标签: tls

我收到错误消息“服务器发送了具有不可路由地址的被动回复。改用服务器地址。” 连接到 FTP 站点（非 SFTP）时。

我已经多次连接到该站点，但是 FileZilla 首次要求我接受证书。

我正在连接的帐户似乎不是问题，因为它发生在该服务器上的所有帐户上。

我们的一个业务合作伙伴要求我们使用 TLS SHA256 证书连接到他们的 API。我不确定如何生成这些请求。我过去曾使用 openssl 创建这些请求，但它使用 SHA1 生成了 SSL 证书。我可以使用 openssl 来生成这个请求吗？如果不是，我如何生成他们要求的内容？

我不是这个领域的专家，所以我什至不知道我问的是否有意义。

我们已经在 Ubuntu Trusty 上运行了 nginx。它通过 https 为多个网站提供服务，运行在一个 IP 地址上。

随机地，虽然它似乎与工作负载略有关系，但有时单个请求会出现在错误的虚拟主机上。这导致请求lustrum.thalia.nu被服务，thalia.nu反之亦然。当用户突然进入不同的网站时，这会产生令人讨厌的错误页面。当您按下 时F5，用户将再次到达原始目标。

它似乎与浏览器或操作系统无关。已确认在 Firefox（Linux、Windows、Mac）、Edge（Windows）和 Chrome（Linux、Windows、Android）和 Safari（iOS）上发生。

当系统处于负载状态时，该问题似乎更频繁地发生，这表明存在某种竞争条件。

lustrum.thalia.nu

server {
        server_name lustrum.thalia.nu;

        listen 443 ssl;

        ssl on;
        ssl_certificate /etc/nginx/certs/lustrum.thalia.nu.crt;
        ssl_certificate_key /etc/nginx/certs/lustrum.thalia.nu.key;

        add_header Strict-Transport-Security "max-age=63072000; preload";

        root /var/www/thalia-lustrum/public_html;

        location / {
                index index.php;
                try_files $uri $uri/ /index.php?$args;
        }

        # Add trailing slash to */wp-admin requests.
        rewrite /wp-admin$ $scheme://$host$uri/ permanent;

        # Pass all .php files onto a php-fpm/php-fcgi server.
        location ~ [^/]\.php(/|$) {
                include         /etc/nginx/fastcgi_params;

                fastcgi_split_path_info ^(.+?\.php)(/.*)$; …

我想为某些域托管邮件服务。我已经成功地设置了 postfix 来为那些虚拟域查询 sql。我想做的是：

• 对于 25 上的连接：

  1. 拒绝中继（仅传送给我的虚拟域的收件人）
  2. 保留 tls 可选，但仅当客户端执行 tls 时才提供身份验证
  3. 只接受未列入黑名单的客户端（例如限制来自垃圾邮件的 XBL+SBL+PBL）或执行 tls 和 auth 的客户端（“朋友邮件服务器”，设置为使用 auth 和 tls 向我进行身份验证）

• 对于 587 上的连接：

  1. 强制执行 tls 和身份验证
  2. 允许中继。
  3. 仅接受未列入黑名单的客户端（与上述类似的黑名单但不进行 PBL 检查）

我的问题：

• A. 我知道上面的 postfix 选项，但我找不到如何根据侦听端口区分它们。

• B. 我是否会遇到使用上述政策的所谓合法客户的广为人知的问题？

我是邮件服务器设置的新手，对于任何无意义的问题/假设（请指出），我深表歉意。谢谢。

我在服务器的 Windows 事件日志中收到此错误：

从远程客户端应用程序接收到 TLS 1.0 连接请求，但服务器不支持客户端应用程序支持的任何密码套件。SSL 连接请求失败。

当我尝试从 Windows Server 2003 机器连接到 Windows 7 机器上的 Web 服务时。

如何将密码套件添加到另一个支持的密码套件？

（修复客户端是理想的，但如果没有服务器解决方案就可以了 - 我可以访问所有涉及的框，我只想要它们之间的一些基本加密以保护隐私）。

随着数小时的谷歌搜索和阅读，我尝试过：

• 检查服务器窗口事件查看器（发现密码套件错误）
• 从http://support.microsoft.com/kb/948963向 test1 添加了密码套件（没有帮助）
• 将 TLS 1.0 添加到服务器 Windows 注册表中密码套件中的协议（无更改）
• 安装 IIS 工具，希望为 Schannel 添加更多协议（它没有）
• 再次为客户端导出证书，但包含私钥（无更改）
• 检查已安装的密码套件在服务器和客户端上是否匹配（找不到 win2k3 列出它们的位置）
• 将 TLS_RSA_WITH_AES_256_CBC_SHA（由上述修补程序安装）添加到服务器的密码套件（不，已经在那里）

