标签: ssl

我正在为Apache 2. 我的系统是Ubuntu Server 10.04 LTS。我的 vhost 配置中有以下与 SSL 相关的设置：

SSLEngine On
SSLCertificateKeyFile /etc/ssl/private/server.insecure.key
SSLCertificateFile    /etc/ssl/certs/portal.selfsigned.crt

（旁注：我使用.insecure密钥文件是因为该文件不受密码保护，我想清楚地看到它是一个不安全的密钥文件）

因此，当我重新启动 apache 时，我收到以下消息：

Syntax error on line 39 of /etc/apache2/sites-enabled/500-portal-https:
SSLCertificateKeyFile: file '/etc/ssl/private/server.insecure.key' does not exist or is empty
Error in syntax. Not restarting.

但是文件在那里，并且不是空的（实际上它包含一个私钥）：

sudo ls -l /etc/ssl/private/server.insecure.key
-rw-r----- 1 root www-data 887 2012-08-07 15:14 /etc/ssl/private/server.insecure.key
sudo ls -ld /etc/ssl/private/
drwx--x--- 2 root www-data 4096 2012-08-07 13:02 /etc/ssl/private/

我尝试使用两个组 www-data 和 ssl-cert 更改所有权。我不确定 Ubuntu 中哪个是正确的：默认情况下 Ubuntu …

我尝试将 Nginx 服务器配置为反向代理，以便它从客户端收到的 https 请求也通过 https 转发到上游服务器。

这是我使用的配置：

http {

    # enable reverse proxy
    proxy_redirect              off;
    proxy_set_header            Host            $http_host;
    proxy_set_header            X-Real-IP       $remote_addr;
    proxy_set_header            X-Forwared-For  $proxy_add_x_forwarded_for;

    upstream streaming_example_com 
    {
          server WEBSERVER_IP:443; 
    }

    server 
    {
        listen      443 default ssl;
        server_name streaming.example.com;
        access_log  /tmp/nginx_reverse_access.log;
        error_log   /tmp/nginx_reverse_error.log;
        root        /usr/local/nginx/html;
        index       index.html;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_certificate /etc/nginx/ssl/example.com.crt;
        ssl_certificate_key /etc/nginx/ssl/example.com.key;
        ssl_verify_client off;
        ssl_protocols        SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers RC4:HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;


        location /
        {
            proxy_pass  https://streaming_example_com;
        }
    }
}

无论如何，当我尝试使用反向代理访问文件时，这是我在反向代理日志中得到的错误：

2014/03/20 12:09:07 [错误] 4113079#0：*1 SSL_do_handshake() …

我正在使用 aws 证书管理器来管理 SSL。最近我购买了通配符 ssl*.example-private.com现在我需要该 SSL 证书才能在 aws 上的企业 git 实例上部署。

如何从aws下载ssl？

我经常访问的一个网站终于决定在他们的服务器上启用 TLS，只是不像很多网站那样强制要求它。维护者声称 TLS必须是可选的。为什么？

在我自己的网站上，我长期设置了强制 TLS 和 HSTS，并且禁用了较弱的密码套件。明文访问保证被 TLS 保护版本的 HTTP 301 隔离。这会对我的网站产生负面影响吗？

我今天一直在为我的域设置 SSL，并且遇到了另一个问题 - 我希望有人可以阐明..

我不断收到以下错误消息：

[错误] 初始化：无法从文件 /etc/apache2/domain.com.ssl/domain.com.crt/domain.com.crt 读取服务器证书
[错误] SSL 库错误：218529960 错误：0D0680A8：asn1 编码例程：ASN1_CHECK_TLEN：标签错误
[错误] SSL 库错误：218595386 错误：0D07803A：asn1 编码例程：ASN1_ITEM_EX_D2I：嵌套的 asn1 错误

我正在运行 Apache 2.2.16 和 Ubuntu 10.10。我的 .crt 文件有开始和结束标签，并且完全从我收到的确认电子邮件中复制，非常令人沮丧！

干杯!

编辑 >> 尝试验证 .crt 时它似乎不起作用：

>> openssl x509 -noout -text -in domain.com.crt 
无法加载证书
16851:error:0906D06C:PEM 例程:PEM_read_bio:no 起始行:pem_lib.c:650:Expecting: Trusted CERTIFICATE

还有>>

>> openssl x509 -text -inform PEM -in domain.com.crt
无法加载证书
21321:error:0906D06C:PEM 例程:PEM_read_bio:no 起始行:pem_lib.c:650:Expecting: Trusted CERTIFICATE

>> openssl x509 -text -inform DER -in domain.com.crt
无法加载证书
21325：错误：0D0680A8：asn1 编码例程：ASN1_CHECK_TLEN：错误标签：tasn_dec.c：1316：
21325：错误：0D07803A：asn1 编码例程：ASN1_ITEM_EX_D2I：嵌套的 asn1 错误：tasn_dec.c：380：Type=X509

编辑>>（顺便干杯帮助）

>> …

通常对于虚拟主机，ssl 是使用以下指令设置的：

Listen 443 

SSLCertificateFile /home/web/certs/domain1.public.crt
SSLCertificateKeyFile /home/web/certs/domain1.private.key
SSLCertificateChainFile /home/web/certs/domain1.intermediate.crt

来自： 对于具有多个虚拟主机的服务器上的单个域启用 SSL，此配置是否有效？

SSLCertificateFile和 和有SSLCertificateChainFile什么区别？客户已从 GoDaddy 购买了 CA 密钥。看起来 GoDaddy 只提供一个SSLCertificateFile（.crt 文件）和一个 SSLCertificateKeyFile（.key 文件）而不是SSLCertificateChainFile.

如果没有SSLCertificateChainFile指定路径，我的 ssl 仍然可以工作吗？

另外，是否有应该放置这些文件的规范路径？

我正在寻找一种简单的方法来了解服务器是否在网站上为其 HTTPS 证书使用服务器名称指示 SSL 扩展。使用浏览器或 Unix 命令行的方法都可以。

谢谢！

HTTPS 使用 TCP 还是 UDP？

使用来自该站点的说明但稍微改变它们我使用 -newca 创建了一个 CA，我复制cacert.pem到我的 comp 并在 IE 中作为受信任的发行者导入。然后我做了 -newreq 和 -sign （注意：我做/full/path/CA.sh -cmd和不做sh CA.sh -cmd）并将证书和密钥移动到 apache。

我在 IE 中访问了该站点并使用 .NET 代码，它看起来很受信任，很棒（除非我在前面写了 www. 这是预期的）。但是每次我重新启动 apache 时，我都需要输入我的网站密码？

我怎样才能做到这样我就不需要输入密码？

我遇到了与我的 cURL 版本捆绑在一起的 CA 包已过时的问题。

curl: (60) SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
More details here: http://curl.haxx.se/docs/sslcerts.html

通读文档对我没有帮助，因为我不明白我需要做什么或如何做。我正在运行 RedHat 并且需要更新 CA 包。我需要做什么才能在 RedHat 上更新我的 CA 包？