来するということです。DNS証明は、いくつかのキー（letsencryptで指定）をTXTレコードとしてDNSに追加することから得られます。 したがって、ドメインのDNSレコードを変更できる十分な証拠であれば、DNSのフィンガープリントで自己署名証明書を使用してみませんか？ DNSベースのletsencrypt（およびその他のCA）の手順とまったく同じ信頼性が得られると思います。 自己署名CAを作成します（さまざまな方法の手順に従うだけです） いくつかのドメインの証明書を作成します 手順1のCAを使用して手順2の証明書に署名します。これで、信頼されていないCAによって署名された基本証明書が作成されました。 TXT（または専用）レコードを各ドメインのDNSに追加して、このCAでこのドメインの証明書に署名したことを示します。いいね： 'CA = -fingerpint of CA-' ブラウザは証明書をダウンロードし、CAのフィンガープリントとCA証明書を特定のドメインのDNS内のデータと比較することにより、証明書を検証します。 これにより、基本的なSSL証明書と同じ信頼レベルで、第三者の干渉なしに信頼できる自己署名証明書を作成できます。DNSにアクセスできる限り、証明書は有効です。暗号化などのDNSSECを追加して、CAとSOAレコードからハッシュを作成し、DNSレコードの変更で信頼が失われるようにすることもできます。 これは以前に考慮されましたか？ ジェルマー

16 domain-name-system  ssl  certificate-authority  lets-encrypt  self-signed-certificate 

TrustWaveの脆弱性スキャナーは、RDPを実行しているWindows 10マシンが原因でスキャンに失敗します。 Sweet32（CVE-2016-2183）として知られる64ビットのブロックサイズ（DESや3DESなど）の誕生日攻撃のブロック暗号アルゴリズム 注：RDP（リモートデスクトッププロトコル）を実行しているWindows 7/10システムでは、無効にする必要がある脆弱な暗号には「TLS_RSA_WITH_3DES_EDE_CBC_SHA」というラベルが付いています。 IIS Crypto（Nartac）を使用して、「ベストプラクティス」テンプレートとPCI 3.1テンプレートを適用しようとしましたが、どちらにも安全でない暗号（TLS_RSA_WITH_3DES_EDE_CBC_SHA）が含まれています。 この暗号を無効にすると、このコンピューターから多くのWindowsステーションへのRDP が機能しなくなります（一部の2008 R2および2012 R2サーバーでも機能します）。RDPクライアントは、単に「内部エラーが発生しました」とイベントログを提供します。 TLSクライアント資格情報の作成中に致命的なエラーが発生しました。内部エラー状態は10013です。 いずれかのサーバーのサーバーイベントログを確認し、これら2つのメッセージを確認しました リモートクライアントアプリケーションからTLS 1.2接続要求を受信しましたが、クライアントアプリケーションでサポートされている暗号スイートはいずれもサーバーでサポートされていません。SSL接続要求が失敗しました。 次の致命的なアラートが生成されました：40。内部エラー状態は1205です。 発信RDPを中断せずにセキュリティの脆弱性を修正するにはどうすればよいですか？ または、上記が不可能な場合、各RDPホストで実行できることはありますか？ --- 更新＃1 --- Windows 10マシンでTLS_RSA_WITH_3DES_EDE_CBC_SHAを無効にした後、複数のRDPホストに接続しようとしました（それらの半分は「内部エラー...」で失敗しました）。そこで、接続できるホストの1つと接続できないホストの1つを比較しました。両方とも2008 R2です。両方に同じRDPバージョンがあります（6.3.9600、RDPプロトコル8.1がサポートされています）。 テンプレートファイルを比較できるように、IIS Cryptoを使用して現在の設定で「テンプレートの保存」を行うことにより、TLSプロトコルと暗号を比較しました。それらは同一でした！したがって、問題が何であれ、ホスト上の欠けているスイートの問題ではないようです。以下は、Beyond Compareのファイルのスクリーンショットです。 この問題の原因となる2つのRDPホストとその修正方法の違いは何ですか？

16 windows  security  ssl  rdp 

Certbot webrootプラグインのドキュメントから webrootプラグインは、でリクエストしたドメインごとに一時ファイルを作成することで機能します${webroot-path}/.well-known/acme-challenge。 次に、Let's Encrypt検証サーバーがHTTP要求を作成して、要求された各ドメインのDNSがcertbotを実行しているサーバーに解決されることを検証します。 私用のホームサーバーでは、ポート80が無効になっています。つまり、ルーターでポート転送が有効になっていません。私はそのポートを開くつもりはありません。 ドメインの所有権を検証するために、検証サーバーがHTTP要求ではなくHTTPS（ポート443）要求を行う必要があることをcertbotに伝えるにはどうすればよいですか？ 検証サーバーは、デフォルトですでにHTTPを使用しているため、ホームサーバーの証明書を検証する必要さえありません。自己署名証明書、または更新の準備ができている証明書があるかもしれませんが、それは問題ではありません。 現在、証明書を作成/更新するためにポート80の転送とそのサーバーを有効にする必要がある状況にあります。これにより、cronjobを使用して証明書を更新することはできません。十分な作業があれば十分ですが、既に443でリッスンしているサーバーがあり、これも同様に機能します。

