标签: tls

# LDAPTLS_CACERTDIR=/etc/ssl/certs/ ldapwhoami -x -ZZ -H ldaps://ldap.domain.tld
ldap_start_tls: Can't contact LDAP server (-1)
      additional info: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user.

# openssl s_client -connect ldap.domain.tld:636 -CApath /etc/ssl/certs
<... successful tls negotiation stuff ...>
    Compression: 1 (zlib compression)
    Start Time: 1349994779
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

openssl似乎认为证书没问题，但是openldap的库（pam_ldap表现出类似的行为，这就是我陷入困境的方式）不同意。
我究竟做错了什么？

我有一个运行 Apache 2.2.22 和 mod_ssl 和 OpenSSL v1.0.1 的 Ubuntu 12.04.2 LTS 服务器。

在我的虚拟主机配置（一切在其中表现为我所期望的），我有SSLProtocol跟线-all +SSLv3。

通过这种结构，TLS 1.1和1.2都启用并正确的工作-这是反直觉和我说话，我会认为只有SSLv3的将被启用考虑到的配置。

我可以很好地启用/禁用 TLSv1 -/+TSLv1，并且它按预期工作。但是+/-TLSv1.1并且+/-TLSv1.2不是有效的配置选项 - 所以我不能那样禁用它们。

至于我为什么要这样做 - 我正在处理一个第三方应用程序（我无法控制），它在启用 TLS 的服务器上有一些错误行为，我需要完全禁用它才能继续前进。

我正在尝试按照https://help.ubuntu.com/lts/serverguide/openldap-server.html实现 TLS 当我尝试使用此 ldif 文件修改 cn=config 数据库时：

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/test-ldap-server_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/test-ldap-server_key.pem

我收到以下错误：

ldapmodify -Y EXTERNAL -H ldapi:/// -f certinfo.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
ldap_modify: Other (e.g., implementation specific) error (80)

我究竟做错了什么？

编辑：当我尝试使用简单身份验证时，出现以下错误：

ldapmodify -x -D cn=admin,dc=example,dc=com -W -f certinfo.ldif
Enter LDAP Password:
ldap_bind: Invalid DN syntax (34)
        additional info: invalid DN

背景：我唯一能找到的关于如何做到这一点的事情与 Windows 2008 上的 RDP 相关，它在管理工具中似乎有一个叫做“远程桌面会话主机配置”的东西。这在 Windows 2012 中不存在，现在似乎也可以通过 MMC 添加它。我在这里阅读了 2008 年，使用 RDS 主机配置，您可以将其关闭。

问题： 那么，在 Windows 2012 中，如何关闭 TLS 1.0，但仍然能够通过 RDP 进入 Windows 2012 服务器？

最初，我的理解是Win2012 RDP 仅支持 TLS 1.0。但是，不再允许根据 PCI 使用 TLS 1.0。根据这篇文章，这应该是针对 Windows server 2008r2 修复的。但是，这并没有解决 Server 2012，它甚至没有管理 gui 设备来更改我知道的 RDP 将使用的协议。

我有一个在 RHEL4 上运行 Apache 2.0 的 Web 服务器。此服务器最近未能通过 PCI 扫描。

原因：SSLv3.0/TLSv1.0 协议弱 CBC 模式漏洞 解决方案：此攻击在 2004 年和 TLS 协议的后续修订版中发现，其中包含对此的修复。如果可能，请升级到 TLSv1.1 或 TLSv1.2。如果无法升级到 TLSv1.1 或 TLSv1.2，则禁用 CBC 模式密码将消除该漏洞。在 Apache 中使用以下 SSL 配置可缓解此漏洞： SSLCipherSuite RC4-SHA:HIGH:!ADH 上的 SSLHonorCipherOrder

简单的修复，我想。我将这些行添加到 Apache 配置中，但它不起作用。显然，
“SSLHonorCipherOrder On”仅适用于 Apache 2.2 及更高版本。我尝试升级 Apache，很快就遇到了依赖关系，看来我必须升级整个操作系统才能升级到 Apache 2.2。我们将在几个月后停用此服务器，因此不值得。

解决方案说“如果无法升级到 TLSv1.1 或 TLSv1.2，则禁用 CBC 模式密码将消除该漏洞。”

