https 的一些问题

最新推荐文章于 2024-05-13 12:15:15 发布
最新推荐文章于 2024-05-13 12:15:15 发布
阅读量1.2k 收藏
点赞数
分类专栏: 服务器 文章标签: ssl nginx 服务器 openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyinwang/article/details/77321318
版权

SSL服务器检测

https://www.ssllabs.com/ssltest/analyze.html
下面是遇到需要处理的问题:

禁用SSLv2和SSLv3

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

告诉nginx在DHE秘钥交换的时候使用自己生成的强秘钥

生成强秘钥

openssl dhparam -out dhparams.pem 2048

告诉nginx

ssl_dhparam {path to dhparams.pem}

证书链不完整

有些浏览器不接受那些众所周知的证书认证机构签署的证书,而另外一些浏览器却接受它们。这是由于证书签发使用了一些中间认证机构,这些中间机构被众所周知的证书认证机构授权代为签发证书,但是它们自己却不被广泛认知,所以有些客户端不予识别。针对这种情况,证书认证机构提供一个证书链的包裹,用来声明众所周知的认证机构和自己的关系,需要将这个证书链包裹与服务器证书合并成一个文件。在这个文件里,服务器证书需要出现在认证方证书链的前面:

cat www.example.com.crt bundle.crt > www.example.com.chained.crt

如果服务器证书和认证方证书链合并时顺序弄错了,nginx就不能正常启动,而且会显示下面的错误信息:

SSL_CTX_use_PrivateKey_file(" ... /www.example.com.key") failed (SSL: error:0B080074:x509 certificate routines: X509_check_private_key:key values mismatch)

