【AWS Certificate Manager】複数ドメインの証明書を同一ELBで処理できるか検証 - zuntan02のはてなブログ
前提知識 zuntan02.hateblo.jp 【疑問】 1台のEC2インスタンスに複数のバーチャルホストが動作している。 SSLはACMで取得してELBにてSSLオフロードしている。 バーチャルホストそれぞれのルートドメインが異なるとき、ELBは1台で処理できるか? 【結果】 処理できた。 ACMで証明書のリクエストを行う際、ドメイン名のほかに「追加の名前」が記載できるが、こちらに [hoge.aa.com][*.bbb.jp]などルートドメインの異なるドメインを追加できる。 この証明書を利用することで1台のELBで複数ドメインのSSLオフロード処理が可能。 【具体的な作業イメージ】 [Certification Manager]-[証明書のリクエスト] ドメイン名:hogehoge.com [この証明書に別の名前を追加] *.hogehoge.com fugafuga.jp *.fu
Pound を使った SSL ラッパ、クライアント認証のやり方まとめ - 夜の Discovery
最近、Pound 2.4.4 (2009年2月4日時点の最新)をインストールしたのですが、 2.X 系のまとまった情報があまりないようなのでまとめておきます。 Apsis Gmbh(本家) http://www.apsis.ch/pound/index_html install 今回は SSL 通信を行うので、OpenSSLからインストールします。 OpenSSL # cd openssl-0.9.8j # ./config # make # make install Pound # cd Pound-2.4.4 # ./configure --with-ssl=/usr/local/ssl # make # make install 証明書の設定方法 ssl 通信を行う場合、サーバー証明書(pem 形式)、(必要なら)CA 局証明書、サーバー証明書鍵を Pound で利用するために一つに
Poundで作るロードバランサとSSLラッパ
Poundによる負荷分散とSSLラッパ Squidは高機能なプロキシサーバであり、単なるリバースプロキシとして使用するのはSquidにとって力不足といえるでしょう。逆に、ロードバランサとしての機能には不十分な面があります。 Poundとは そこで、さらに一歩進めてPoundを使用します。Poundはもともとリバースプロキシ専用として作られているため、プログラムも大変小さく導入も簡単です。また、リバースプロキシに加えて以下の処理が可能です。 SSLラッパとは、HTTPSに対応していないWebサーバに代わり、PoundがクライアントとHTTPS通信を行う機能です。Pound−Webサーバ間はHTTPで通信を行い、Pound−クライアント間ではHTTPSで通信します。 Pound配布元 http://www.apsis.ch/pound/ Poundのインストール Poundのビルド済みパッケー
Apache httpd でメンテナンスモード - mallowlabsの備忘録
設定した内容を忘れないようにメモ。 Apache/2.2.15 (Unix) CentOS release 6.2 (Final) 実現したいこと ドキュメントルートに maintenance.html というファイルが存在すれば、メンテナンスモードとし、すべてのアクセスに対して maintenance.html を返す。 ただし、特定の IP アドレスからのアクセスに関しては、通常通りのレスポンスを返す。 準備 1. DOCUMENT_ROOT/maintenance.htmlを配置。画像等は使わず、1つの HTML ファイルで完結するようにする(と設定が楽) 2. /etc/httpd/conf.d/rewrite_maintenance.conf を配置。 # rewrite_maintenance.conf ErrorDocument 503 /maintenance.html <
suz-lab.com - suz lab リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
suz-lab.com - suz lab リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
"There is a problem with this website's security certificate" when you try to visit a secured website in Internet Explorer - Microsoft Support
Support for Internet Explorer ended on June 15, 2022 Internet Explorer 11 has been permanently disabled through a Microsoft Edge update on certain versions of Windows 10. If any site you visit needs Internet Explorer 11, you can reload it with Internet Explorer mode in Microsoft Edge. We recommend you use Microsoft Edge for a faster, more secure and more modern web browsing experience. Get starte
