問題タブ [ssl]

現在、http (ポート 80、非 SSL) および https (ポート 443、SSL) アドレス経由でアクセスできる外部サービスがあります。

接続を https アドレスのみに制限する最善の方法は何ですか? IIS 経由でできることですか、それともコード経由で行う必要がありますか。

追加情報: Windows 2003 サーバー上の IIS で実行されている通常の ASP.NET Web サービス (.asmx)。サービスは .NET 3.5 上の C# で構築されています。

私はラップトップで MAMP をローカルで実行しており、できる限りローカルでテストしたいと思っています。残念ながら、私は電子商取引 (PHP) に取り組んでいるので、通常、ほとんどのチェックアウト フォームで ssl を強制しますが、ラップトップでは失敗します。「https」をMAMPで実行できるようにするために欠けている可能性のある簡単な構成はありますか? Apache を手動で構成したり、PHP を再コンパイルしたりできることは知っていますが、怠惰なプログラマーにとってもっと簡単な方法があるかどうか疑問に思っています。

ありがとう

SSL接続数に制限はありますか?

2000 セッションで SSL 経由で接続しようとしています。数回試してみましたが、常に 1062 で停止します。制限はありますか？

Oracle Application Server を介してデプロイされた Apache インスタンスがあります。現在、デフォルトのウォレットと自己署名証明書がインストールされています。GEOTRUST 証明書を取得し、Trusted Roots をインポートして、新しい証明書を Wallet Manager にインポートしました。次に、Enterprise Manager を使用して VHOST と HTTP_SERVER の SSL プロパティを更新しました。

正常に再起動しましたが、Apache サービスに接続できず、次のエラーが発生しています。

NZ 関数 nzos_Handshake の呼び出しに失敗しました

これはルート証明書に問題があることを示しているようですが、私の意見では、これらはウォレットに正しく登録されています。

誰もこれを前に見たことがあり、いくつかの指針がありますか?

SharePoint 2003 ドキュメント ライブラリに格納されているファイルをブラウザにストリーミングしようとしています。基本的には、ファイルをストリームとして開き、ファイル ストリームを応答に「書き込み」、コンテンツ タイプとコンテンツ ディスポジション ヘッダーを指定するという考え方です。コンテンツの処理は、ファイル名、コンテンツ タイプを保持するために使用されます。これは、ファイルを表示するためにどのアプリを開けばよいかをブラウザに知らせるためです。

これは、開発環境と UAT 環境で問題なく機能します。ただし、本番環境では、常に期待どおりに動作するとは限りませんが、IE6/IE7 のみです。FF はあらゆる環境でうまく機能します。

本番環境では SSL が有効になっており、一般的に使用されていることに注意してください。(実稼働環境で SSL が使用されていない場合、ファイル ストリームは期待どおりに名前が付けられ、適切に表示されます。)

コード スニペットを次に示します。

前述したように、このコード スニペットは開発マシンと UAT 環境で正常に動作します。ダイアログ ボックスが開き、Testme.doc の保存、表示、またはキャンセルを求められます。ただし、本番環境では SSL を使用する場合のみ、IE 6 および IE7 は添付ファイルの名前を使用しません。代わりに、ストリームを送信しているページの名前 testheader.apx を使用すると、エラーがスローされます。

IE には、「暗号化されたページをディスクに保存しない」という高度な設定があります。

これが問題の一部であると思われます。サーバーはブラウザーにファイルをキャッシュしないように指示しますが、IE では「暗号化されたページをディスクに保存しない」が有効になっています。

はい、大きなファイルの場合、上記のコード スニペットがメモリを大きく圧迫し、この実装が問題になることは承知しています。したがって、実際の最終的な解決策は、ファイル全体を 1 バイト配列に開くのではなく、ファイルをストリームとして開き、ファイルを一口サイズのチャンク (たとえば、サイズが約 10K) でクライアントに送信します。

SSL経由でバイナリファイルを「ストリーミング」する同様の経験をした人はいますか? 提案や推奨事項はありますか？

.Net System.Security.SslStream クラスを使用して、クライアント認証で SSL/TLS ストリームのサーバー側を処理しようとしています。

ハンドシェイクを実行するために、次のコードを使用しています。

残念ながら、これにより、CryptoAPI Trusted Root Store 内のすべての証明書のサブジェクト名を含む CertificateRequest を SslStream が送信することになります。

これをオーバーライドできるようにしたいと思います。信頼されたルート ストアから証明書をインストールまたは削除することをユーザーに要求することは、私にとって選択肢ではありません。

SslStream は下で SSPI/SecureChannel を使用しているように見えるので、その API で同等のことを行う方法を誰かが知っていれば、それも役に立ちます。

何か案は？

機密情報を収集して送信するフォームがあり、安全でない（HTTPS以外の）手段でアクセスされないようにしたい場合、そのポリシーを適用するにはどうすればよいでしょうか。

GPRS メディアを備えたデバイスを使用して、stunnel を実行している PC に接続しています。TCPIP 接続では、セッションの数は無制限です。ただし、SSL 接続に関しては、成功したセッションは 1062 までしかありませんでした。3回ほど試しましたが変わりません。OpenSSL コードを確認しましたが、SSL 接続を 1062 に制限するコード ブロックは見つかりませんでした。SSL の観点から、接続数を制限するものはありますか?

はい、後払いの電話 SIM を使用していますが、TCPIP では問題ありません。SSL 接続でのみ発生します。同じ OpenSSL stunnel を使用して他の PC にも接続しようとしましたが、最大 1062 接続までしか接続できませんでした。

クライアントとサーバーの認証で TLS を使用して、C# .NET アプリケーションを PostgreSQL データベースに接続したいと考えています。つまり、クライアントからの証明書がサーバーの証明書に対して検証できない場合、クライアントはアクセスを拒否される必要があります。クライアントがサーバーの証明書を検証できない場合、クライアントはすぐに接続を中止する必要があります。

Npgsql 1.0 を使用してこれを試しましたが、Npgsql で接続に使用するクライアント証明書を指定する方法が見つかりません。

クライアントでサーバー証明書の検証が機能するように管理し、コマンドラインdb管理ツールpsqlを使用してすべての検証を機能させましたが、これはNpgsqlで機能させるのにさらに役立ちませんでした.

では、TLS クライアントとサーバー認証を使用して .NET アプリを PostgreSQL データベースに接続するにはどうすればよいでしょうか?

これをサポートする新しい/他のデータプロバイダーはありますか?

実際にこれを何らかの方法で機能させた人はいますか?

非 SSL 要求を拒否したいいくつかのハンドラーに、いくつかの ashx ハンドラーを含むサイトがあります。コードでこれを行う方法はありますか?