タグ付けされた質問 「tls」

Ubuntu Trustyでnginxを実行しています。1つのIPアドレスで実行され、https経由で複数のWebサイトにサービスを提供します。 ランダムに、それは作業負荷にわずかに関連しているように見えますが、単一の要求が間違ったvhostで発生することがあります。これにより、サービスの提供が要求さlustrum.thalia.nuれthalia.nu、その逆も同様です。これにより、ユーザーが突然別のWebサイトにアクセスするため、厄介なエラーページが表示されます。を押すとF5、ユーザーは元のターゲットに戻ります。 ブラウザやオペレーティングシステムに関連しているようには見えません。Firefox（Linux、Windows、Mac）、Edge（Windows）、Chrome（Linux、Windows、Android）、Safari（iOS）で発生することが確認されています。 この問題は、システムに負荷がかかるとより頻繁に発生するようであり、何らかの競合状態を示しています。 lustrum.thalia.nu server { server_name lustrum.thalia.nu; listen 443 ssl; ssl on; ssl_certificate /etc/nginx/certs/lustrum.thalia.nu.crt; ssl_certificate_key /etc/nginx/certs/lustrum.thalia.nu.key; add_header Strict-Transport-Security "max-age=63072000; preload"; root /var/www/thalia-lustrum/public_html; location / { index index.php; try_files $uri $uri/ /index.php?$args; } # Add trailing slash to */wp-admin requests. rewrite /wp-admin$ $scheme://$host$uri/ permanent; # Pass all .php …

9 nginx  ssl  virtualhost  php-fpm  tls 

sendmailでは、TLS会話を制限できます。example.comに送信されたメッセージが* .messagelabs.com証明書を持つサーバーに送信されていることを確認したいと思います。DNSスプーフィングとMitMから保護したい。メッセージラボに簡単なサーバーが1つしかない場合： TLS_Rcpt:example.com VERIFY:256+CN:mx.messagelabs.com ただし、メッセージラボには多数のサーバーと、同じ名前の一意のIPと証明書を持つ異なるサーバーのクラスターがあります。それで問題ありません。メールを送信するサーバーがメッセージラボに属していることが証明されていることを確認したいだけです。 私が試してみました TLS_Rcpt:example.com VERIFY:256+CN:messagelabs.com TLS_Rcpt:example.com VERIFY:256+CN:*.messagelabs.com TLS_Rcpt:example.com VERIFY:256+CN:.*.messagelabs.com しかし、私は次のようなエラーが発生します CN mail31.messagelabs.com does not match .*.messagelabs.com これどうやってするの？これは私たちのための繰り返しのリクエストです（主にTLS_Rcpt：example.com VERIFY：256 + CN：*。example.comのような構成のため）、sendmail.cfを変更する準備ができていますが、意味がわかりません STLS_req R $| $+ $@ OK R<CN> $* $| <$+> $: <CN:$&{TLS_Name}> $1 $| <$2> R<CN:$&{cn_subject}> $* $| <$+> $@ $>"TLS_req" $1 $| <$2> R<CN:$+> $* $| …

9 smtp  email-server  sendmail  tls 

一部のドメインでメールサービスをホストしたいと考えています。それらの仮想ドメインについてsqlを参照するようにpostfixを正常に設定しました。私がしたいのは： 25の接続の場合： 中継を拒否（仮想ドメインの受信者にのみ配信） tlsはオプションのままにしますが、クライアントがtlsを実行する場合にのみ認証を提供します ブラックリストに含まれていないクライアント（たとえば、spamhausからのXBL + SBL + PBLを制限する）またはtlsとauthを実行するクライアント（authとtlsで私と認証するように設定されている「友達メールサーバー」）のみを受け入れる 587の接続の場合： TLSと認証を適用する 中継を許可します。 ブラックリストに登録されていないクライアントのみを受け入れます（上記のようなブラックリストですが、PBLチェックは省略します） 私の質問： A.上記のpostfixオプションは知っていますが、リスニングポートに基づいてそれらを区別する方法を見つけることができません。 B.上記のポリシーを使用して、おそらく正当なクライアントで広く知られている問題に遭遇しますか？ メールサーバーの設定は初めてですが、意味のない質問や質問があれば申し訳ありません（指摘してください）。ありがとう。