SSL 証明書を IIS から Apache に移行する方法 - WebOS Goodies
とある事情で SSL の証明書を IIS から Apache に移す作業を行ったので、本日はその方法をご紹介しようと思います。最近は IIS のシェアが Apache に迫っているらしいので、 IIS から Apache への移行が少しでも増えればと思います。証明書が移行できないと、たしか再発行には何万円もかかるはずですからね :) IIS から証明書・秘密鍵ペアをエクスポート それでは、さっそくやってみましょう。まずは IIS から証明書・秘密鍵ペアをエクスポートします。これは IIS の標準機能で普通にやれば OK です。具体的な手順は以下のとおりです。 スタートメニューの管理ツールなどから「インターネット インフォメーション サービス(IIS) マネージャ」を起動。 左のペインで [マシン名(ローカル コンピュータ)]-[Web サイト] を開き、証明書をエクスポートしたいサイトのプ
Apacheで簡単にリバースプロキシ構築(SSL通信転送付き)
リバースプロキシサーバーの環境 Apache 2.2.3 + mod_proxyを使ってリバースプロキシを構築しています。OSは「CentOS5.6」。 httpd.confの編集 # vi /etc/httpd/conf/httpd.conf <IfModule mod_proxy.c> ←コメントアウトされているので、コメントインする ProxyRequests Off ←フォワードプロキシ機能の無効化 <Proxy *> ←プロキシ利用者のアクセス制御はここで設定 Order deny,allow Allow from All ←とりあえず全許可 </Proxy> <VirtualHost *:80> ← VirtualHostで80ポートを指定しないと、HTTPS(443)もここで処理されてしまう ServerName リバースプロキシのIPまたはFQDN:80 ←なくても動く?
ApacheでSSLのセキュリティ評価をA+まで上げる。 | AC-5
無料SSL証明書 Let’s Encryptを導入するでSSLを設置したので、 更にセキュリティ評価を上げて、A+にしたいと思います。 ヴァーチャルホストの設定ファイル編集 ヴァーチャルホストの設定ファイルに追記します。 [root@test]# vi /etc/httpd/conf.d/hogehoge.com.conf←設定ファイル編集 下記を追記します。 SSLProtocol all -ALL -SSLv2 -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2←POODLE対策 SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!EXP:!LOW:!aNULL:!eNULL:!ADH:!DSS:!MD5:!PSK:!SRP:!RC
名前ベースのバーチャルホストでSSLを使う(SNI) | あぱーブログ
TLS拡張(RFC4366)仕様の一つ Server Name Indication(SNI)によって名前ベースのバーチャルホストでもSSLが使えますが、そもそもなぜ、名前ベースのバーチャルホストでSSLが使えないのかその理由と、SNIの仕組みと設定方法について調べてみました。 以前、WEBディレクターの方から、SSLを使っているサイトのバーチャルホストの設定依頼を受けて「SSL使ってるとバーチャルホストは使えないっすよ」とドヤ顔で答えてしまい、少し恥ずかしい思いをしました。(^^;) 昔の上司の言葉「常にアンテナを張っておけ!」を思い出します。 SNIの仕組み SSLを使っていると当然ですがHTTPヘッダは暗号化されているので、クライアントがどのホスト名を指定しているのか判断できないため、先頭のバーチャルホスト(図の場合は lamp-sv)が表示されてしまいます。 SNIではSSL/TL
PHP: curl_getinfo - Manual
Getting Started Introduction A simple tutorial Language Reference Basic syntax Types Variables Constants Expressions Operators Control Structures Functions Classes and Objects Namespaces Enumerations Errors Exceptions Fibers Generators Attributes References Explained Predefined Variables Predefined Exceptions Predefined Interfaces and Classes Predefined Attributes Context options and parameters Su
『そこそこ強いApacheのSSL設定』
