标签: ssl

我们正在寻找如何配置 GlassFish v3.1 以使用 SSL 的简单分步手册。我们在 GlassFish 下运行很少的遗留应用程序，我们希望不需要更改它们：以便所有 SSL 都由 GlassFish 处理。

所以问题是我有很多只适用于 HTTP 的自制脚本/网络测试程序。问题是该网站只允许 HTTPS 连接。

有没有人知道在转发 HTTP 流量时让代理或其他东西保持 SSL 连接的方法？

我想本质上我需要一个 SSL 隧道？

有任何想法吗？

我从曾经为客户维护网站的人那里收到了两个 txt 文件。

其中一个包含 Thawte 的证书，其中包含：

---BEGIN CERTIFICATE---
xxxxxxxx
---END CERTIFICATE---

另一个包含 RSA 私钥

-----BEGIN RSA PRIVATE KEY-----
xxxxxxxx
-----END RSA PRIVATE KEY-----

我已经使用 MMC 管理单元将证书导入到 Windows Server 2008，但它没有匹配的私钥。

无论如何要从第二个文本文件创建和安装私钥？或者我是否需要创建一个新的 CSR 请求并获得一个新证书？

如果可能的话，我宁愿根据已发送的内容创建它，只是因为我无法访问 Thawte 站点进行登录，而且以前的开发人员居住在美国，响应速度可能很慢。我的客户急于让 SSL 重新启动并运行。

我没有在网上找到答案，所以猜测我必须生成一个新的请求？

非常感谢任何帮助。

在 chrome://chrome/settings 的 HTTPS/SSL 部分，我看到以下内容： 这是什么意思，有什么问题吗？

我对 SSL/TLS 有基本的了解 - 我并不是说完全熟悉，但我相当有信心我知道自己的方法 - 但我不明白为什么我的机器上安装了专门用于这些的证书网站。

根据我的理解，我应该拥有证书颁发机构的证书，并且我访问和使用 SSL/TLS 的任何站点都应该具有由这些受信任的 CA 之一签署的证书，以便我信任该站点。

我担心的是，如果有人在我的机器上为这些站点恶意安装了证书，他们可能会执行 DNS 欺骗攻击（或许多其他攻击）以在我不知道的情况下劫持我与电子邮件帐户的连接，因为他们已经在我的机器上获得证书的私有副本，解密通信。

注意：我也知道 CA 证书不仅在 Chromium 中，而且作为 libssl 的一部分在系统范围内使用 - 它们存储在/etc/ssl/certs.

我想知道的是：

• 这样对吗？- 大红盒子让我觉得不
• 这是恶意的还是良性的？
• 我能做些什么来解决这个问题？（如果确实有问题）

谢谢 ：）

我正在尝试使用stunnel设置 SSL 连接。某种 SSL 代理。

最终目标
将 http only CLIENT连接到 https only SERVER。

我的计划是

1. 客户端：将端点更改为代理
2. PROXY：使用 stunnel 接收来自 CLIENT 的请求并将它们转发到 SERVER

stunnel.conf

cert = /etc/stunnel/stunnel.pem
foreground = yes
chroot = /var/run/stunnel
setuid = stunnel
setgid = stunnel
pid = /stunnel.pid
debug = 7
[my_route]
accept = 7121
connect = SERVER:443
;connect = SERVER:443/somedata

测试 1

$openssl s_client -connect SERVER:443
New, TLSv1/SSLv3, Server public key is 2048 bit

测试 2

openssl s_client -connect PROXY:7121
New, TLSv1/SSLv3, …

好吧，对于不同的客户端，我需要使用多个不同的端口，sshd 将在其中侦听。每个客户端实时连接不同的 ssh 端口。

我可以让 sshd 服务监听多个端口吗？类似于 sshd 配置文件中的端口范围？

提前致谢。

在 ServerFault 问题“ STARTTLS 比 TLS/SSL 更安全吗？ ”时，有人提出这个问题实际上是关于 Thunderbird 而不是实际协议。此外，如果您搜索有关此主题的 Google，您会发现许多不同的答案相互矛盾。

Thunderbird（谈论当前版本 17，但从版本 3 开始就是这样）在配置对话框中提供了三种加密传输的方法：

• 没有任何
• SSL/TLS
• 开始TLS

在版本 3之前的Thunderbird 中，有以下选项：

• 没有任何
• 安全证书
• TLS
• TLS，如果可用

在 Thunderbird 版本 3 中，“SSL”选项被重命名为“SSL/TLS”，最后两个选项被合并并重命名为“STARTTLS”。STARTTLS 成为默认配置选项。

但是，根据这个问答，在使用 STARTTLS 时，Thunderbird 可能会在不通知我的情况下回退到明文传输！

我的问题是：

1. Thunderbird 真的可以在不告诉我的情况下退回到明文传输，并且无论如何都可以建立连接（这会带来安全风险）吗？
2. Thunderbird 支持哪些版本的 SSL、TLS 和 STARTTLS？
3. Thunderbird 中是否有一些指示器可以显示实际使用的是哪种加密方法（协议和版本）？
4. 有没有办法强制 Thunderbird 使用 TLS，如果服务器不支持则根本不连接？（“SSL/TLS”选项似乎无法处理 TLS（我尝试过），而可以执行 TLS 的 STARTTLS 可能具有“静默回退”安全风险。）

我通过公共 wifi 热点连接。使用 IExplorer 时没有问题。当我使用 Firefox 时，我在询问任何 https url 后收到以下错误消息，例如https://www.google.com：

An error occurred during a connection to www.google.com.

SSL received a record that exceeded the maximum permissible length.

(Error code: ssl_error_rx_record_too_long)

我该如何解决？

我知道我可以使用以下命令从 PEM 证书文件中转储整个信息：

openssl x509 -in certfile -noout -text

而且我已经找到了另一个直接参数来仅显示证书的到期日期：

openssl x509 -in certfile -noout -enddate

但是是否还有一种快捷方式可以只获取替代名称？就像证书可以用于 example.com 以及 www.example.com 一样。在完整的转储中，它在这里：

Certificate:
    Data:
        X509v3 extensions:
            X509v3 Subject Alternative Name: 
                DNS:www.example.com, DNS:example.com

我只是想省去解析此输出并仅获取域名的麻烦。那可能吗？否则，解析此输出的最佳做法是什么？什么可以假设，什么可能改变？我可以使用正则表达式X509v3 Subject Alternative Name:\s*DNS:(\S+)(?:, DNS:(\S+))*吗？

我正在使用 EFF 的HTTPS Everywhere运行 Firefox 。我最近访问了 Lavabit 的网站，看看它是否接受捐赠：

考虑到历史，预计撤销......

但是，我没有使用 OpenSSL 的s_client. 下面，我得到的Verify return code: 3 (unable to get certificate CRL)是哪个X509_V_ERR_UNABLE_TO_GET_CRL，而不是X509_V_ERR_CERT_REVOKED: certificate revoked。命令是：

openssl s_client -connect lavabit.com:443 -crl_check -CAfile valicert_class2_root.crt

CA 文件可以在ValiCert Legacy Certificate Chain 中找到。

$ echo -e "GET / HTTP/1.0\r\n" | openssl s_client -connect lavabit.com:443 -crl_check -CAfile valicert_class2_root.crt 
CONNECTED(00000003)
depth=0 O = *.lavabit.com, OU = Domain Control Validated, CN = *.lavabit.com
verify error:num=3:unable to get certificate …