9 postfix  smtp  tls 

サーバーのWindowsイベントログに次のエラーが表示されます。 TLS 1.0接続要求がリモートクライアントアプリケーションから受信されましたが、クライアントアプリケーションでサポートされている暗号スイートがサーバーでサポートされていません。SSL接続要求が失敗しました。 Windows Server 2003ボックスからWindows 7ボックスのWebサービスに接続しようとすると、 他がサポートする暗号スイートに暗号スイートを追加するにはどうすればよいですか？ （クライアントを修正することは理想的ですが、サーバーソリューションで問題がないことに失敗しました-関連するすべてのボックスにアクセスできます。プライバシーのためにクライアント間の基本的な暗号化が必要です）。 何時間ものグーグルと読書に加えて、私は試しました： サーバーウィンドウのイベントビューアを確認しました（暗号スイートエラーが見つかりました） http://support.microsoft.com/kb/948963からtest1に暗号スイートを追加しました（助けにはなりませんでした） サーバーのWindowsレジストリの暗号スイートのプロトコルにTLS 1.0を追加（変更なし） Schannelにプロトコルを追加することを期待してIISツールをインストールします（そうではありません）。 クライアントの証明書をエクスポートしますが、秘密鍵が含まれています（変更なし） インストールされた暗号スイートがサーバーとクライアントで一致することを確認します（win2k3がそれらをリストする場所を見つけることができません） TLS_RSA_WITH_AES_256_CBC_SHA（上記の修正プログラムによってインストールされます）をサーバーの暗号スイートに追加します（いいえ、すでにそこにあります）

9 windows-server-2003  windows-7  tls  ssl 

このガイドhttps://help.ubuntu.com/12.04/serverguide/openldap-server.htmlに従って、ubuntu 12.04でopenldapをセットアップしようとしています 上記のガイドで説明されているように、自己署名証明書を作成してサーバーでTLSを有効にしようとすると、次のエラーが発生しました 私が実行したコマンド ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ssl/certinfo.ldif ldifファイルの内容 dn: cn=config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem エラーメッセージ ldap_modify: Inappropriate matching (18) additional info: modify/add: olcTLSCertificateFile: no equality matching rule 何時間もグーグルで検索した後、私はこのエラーについて多くを語る何も見つけませんでした。誰かこれについてもっと情報がありますか？

9 openldap  ubuntu-12.04  tls 

概要 複数のクライアントからインターネット上の単一のポートへの暗号化されたTCP接続が必要です。これはSquidで実現できますか？ 具体的な状況 私たちは、LANとVPNを介してアクセスできる社内の監視およびクライアント管理ソリューションを使用しています。これで、会社のVPNを使用しない外部ノートブックからアクセスできるはずです。通信は暗号化する必要があります（TLS）。クライアント認証では、クライアント証明書を使用する必要があります。通信はクライアントによって開始され、単一のTCPポートを使用します。 私の調査結果 NGINX Plusはこの機能を提供しているようですが、管理者はSquidまたはApacheを好みます。イカのwikiで私はそれを発見しました：機能：HTTPS暗号化が言及されているHTTPS（HTTPセキュアまたはHTTP over SSL / TLS）。しかし、私はこの警告も見つけました： CONNECTを介して渡されるプロトコルは、Squidが通常処理するものに限定されないことに注意することが重要です。文字通り、双方向のTCP接続を使用するものなら何でも、CONNECTトンネルを通過できます。これが、SquidのデフォルトACLが拒否CONNECT！SSL_Portsで始まる理由であり、その上に任意のタイプの許可ルールを配置する十分な理由があるはずです。 同様の質問 この質問SSLを使用したSquidフォワードプロキシによるクライアント接続の暗号化は同様ですが、リバースプロキシ/ TLS終了プロキシは扱いません。 知っておくべきこと 私はその技術についての基本的な知識しか持っておらず、私たちの管理者が一般的な実現可能性について私に尋ねました。 Squidを使用してTCP接続の暗号化を保存できますか？ これは、クライアント証明書による認証を使用して実現できますか？ または、HTTPS接続にのみ使用する必要がありますか？

8 tcp  squid  certificate  tls  encryption 

閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか？ サーバー障害のトピックになるように質問を更新します。 4年前休業。 私はSSL LabsのSSLサーバーテストを使用してHTTPサーバーのSSL設定をテストしましたが、IMAPなど、SSLが使用されている他の状況はサポートしていません。SSLを使用する非HTTPサーバーの同等の詳細なテストはありますか？基本的なテストにはSSL ShopperのSSLチェッカーを使用しましたが、Perfect Forward Secrecy用に正しく構成されているかどうかなどの詳細は説明していません。