尝试使用 zend mail smtp 从我的 php 应用程序登录发送电子邮件经过身份验证并给我这个持续错误我不必处理我在 serverfault.com 上查看 de 36 问题这里更改参数，因为他们解释没有成功。

数据：

• 我的 POSTFIX 版本 2.6.6
• 我在 Centos 6.5
• 我正在尝试将 Postfix 和 Dovecot 与 Dovecot-sasl 一起使用
• 我的用户是虚拟创建的
• 我可以在端口 25 和 587 上通过 telnet 发送邮件
• 5000 是我的 POSTFIX 用户
• bl.spamcannibal.org b.barracudacentral.org pbl.spamhaus.org 和 zend.spamhaus.org 上列出了我正在测试我的应用程序的 Ips（如果有帮助的话）
• 我的 ip 服务器未列出

Telnet 到 587 看起来像这样：

Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mail.mydomain.com ESMTP Postfix
ehlo localhost
250-mail.mydomain.com
250-PIPELINING
250-SIZE …

我与一个后缀/达夫科特/ Roundcube安装工作，力争虚拟用户的邮件系统，可以通过互联网发送邮件，如记录在这里。

一切似乎都运行良好；Dovecote 显示没有问题，我可以 telnet 到我所有的端口；但是，每当我尝试通过 Roundcube 发送邮件时，都会出现错误：

SMTP Error (220): Authentication failed.

从日志中：

[17-Jan-2015 05:27:31 +0000]: SMTP Error: SMTP error: Authentication failure: STARTTLS failed (Code: ) in /usr/share/webapps/roundcubemail/program/lib/Roundcube/rcube.php on line 1505 (POST /roundcube/?_task=mail&_unlock=loading1421472451594&_lang=en_US&_framed=1?_task=mail&_action=send)

我想既然 Postfix 负责 SMTP，它一定是罪魁祸首。在我的 Postfix 日志中，我看到：

Jan 16 21:14:35 steelhorse postfix/smtpd[18426]: disconnect from localhost.localdomain[127.0.0.1]
Jan 16 21:14:35 steelhorse postfix/smtpd[18426]: lost connection after STARTTLS from localhost.localdomain[127.0.0.1]
Jan 16 21:14:35 steelhorse postfix/smtpd[18426]: warning: TLS library problem: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1293:SSL alert number
Jan 16 21:14:35 …

sendmail 允许对 TLS 对话设置一个限制。我想检查发送到 example.com 的消息是否发送到具有 *.messagelabs.com 证书的服务器。我想防范 DNS 欺骗和 MitM。如果 messagelabs 只有一台服务器，那会很容易：

TLS_Rcpt:example.com VERIFY:256+CN:mx.messagelabs.com

然而，messagelabs 有许多服务器和不同服务器的集群，它们具有相同名称的唯一 IP 和证书。一切都很好，我只想检查我向其发送邮件的服务器是否已被认证为属于 messagelabs。

我试过了

TLS_Rcpt:example.com VERIFY:256+CN:messagelabs.com
TLS_Rcpt:example.com VERIFY:256+CN:*.messagelabs.com
TLS_Rcpt:example.com VERIFY:256+CN:.*.messagelabs.com

但我得到了类似的错误

CN mail31.messagelabs.com does not match .*.messagelabs.com

我怎样才能做到这一点？这是对我们的经常性请求（主要针对 TLS_Rcpt:example.com VERIFY:256+CN:*.example.com 等配置），所以我准备修改 sendmail.cf，但我无法理解

STLS_req
R $| $+         $@ OK
R<CN> $* $| <$+>                $: <CN:$&{TLS_Name}> $1 $| <$2>
R<CN:$&{cn_subject}> $* $| <$+>         $@ $>"TLS_req" $1 $| <$2>
R<CN:$+> $* $| <$-:$+>  $#error $@ $4 $: $3 " CN " $&{cn_subject} " does not match …

我的第一个想法是使用类似的东西，openssl s_client但这只支持 TCP 而不是 UDP，似乎需要一些特殊的魔法才能让 TLS over UDP 工作，我如何与之交互并获得证书链的转储？（我特别需要证书，而不是有关它们的信息）

我已经使用SSL Labs 的 SSL Server Test来测试 HTTP 服务器的 SSL 设置，但它不支持其他使用 SSL 的情况，例如 IMAP。是否有针对使用 SSL 的非 HTTP 服务器的等效详细测试？我已经使用SSL Shopper 的 SSL Checker进行了基本测试，但它没有详细介绍它是否正确配置了 Perfect Forward Secrecy 等。