当我打开一个URL使用curl 没有 -k ,我的请求传递,我能够看到预期的结果。 $ curl -vvv https://MYHOSTNAME/wex/archive.info -A SUKU$RANDOM * Trying 10.38.202.192… * Connected to MYHOSTNAME (10.38.202.192) port 443 (#0) * TLS 1.2 connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 * Server certificate: *.MYCNAME * Server certificate: ProdIssuedCA1 * Server certificate: InternalRootCA > GET /wex/archive.info HTTP/1.1 > Host: MYHOSTNAME > User-Agent: SUKU19816 > Accept: */* > < HTTP/1.1 […]
我试图使用nginx作为运行Tomcat的内部Web服务器的反向代理,该服务器托pipe着我们的ERP系统的前端。 它已经正常工作了:我可以完美地连接到nginx服务器(这是locking在我们的networking,不同的VLAN,防火墙等等),然后反向代理到我的ERP服务器。 但是,我想要添加一个额外的保护层,要求用户在他们的计算机上有一个数字证书,以便他们可以访问第一个(nginx)服务器。 后端服务器不使用/不需要证书。 我已经通过这个教程http://nategood.com/client-side-certificate-authentication-in-ngi ,它允许我生成我的自签名证书和其他一切。 当在nginxconfiguration中使用ssl_verify_client可选时,我可以正常连接到我的后端服务器,但是不需要/不需要证书。 当我把它切换到ssl_verify_client时 ,所有的访问都被阻塞了 400 Bad Request No required SSL certificate was sent 无论使用哪种浏览器(Chrome,IE,Edge,Firefox)。 当然,我已经把所有的证书/链条放在我的客户端计算机上,但是在任何浏览器上都没有证书。 我错过了什么? 这里是我的完整的nginxconfiguration: server { listen 443; ssl on; server_name 103vportal; ssl_password_file /etc/nginx/certs/senha.txt; ssl_certificate /etc/nginx/certs/server.crt; ssl_certificate_key /etc/nginx/certs/server.key; ssl_client_certificate /etc/nginx/certs/ca.crt; ssl_verify_client on; location / { proxy_pass http://10.3.0.244:16030; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_read_timeout 300; […]
我在DigitalOcean上有一个关于Ghost的博客。 Nginx也提供相同的configuration文件: server { listen 443 ssl; server_name www.example.com; return 301 $scheme://example.com$request_uri; } server { listen 443 ssl; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; include snippets/ssl-params.conf; location / { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Forwarded-Proto $scheme; proxy_pass http://127.0.0.1:2825; } } 这些证书是通过让我们encryption生成的,无论是有没有www的域。 在Ghost config.js文件中,URL是使用规则编写的: https : //example.com/问题是,当我进入我的博客,没有wwww的我的域,正确地login并使用SSL,但是当我尝试使用https://www.example.comlogin时,出现SSL证书authentication错误。 我真的不明白这里可能会出现什么问题。 我需要,当进入我的域名与www我redirect到域,但没有www。 我之前做过的这个操作与其他应用程序节点没有问题,具有上面相同的configuration代码。
我有这个NGINXconfiguration如下: # jelastic is a wildcard certificate for *.shared-hosting.xyz server { listen 443; server_name _; ssl on; ssl_certificate /var/lib/jelastic/SSL/jelastic.chain; ssl_certificate_key /var/lib/jelastic/SSL/jelastic.key; } # fullchain2 is a certificate for custom domain server { listen 443 ssl; server_name my-custom-domain-demo.xyz www.my-custom-domain-demo.com; ssl_certificate /var/lib/nginx/ssl/my-custom-domain-demo.xyz/fullchain2.pem; ssl_certificate_key /var/lib/nginx/ssl/my-custom-domain-demo.xyz/privkey2.pem; } # additional configuration for other custom domains follows NGINX服务器接收具有*.shared-hosting.xyz格式的主机的请求,例如: website1.shared-hosting.xyz , website2.shared-hosting.xyz […]