8 ssl  tls 

WebサーバーのCSRを生成する方法については、以下のWebサイトを参照してみました。 http://www.entrust.net/knowledge-base/technote.cfm?tn=8649 ただし、CSRのみが生成されます。秘密鍵はどこにありますか？鍵はCSR生成時に生成されると聞きました。 Windows 10を使用しています。node.jsExpressを使用する予定です。Windows 10でCSRを生成するために使用できる代替ツールはありますか？

8 ssl  https  tls  node.js  csr 

私はSSL SNIを使用する必要がありますが、残念ながら最近のCloudflareブログポストから、ネットワークの90％だけがそれをサポートしています。（たとえば、nginxを使用して）クライアントがSNIをサポートしているかどうかを検出し、WebサイトのHTTPバージョンに提供/リダイレクトするにはどうすればよいですか？これは可能ですか？他にどのようにしてSNIを使用してトラフィックの10％を失うことができませんか？有効な証明書がないとHTTPSトラフィックをHTTPにリダイレクトできないため、この要求は不可能であると想定しても正しいですか？ ありがとうございました。

8 tls 

Verisignは、これらすべての証明書発行会社（Verisign Thawte GeotrustおよびRapidssl）を所有しています。 それらの違いは何ですか？なぜ価格差がそれほど大きいのですか？ 更新：ここに私が遭遇したいくつかの違いがあります： GeoTrustはチェーン化されていません：チェーン全体を適切に検証しないデバイスは、これでうまくいく可能性があります。ActiveSyncは、チェーンされた証明書よりもチェーンされていない証明書の方がうまく機能することを確認しました。 RapidSSLおよびGeotrust証明書はサーバーごとにライセンスが付与されないため、Webファーム全体に対して1つの証明書を購入できます。 Verisign証明書には、毎日そのようなソフトウェアがサイトで見つかった場合に警告する無料のマルウェアスキャンが付属しています。 Verisignコード署名証明書のみがWinQualで機能します

8 ssl  ssl-certificate  wildcard  tls 

Ubuntu 10.04のApache / 2.2.14で（自己署名の）SSL証明書サイトを実行していますが、さまざまなブラウザが接続試行の半分でエラーを出しています。ちょうど今、Chromeからこの一時的なエラーを見ました： "Error 126 (net::ERR_SSL_BAD_RECORD_MAC_ALERT): Unknown error." リフレッシュを押すと、問題はしばらく消えます。 wgetも： $ wget --no-check-certificate https://dev.foo.com/deps/ --2010-09-08 19:30:26-- https://dev.foo.com/deps/ Resolving dev.foo.com... 184.72.53.220 Connecting to dev.foo.com|184.72.53.220|:443... connected. OpenSSL: error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01 OpenSSL: error:04067072:rsa routines:RSA_EAY_PUBLIC_DECRYPT:padding check failed OpenSSL: error:1408D07B:SSL routines:SSL3_GET_KEY_EXCHANGE:bad signature Unable to establish SSL connection. すぐにもう一度実行すると、うまくいきます： $ wget --no-check-certificate …

8 apache-2.2  ssl  ssl-certificate  httpd  tls 

明示的なTLSを使用してログインするためにRSA証明書を使用して、CentOSサーバーにVSFTPデーモンをインストールしました。現在、82kを超えるアップロードはできません。 その制限以下のファイルであれば、問題はありません。FTPは魅力のように機能します。しかし、ファイルがFileZillaで82k（正確には81,952バイト）に達するとすぐに、転送が停止し、タイムアウトに達するまでFTPクライアントがハングします。 FTPクライアントコンソール： 15:10:21 Command: STOR jquery-1.7.2.min.js 15:10:21 Response: 150 Ok to send data. 15:11:21 Error: Connection timed out 15:11:21 Error: File transfer failed after transferring 82 KB in 60 seconds /var/log/vsftpd.log FTP command: Client "x.x.x.x", "STOR jquery-1.7.2.min.js" FTP response: Client "x.x.x.x", "150 Ok to send data." OK UPLOAD: Client …

4 centos  ftp  tls  vsftpd