问题标签 [mod-ssl]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
840 浏览

apache - Jenkins + Apache + SSL = 没有可用的更新

我遵循了本教程和许多其他教程:

https://wiki.jenkins-ci.org/display/JENKINS/Running+Jenkins+behind+Apache

但是,我的尝试都没有成功:

  1. 当我去插件管理器 - >可用时,它说“没有更新”
  2. 当我转到插件管理器 -> 高级 -> 立即检查时,它显示“正在检查更新...”,然后什么也没有发生。
  3. 查看 Apache 和 Tomcat 日志,没有任何显示。
  4. 查看浏览器控制台,没有出现错误。但是,我收到这样的警告:

    [阻止] ' https://mywebsite.com/jenkins/pluginManager/checkUpdates ' 的页面是通过 HTTPS 加载的,但运行来自 ' http://updates.jenkins-ci.org/updates/hudson.tools 的不安全内容。 JDKInstaller.json.html?id=hudson.tools.JDKInstaller&version=1.544 ':此内容也应通过 HTTPS 加载。

看着这个,我意识到插件管理器不是为 https 设计的,因为它为非 SSL 端点发出 ajax 请求。

那么什么是正确的解决方案呢?是否有用于下载插件的 HTTPS 端点?我需要使用其他浏览器吗?

谢谢。

0 投票
2 回答
873 浏览

ruby-on-rails - Rails 3 + Passenger + Apache:如何将 SSL 的端口从 443 更改为 8443?

我的托管服务告诉我将我的 SSL 端口从 443 更改为 8443,因为 OpenSSL 测试失败,即使它们正在生产中工作。

我将我的 apacheports.conf文件更改为:

我还将虚拟主机从 更改<VirtualHost *:443><VirtualHost *:8443>并重新启动了 apache,但是当我尝试通过 https 访问该站点时,浏览器显示:Firefox can't establish a connection to the server. 会不会是防火墙问题?

0 投票
0 回答
3348 浏览

apache - Apache SSLInsecureRenegotiation 指令不起作用

我正在使用 Apache 和 OpenSSL 测试 SSL 不安全的重新协商漏洞。

当针对 OpenSSL 0.9.8k 编译 Apache 2.2.14 时,openssl 命令可以与 Apache 建立客户端发起的不安全 SSL 重新协商,如下所示:

但是使用针对 OpenSSL 0.9.8m 编译的 Apache 2.2.15,即使在 ssl.conf 中添加了“SSLInsecureRenegotiation on”,客户端发起的 SSL 重新协商也会失败:

后者的结果似乎出乎意料。SSLInsecureRenegotiation 指令不起作用吗?我想知道如何使指令生效。

先感谢您。

0 投票
2 回答
12204 浏览

apache - 如何使用 OpenSSL 创建 256 位自签名证书密钥?

看看 PayPal ( https://www.paypal.com/ ) 安全证书。它说:Connection Encrypted: High-grade Encryption (TLS_RSA_WITH_AES_256_CBC_SHA, 256 bit keys)

现在,如何创建我的自签名证书以具有相同的加密,AES256?
我在 Openssl 中尝试了以下代码:

openssl> req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

我最终得到了 128 位证书。然后我尝试了:

openssl> genrsa -aes256 -out key.key 4096
openssl> req -new -key key.key -out cert.csr
openssl> x509 -req -days 365 -in cert.csr -signkey key.key -out cert.crt
openssl > rsa -in key.key -out key.key

即使我指定了'-aes256',我最终还是得到了一个 128 位证书:Connection Encrypted: High-grade Encryption (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 128 BIT KEYS)

那么,我做错了什么,你能告诉我如何创建那个 256 证书吗?感谢帮助!

0 投票
1 回答
114 浏览

https - Apache WEB 服务器仍然响应使用 SSLv2 协议的请求。禁用 SSLv2 协议时

这是我的配置...