下面是我的完整配置

ssl on;
ssl_certificate /nginx-1.8.1/ssl/dev_ti_com.chained.crt;
ssl_certificate_key /nginx-1.8.1/ssl/dev_ti_com.key;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_dhparam /nginx-1.8.1/ssl/dhparams.pem;
LXM_M
关注
专栏目录
http与https详解
dvlinker的技术专栏
04-30 2万+
http与https详解
http改造成https及在其间遇到的一些问题
qq_32265113的博客
12-29 4692
基本介绍 https是http+ssl 用的还是原来 的http协议,只是在应用层和传输层加入了ssl协议。 关于ssl协议:ssl协议由许多子协议组成,其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器和客户端“在应用协议传输第一个数据字节以前,彼此确认,协商一种加密算法和密码钥匙”。在数据传输期间,记录协议利用握手协议生成的密匙加密和解密后来交换的数据。图3显示了握手协议期间发生
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
看着博客敲代码
01-18 2万+
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。 当服务器SSL/TLS的瞬时Diffie-Hellman公
nginx 升级最新版本 ssl 报错
qq_39240050的博客
01-15 398
最近在配置nginxhttps时,重启后出现这么一个报错 nginx: [warn] the “ssl” directive is deprecated, use the “listen … ssl” directive 查找资料发现原来是,nginx提示ssl这个指令已经不建议使用,要使用listen … ssl替代,仔细查看我的配置文件做如下修改。 ssl on; 改为 listen ...
nginx修复-----SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
一个杯子的博客
04-07 4185
需编辑 nginx.conf 解决。 1、生成 dhparams.pem。 cd /usr/local/nginx/conf openssl dhparam -out dhparams.pem 2048 chmod -R 755 dhparams.pem 2、编辑 nging.conf 文件,添加 ssl_dhparam {path to dhparams.pem} 。 ssl_dhparam /usr/local/nginx/conf/dhparams.pem; 3、openssl查看版本 #openss
nginx漏洞修复:SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
weixin_43135696的博客
07-20 3091
#需编辑 nginx.conf 1、生成 dhparams.pem。 cd /usr/local/nginx/conf openssl dhparam -out dhparams.pem 2048 chmod -R 755 dhparams.pem 2、编辑 nging.conf 文件,添加 ssl_dhparam {path to dhparams.pem} ssl_dhparam /usr/local/nginx/conf/dhparams.pem; ...
等保测评系列 SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
eson的博客
07-07 4715
等保测评系列 SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】 nginx修复方式:需编辑 nginx.conf 解决 1、生成 dhparams.pem文件 cd /usr/local/nginx/conf openssl dhparam -out dhparams.pem 2048 chmod -R 755 dhparams.pem 2、编辑 nging.conf 文件,server下添加 ssl_dhparam {path to dhparams
【php】【laravel】博客搭建过程中https引入http问题
赤狐博客
12-14 2698
在没到cdsn写博客之前,一直想过自己去搭建一个博客系统,当时尝试过是从白俊遥大神开放出来的一套博客系统,搭建的过程大致如下 1、进入github GitHub - baijunyao/laravel-bjyblog: Laravel v8 blog 2、clone或直接下载源码到服务器 3、php项目的部署就不多说了 4、配置cdn 5、申请证书 6、通过cdn配置https证书 打开浏览器访问 一看竟然是https请求引入了http资源报错,那我们就开始分析一下问题
Android WebView https白屏、Http和Https混合问题、证书配置和使用
热门推荐
主要记录一些问题处理记录,部分是作为知识库使用
09-29 2万+
目录前言启用https后白屏(证书错误)修改处理WebView中Http和Https混合问题处理办法Webview的几种内容加载模式证书配置或处理https请求的证书okhttp进行请求:HttpsURLConnection忽略证书 前言 原有项目中有部分界面是用webview展现的h5页面,一直以来都使用的http地址,但有些情况下,用户dns被劫持,页面上出现了一些广告的内容,或者页面就是白屏,总结起来还是因为使用http,页面内容被劫持修改,修改后的内容要么多出广告,要么被修改得加载不出来,因此项目
收集面试中提出的一些重要问题。-C/C++开发
05-27
收集面试中提出的一些重要问题。 数据结构算法面试问题面试中提出的一些重要问题的集合。 数组https://leetcode.com/problems/3sum/ [解决方案] https://leetcode.com/problems/trapping-rain-water/ [解决方案] ...
解决jetty环境ssl的瞬时 Diffie-Hellman 公共密钥过弱
11-29
解决jetty8、jdk1.6环境下的ssl问题,示服务器的瞬时 Diffie-Hellman 公共密钥过弱,可以通过设置如下参数解决
openssl命令之DH参数生成
N阶二进制的博客
11-02 1322
OpenSSL中,DH(Diffie-Hellman)参数是一组用于密钥交换的参数,通常包括素数(p)和生成元(g)。Diffie-Hellman密钥交换算法允许两个通信方在不共享密钥的情况下,通过不安全的通信信道协商出一个共享密钥。DH参数在这个过程中起到关键作用,确保生成的共享密钥对通信双方都是私密的。使用OpenSSL的gendh命令可以生成DH参数。在这个命令中,指定了输出文件的名称为2048指定了DH参数的位长度为2048位。你可以根据需要选择不同的位长度。生成的文件包含了生成的DH参数。
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)
分享型博主
07-26 7106
文章来自一份绿盟安全评估中的服务器漏洞扫描分析结果,据市场研究公司Gartner研究报告称“实施漏洞管理的企业会避免近90%的攻击”。可以看出,及时的漏洞修补可以在一定程度上防止病毒、攻击者的威胁。这个报告是合作单位的服务器安全评估出来的,帮忙协助处理下,希望对看到的小伙伴有所帮助,有问题咱们一起讨论实践哦。
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞(1)
最新发布
2401_84545291的博客
05-13 1348
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
httpd2.4+阿里云免费ssl证书配置
Roy的博客
04-16 751
1.从阿里云网站申请CA证书,一般下载后证书为4个。已如下图为例子,其中152***.pem为证书公钥2.httpd服务器开启相应模块,以及引用 httpd-ssl.conf配置文件。在http.conf文件中找到LoadModule ssl_module modules/mod_ssl.soInclude conf/extra/httpd-ssl.confLoadModule rewrite_m...
HAproxy1.8 版本配置MinIO SSL出错解决方案
MinIO
12-17 407
etc/haproxy/haproxy.cfg 首先,您将使用 实用程序生成一个 dhparams.pem 文件。但是在HAproxy 1.8版以及之前的版本中,证书为.pem 与private key进行合成为一个证书的办法,产生证书。一种选择是根据警告消息在 中明确将 tune.ssl.default-dh-param 值设置为大于 1024 的值。在新的标准中证书为.pem 和 private key 分别设置,由HAproxy进行读取。针对此问题,进行了长达7个工作日的测试,产生此结论。
配置免费的SSL证书
weixin_42489436的博客
11-20 607
配置HTTPS 一、基本环境 1、安装依赖 ##已经安装的可以跳过 yum install openssl yum install epel-release -y 2、生成2048位 DH parameters: $ sudo openssl dhparam -out /etc/letsencrypt/live/dhparams.pem 2048 3、安装cerbot工具 wget https:/...
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱
hongweibing1的专栏
11-21 1万+
详细描述 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。  当服务
解决Windows XP中HTTPS无法打开的问题
"该问题主要涉及HTTPS协议无法正常工作的情况,可能是由于系统中Winsock配置错误或相关组件损坏导致的。解决方法包括重置Winsock、注册系统关键DLL文件、更新或修复Windows XP Service Pack 2,以及在未安装SP2的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值