我正在Google Compute Engine上运行一个新build的docker 。 我把它转换成使用https,使用letsencrypt ,然后通过 letsencrypt获得A +评分。 但是,我正在使用的脚本代理不支持启用的两个TLS 1.0密码套件[ TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA , TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ],我想添加TLS-DHE-RSA-WITH-AES-256-CBC-SHA由开源的rebol3 fork ren-c支持。 我修改了我的web.ssl.template.yml文件 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:\ ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:\ ECDHE-RSA-AES256-SHA; 至 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:\ ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:\ ECDHE-RSA-AES256-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA; 并重新使用应用程序 sudo ./launcher rebuild app 但是这不会改变可用的cipher_suites。 我现在想知道是否必须直接改变nginx.conf,而不是要求话语构build脚本来做到这一点…
我试图做的是打一个Web服务(我build立)使用SSL。 它似乎并没有工作。 一些相关信息: 一切工作正常使用HTTP。 这个问题只发生在我使用HTTPS的时候。 输出的实际错误信息如下所示: SOAP-ERROR:parsingWSDL:无法从…加载:无法加载外部实体… 该服务在PHP中实现。 如果我运行php -m或检查phpinfo()openssl似乎被正确安装。 SSL证书似乎工作正常否则。 我可以在网站的其他部分使用HTTPS; 这只是networking服务有问题。 如果我尝试通过HTTPS通过浏览器访问WSDL,它工作正常。 如果我尝试访问某个SOAP端点URL,则会收到错误消息。 我写了一个最小化的PHP脚本来尝试实际调用服务。 当尝试检索WSDL本身时,它会得到错误消息。 Web服务器是运行在Debian上的Apache 这似乎不是一个代码问题。 我有相当的代码在开发服务器上运行,它工作正常,即使使用HTTPS。 生产系统运行在代理系统上,nginx在前面。 这似乎是最有可能涉及到这个问题,但不知道从哪里开始解决这个问题。
我有两个平等的域,由虚拟主机, site.com和additional.com 。 我只有第一个SSL证书,不需要另一个SSL证书。 当用户正在尝试login时,我正在做一个永久redirect: server { listen 443; server_name additional.com; rewrite ^/(.*) https://site.com permanent; } … server { listen 80; server_name site.com additional.com; root /home/site/production/public; location / { … } } server { listen 443; server_name site.com; ssl on; … } 而且这样做会失败,因为我将SSLstream量代理到上行链路服务器,并且无法处理它,因为它只会谈到HTTP,并且存在SSL23_GET_SERVER_HELLO:unknown protocol (对于Chrome; Firefix和curl具有稍微不同的错误消息)。 所以我不得不改变它(注意http,而不是https这里): server { listen 443; server_name additional.com; rewrite ^/(.*) […]
我有一个使用node-spdy的Node.js服务器以{ plain: true, ssl: false }模式运行SPDY服务器(使用HTTP回退)。 在Node.js服务器的顶部,Nginx提供服务并caching静态文件和代理请求到Node.js. 在Nginx之上,HAProxy平衡了负载。 当我第一次实现SPDY时,我只是使用node-spdy在Node.js中进行SSLencryption,但是知道我想用HAProxy来终止SSL,并在我的networking中使用简单的SPDY或HTTP。 我不确定Nginx是否可以处理非encryption的SPDY帧。 任何帮助configurationNginx和HAProxy做到这一点非常赞赏。 谢谢。
是否有可能设置nginx,以便它代理一个HTTPS连接而不解密它? 我正在谈论这样的事情: server { listen 443 ssl; server_name example.com; location / { proxy_pass https://localhost:8000; proxy_set_header X-Real-IP $remote_addr; } } 我知道,nginx最有可能需要一个证书来添加X-Real-IP头,但是我可以重新encryption代理吗? 我的动机是,我想通过stream量到我的Node应用程序,启用了SPDY。 但是为了能够在Node中使用SPDY,我需要解密才能驻留在应用程序中。
我已经build立了我的rails应用程序,效果很好。 不幸的是,在网站的https://版本中,我的资产都没有被提供…任何想法为什么会发生这种情况? 所有资产都通过http://提供,但没有任何通过https:// 帮帮我? =============代码============== upstream unicorn { server unix:/tmp/unicorn.XXX.sock fail_timeout=0; } server { listen 80 default; server_name example.com; root /home/deployer/apps/XXX/current/public; location ^~ /assets/ { gzip_static on; expires max; add_header Cache-Control public; } try_files $uri/index.html $uri @unicorn; location @unicorn { proxy_set_header X-Forwarded-Proto http; proxy_pass http://unicorn; } error_page 500 502 503 504 /500.html; client_max_body_size 5G; keepalive_timeout […]