Subaru's Husbandpython、linux、バイクなんかのネタを書きます。 一応security業界でご飯を食べてます。 備忘録がメインだと思うので、未来の自分が助かれば最高。 ApacheのSSL設定を下記の様にしました。 WindowsXP,ガラケーは切り捨ててます。 ・ALLで全ての方式を有効 ・SSLの2,3を無効 !SSLv2!SSLv3 ・弱い暗号方式を無効 !EXP!MD5!RC4!ADH!DSS ・通信を暗号化しない方式を削除 eNULL ・通信の認証をしない方式を削除 !aNULL #/etc/apache2/mods-available/ssl.conf 下記の部分を更新 # SSL Cipher Suite: # List the ciphers that the client is permitted to negotiate. # See the m
ApacheでOpenSSLのセキュリティを強化する - Qiita
セキュリティランクの確認 OpenSSLを利用されている方は下記サイトでセキュリティランクを確認してみると良いでしょう。 https://sslcheck.globalsign.com/ja/ apacheの設定 /etc/httpd/conf.d/ssl.confなどに下記を追加しましょう。 $ sudo vim /etc/httpd/conf.d/ssl.conf SSLHonorCipherOrder ON ##追記 SSLCipherSuite EECDH+HIGH:EDH+HIGH:HIGH:MEDIUM:+3DES:!ADH:!RC4:!MD5:!aNULL:!eNULL:!SSLv2:!LOW:!EXP:!PSK:!SRP:!DSS:!KRB5 ##追記 [許可されてる暗号方式の確認方法] $ openssl ciphers -v [制限したときの暗号方式の確認] $ ope
ApacheのSSL設定を考えた | TECHSCORE BLOG | TECHSCORE BLOG
こんにちは!インフラエンジニアの射場です。 趣味やお仕事でWebサイトを運用されている方はいらっしゃいますか? そのWebサイトはSSL証明書を使っていますか? SSL証明書を使っていると答えたアナタ! 下記のリンクにあなたの管理するWebサイトのURLを ぺっちょりと貼り付け、スキャンを実行してみてください。 https://sslcheck.globalsign.com/ja/ いかがでしたか? ランクはAでしたか?Bでしたか?それともEやF? ちなみに、私もほそぼそとWebサイトを運用しており、つい先日SSL証明書を入れました。 忙しさを言い訳に、初期設定のまま放置していました。 そんなだらしない私のWebサイトの評価はご覧のとおり。 ※恥ずかしいのでURLは伏せています/// これはあかん ということで、いっちょ本気を出してみましたので、その設定内容を晒したいと思います! Webサ
SSLCipherSuite を変更し perfect forward secrecy にも対応してみる - さくらVPS CentOS 6.5 - IMPOV::In My Point Of View
SSLサーバー証明書を購入し設置を行ったので、この機会にSSLまわりの設定を見なおしてみることにした。 (2014/10/21追記:POODLE attack に対応するため、SSLProtocol に -SSLv3 を追加。) (2016/03/03追記:古い記事なので今風のCipherSuiteについて、文末に追記しました。) 現状の確認 まずはQualys SSL Labs SSL Server Testというサイトへ行って、現状をチェック。 最近チェックされたドメインリストに名前が出てしまうので、ドメイン名入力欄の下にあるチェックボックスをオンにしてリスト掲載を拒否する。 数分待つと結果が表示される。 Beast攻撃がどうだとか、暗号強度が低いだとか、いろいろと指摘されてしまう。 また、ページの下の方へ行くと、メジャーなブラウザとの接続確認も可能だ。 設定の変更 SSLまわりの知識
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
インフラエンジニアの方向けに、SSL/TLSとは何か、また証明書入手のポイント、HTTPS設定のポイントについて、最新の動向を踏まえて紹介します。また、最後の方で勉強会主催者のリクエストでおまけがあります(^^;Read less
携帯サイトのSSLページの計測をする場合はサイトのカスタマイズが必要? | MOBYLOG's BLOG
これを画面遷移に表すと以下のようになります。 SSLページでは端末識別番号が取得できないので、ページAとページBでは繋がっていたセッション(端末識別番号)がページCで繋がらなくなるので別セッションとして計測されるか、ツールによっては全く計測対象外となることがあります。 これが携帯サイトSSLページアクセス解析の第一の問題点です。 次にもう一つ厄介な問題点があります。 計測ツールのタグはHTMLページに計測用のimgタグを貼り付けて、端末にレスポンスされたHTMLがimgタグのURLにリクエストし、ツールのログサーバにログを残す、という方式を取っています。 しかしながら、docomo端末では、SSLページでは外部ドメインへのリクエストは許可していないため、imgタグのURLが外部ドメインの場合、端末がリクエストしません。 こうなると、ツールのサーバにはログが記録されないため、docomoのS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IE7の証明書エラー対応について
Request Rejected