我将如何在 Apache 2.0 上执行此操作？这甚至可能吗？如果没有，还有其他解决方法吗？

问题：由于 iOS 9 现在使用 ATS，我们的移动应用程序无法再与我们的网络服务建立安全连接。

背景： iOS 9 引入了应用传输安全

服务器设置： Windows Server 2008 R2 SP1 (VM) IIS 7.5，来自 digicert 的 SSL 证书。Windows 防火墙关闭。

密钥 RSA 2048 位 (e 65537)

发行人 DigiCert SHA2 安全服务器 CA

签名算法SHA512withRSA

这些是应用传输安全要求：

服务器必须至少支持传输层安全 (TLS) 协议版本 1.2。连接密码仅限于提供前向保密的密码（请参阅下面的密码列表。）证书必须使用 SHA256 或更好的签名散列算法进行签名，使用 2048 位或更高的 RSA 密钥或 256 位或更高的椭圆曲线(ECC) 键。无效的证书会导致硬故障和无连接。这些是公认的密码：

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

已经尝试过的：

1. 在移动应用程序中添加例外以允许我们的域工作，但我不想使用这种不安全的方法，我想修复我们的 SSL。
2. 使用IIS Crypto来使用“最佳实践”，尝试过“pci”和自定义设置。甚至尝试将加密套件修改为上面的列表，并重新排序。每次尝试后，服务器都会重新启动，并运行SSL Labs（清除缓存后）。我成功地从 F 级变为 A 级，甚至是 A-，但这只会导致 iOS 8 和 9 …

当我设置一个 cronjob 以每 30 天更新一次 LetsEncrypt 证书时，我可以设置 Public-Key-Pins 吗？

如果证书更新，那么公钥密码也会更新，对吗？

我正在尝试按照本指南在 ubuntu 12.04 上设置 openldap https://help.ubuntu.com/12.04/serverguide/openldap-server.html

当我尝试通过创建上面指南中描述的自签名证书在服务器上启用 TLS 时，出现以下错误

我运行的命令

ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ssl/certinfo.ldif

ldif 文件的内容

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem

错误信息

ldap_modify: Inappropriate matching (18)
        additional info: modify/add: olcTLSCertificateFile: no equality matching rule

在谷歌上搜索了几个小时后，我没有找到任何能说明这个错误的东西。有没有人有更多关于这方面的信息？

我们的一个业务合作伙伴要求我们使用 TLS SHA256 证书连接到他们的 API。我不确定如何生成这些请求。我过去曾使用 openssl 创建这些请求，但它使用 SHA1 生成了 SSL 证书。我可以使用 openssl 来生成这个请求吗？如果不是，我如何生成他们要求的内容？

我不是这个领域的专家，所以我什至不知道我问的是否有意义。

我们已经在 Ubuntu Trusty 上运行了 nginx。它通过 https 为多个网站提供服务，运行在一个 IP 地址上。

随机地，虽然它似乎与工作负载略有关系，但有时单个请求会出现在错误的虚拟主机上。这导致请求lustrum.thalia.nu被服务，thalia.nu反之亦然。当用户突然进入不同的网站时，这会产生令人讨厌的错误页面。当您按下 时F5，用户将再次到达原始目标。

它似乎与浏览器或操作系统无关。已确认在 Firefox（Linux、Windows、Mac）、Edge（Windows）和 Chrome（Linux、Windows、Android）和 Safari（iOS）上发生。

当系统处于负载状态时，该问题似乎更频繁地发生，这表明存在某种竞争条件。

lustrum.thalia.nu

server {
        server_name lustrum.thalia.nu;

        listen 443 ssl;

        ssl on;
        ssl_certificate /etc/nginx/certs/lustrum.thalia.nu.crt;
        ssl_certificate_key /etc/nginx/certs/lustrum.thalia.nu.key;

        add_header Strict-Transport-Security "max-age=63072000; preload";

        root /var/www/thalia-lustrum/public_html;

        location / {
                index index.php;
                try_files $uri $uri/ /index.php?$args;
        }

        # Add trailing slash to */wp-admin requests.
        rewrite /wp-admin$ $scheme://$host$uri/ permanent;

        # Pass all .php files onto a php-fpm/php-fcgi server.
        location ~ [^/]\.php(/|$) {
                include         /etc/nginx/fastcgi_params;

                fastcgi_split_path_info ^(.+?\.php)(/.*)$; …