SSL 协议 -ALL +SSLv3 TLSv1

但是 Apache WEB 服务器仍然响应使用 SSLv2 协议的请求。

以下是我的测试日志。(对不起,我无法附上图片,因为我的声誉低于 10 )

SSLv2 记录层:服务器 Hello
[版本:SSL 2.0 (0x0002)]
长度:955
握手消息类型:服务器 Hello (4)
会话 ID 命中:​​错误
证书类型 X.509 证书 (1)
版本:SSL 2.0 (0x0002)
证书长度: 928
Cipher Spec 长度: 0
Connection ID 长度: 16
Certificate blah~blah~
Connection ID

谢谢你

0 投票
1 回答
622 浏览

apache - X.509 客户端身份验证的 Apache + mod_ssl 中间 CA 自动发现

是否可以(...补丁、模块、任何东西...)配置 apache/mod_ssl 网络服务器(任何版本)以自动发现/下载中间颁发 CA 证书到预定义的信任根 CA?

我们需要能够为数以万计的最终用户提供 TLS 客户端身份验证,并且可能需要 Web 服务器信任数百个中间颁发 CA。我们可以访问Axway/Tumbleweed Server Validator来处理链中证书的 SCVP/OCSP/CRL 验证(撤销、OID 策略等),但是为了让 Axway Server Validator 插件通过客户端证书, apache/mod_ssl 必须首先对客户端证书进行身份验证/验证,并且它针对预配置的 apache CA 证书数据库(带有 PEM 编码 CA 证书的串联列表的文本文件或包含单个证书文件的目录的目录)发布链。

无论 apache 是否知道颁发 CA 链(因为 SCVP 将为我验证该链),我都可以接受任何证书,但我找不到任何表明这是可能的信息。

我可以手动(或通过脚本)创建 CA 证书捆绑文本文件,但我确信这将很快成为一个非常大的文件,并且需要定期扫描以删除过期的 CA 证书并添加新颁发的证书。当然,这种方法的问题是,当新的 CA 证书添加到捆绑文件/目录时,需要重新启动网络服务器,并且生成的文件可能有几兆字节大小,这对网络服务器的性能不利.

非常感谢任何帮助和/或想法。

0 投票
1 回答
973 浏览

apache - Why Apache need to be compiled with openssl?

Why apache need to be compiled with openssl? Does Apache copy files from openssl? I need to update openssl vesion and I want to know if I also need to update the Apache version due to the change of the openssl vesion?

0 投票
1 回答
2655 浏览

apache - 如何在不破坏客户端和服务器之间的 https 隧道的情况下配置 apache 反向代理?

我已经配置了 apache 反向代理。在该配置中,客户端到反向代理和反向代理到服务器之间可以建立 https 连接。但我想要客户端到服务器之间的 https 连接,比如转发代理。https 连接不应在反向代理处断开。

客户端-----------Apache 反向代理 ----------- - - -服务器

上述解决方案是不可取的。

客户端--------Apache 反向代理----服务器

上述解决方案是可取的。

如果在反向代理中无法实现端到端 https 隧道,那么如何确保 ssl 代理选项是安全的,甚至反向代理管理员(如果反向代理受到威胁)也无法解密隧道或中间人攻击不能做完了。

0 投票
1 回答
18074 浏览

apache - mod_ssl.so 没有加载

我正在尝试为我的网站运行带有 SSL 的 Apache。但是当我启动 Apache 时,它​​会抛出错误:

0 投票
1 回答
2294 浏览

salesforce - 如何测试客户端证书

我正在构建一个 Web 服务以允许 salesforce 调用它,SSL 用于安全性的两种方式,并且 salesforce 提供了它的客户端证书:sfdc-client.cert。

为了测试 salesforce 客户端证书是否有效,我在 MAC apache 上设置了一个非常简单的 Web,并在 ssl 配置文件 /etc/apache2/extra/httpd-ssl.conf 上启用 SSL 和客户端身份验证,如下所示(使用 self-签):

第一次使用 Chrome 浏览时,我得到“SSL 连接错误”,我认为在这种情况下它是正确的。

然后,我尝试将 sfdc-client.cert 导入到密钥链访问,但它根本不起作用,因为它只支持 p12/pfx 格式。

我也尝试使用 CURL:

但得到了错误:

我完全是新手,有谁知道如何测试客户端证书以确保它像上面那样工作?