16 ssl  lets-encrypt 

Webサーバーにトラフィックを誘導し、ワイルドカードSSL証明書を使用する必要があるクライアントがいます。ただし、公開鍵（.cer）と秘密鍵（ .key）を含む別のファイルの 2つで提供されました。IISでこれら2つをまとめてサイトにバインドする方法を理解することはできません。援助は大歓迎です。ありがとう！

16 iis  ssl 

バックグラウンド Comodoには楕円曲線ルート（「COMODO ECC証明機関」）があることがわかりましたが、WebサイトにEC証明書の記載がありません。 Certicomには、他の発行者がEC証明書を提供することを妨げる知的財産権がありますか？広く使用されているブラウザはECCをサポートできませんか？ECCは、Webサーバー認証のような従来のPKIの使用には不適切ですか？それとも、それに対する需要がないだけですか？ NSA Suite Bの推奨事項のため、楕円曲線に切り替えることに興味があります。しかし、多くのアプリケーションでは実用的ではありません。 バウンティ基準 賞金を請求​​するには、答えは、提供するECC証明書オプション、価格、および購入方法を説明する、有名なCAのWebサイトのページへのリンクを提供する必要があります。この文脈で、「既知」とは、Firefox 3.5およびIE 8にデフォルトで適切なルート証明書を含める必要があることを意味します。複数の適格な回答が提供される場合（希望があります！）、ユビキタスCAから最も安価な証明書を持つもの賞金を獲得します。それでも関係が解消されない場合（まだ期待している！）、私は自由裁量で答えを選択する必要があります。 誰かが常に賞金の少なくとも半分を主張することを忘れないでください。だからあなたがすべての答えを持っていなくても、それを試してみてください。

16 ssl  ssl-certificate  certificate  tls 

ネットワーク内のcPanelメールサーバーのフロントエンドとして機能するサーバーがあります。フロントエンドサーバーのApacheプロキシは152日間エラーなしで実行されましたが、メールサーバーのWebメールクライアントにアクセスするときに500/502エラーが突然発生しました。 フロントエンドサーバーは署名されたSSL証明書を使用し、cPanelサーバーは自己署名証明書を使用しています。以下は、フロントエンドサーバーが最初に発生したときのフロントエンドサーバーからのエラーログ出力です。 [Tue Sep 10 18:22:52.959291 2013] [proxy:error] [pid 19531] (502)Unknown error 502: [client 173.xx.xx.xx:9558] AH01084: pass request body failed to 184.xx.xx.xx:2096 (184.xx.xx.xx), referer: https://domain.com:2096/cpsess12385596/3rdparty/roundcube/?_task=mail&_refresh=1&_mbox=INBOX [Tue Sep 10 18:22:52.959469 2013] [proxy:error] [pid 19531] [client 173.xx.xx.xx:9558] AH00898: Error during SSL Handshake with remote server returned by /cpsess12385596/3rdparty/roundcube/, referer: https://domain.com:2096/cpsess12385596/3rdparty/roundcube/?_task=mail&_refresh=1&_mbox=INBOX フロントエンドサーバーは、Apache/2.4.6 (Amazon) …

16 apache-2.2  amazon-ec2  ssl  reverse-proxy 

ここに私の短縮されたnginx vhost confがあります： upstream gunicorn { server 127.0.0.1:8080 fail_timeout=0; } server { listen 80; listen 443 ssl; server_name domain.com ~^.+\.domain\.com$; location / { try_files $uri @proxy; } location @proxy { proxy_pass_header Server; proxy_redirect off; proxy_set_header Host $http_host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto https; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Scheme $scheme; proxy_connect_timeout …

16 nginx  ssl  https 

ドメインにSSLを設定しましたが、Apacheの観点から機能します。 問題は、HTTPS経由でドメインにアクセスすると、タイムアウトが発生する場合があることです。動作しない場合、HTTP経由でWebサイトにアクセスするのに時間がかかりますが、タイムアウトすることはありません。 HTTPSでこれが発生するのはなぜですか。HTTPSのタイムアウト時間を制御する方法はありますか？ 私の構成：CentOS 5上のApache 2.2.11 NameVirtualHost *:443 <VirtualHost *:443> SuexecUserGroup foo DocumentRoot /home/mydomain/www/ ServerName example.com SSLEngine on SSLProtocol -all +TLSv1 +SSLv3 SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM SSLCertificateFile /path/example.com.com.crt SSLCertificateKeyFile /path/example.com.key SSLVerifyClient none SSLProxyVerify none SSLVerifyDepth 0 SSLProxyVerifyDepth 0 SSLProxyEngine off SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0 <Directory "/home/mydomain/www"> SSLRequireSSL AllowOverride all …

15 apache-2.2  ssl  https  timeout