Início / user-180396

Ezwig's questions

Martin Hope
Ezwig
Asked: 2018-07-19 06:13:36 +0800 CST
  • 1

A citação abaixo é das notas de versão do google chrome 66:

Suspensões

Habilite o fallback CommonName para a política de âncoras locais

A política EnableCommonNameFallbackForLocalAnchors foi oferecida para dar aos administradores mais tempo para atualizar seus certificados locais. Ele remove a capacidade de permitir certificados em sites usando um certificado emitido por âncoras de confiança locais que não possuem a extensão subjectAlternativeName.

A partir do Chrome M66, esta política será suspensa. Se um usuário que executa o Chrome 66 tentar acessar um site em que o certificado não é permitido, ele verá um aviso indicando que não pode confiar no certificado.

Alguns dos certificados que estou usando não contêm a Subject Alternative Nameextensão que agora parece ser obrigatória.

Não sou fã de fazer isso manualmente, dada a quantidade de certificados que devo verificar.

Existe uma maneira de consultar os servidores e determinar se seus certificados têm a Subject Alternative Nameextensão ou não?

ssl chrome
Martin Hope
Ezwig
Asked: 2018-07-16 15:42:12 +0800 CST
  • 11

Instalei o Jenkins no CentOS7 e estava recebendo um erro de SSL ao tentar atualizar/instalar plugins. Após alguma investigação, descobri que eu tinha um certificado de CA raiz ausente no armazenamento de CA Java.

Eu usei o keytoolutilitário para adicionar o certificado de CA ausente no armazenamento de CA Java e funcionou. No entanto, acho chato ter que mexer nisso.

Não existe uma maneira de fazer o Java herdar os certificados de CA raiz confiáveis ​​pelo sistema? Se sim, como?

centos fedora
Martin Hope
Ezwig
Asked: 2018-06-22 01:41:26 +0800 CST
  • 2

insira a descrição da imagem aqui

Estou ciente de que é possível encaminhar SSH do servidor A para o servidor B criando um túnel.

O que estou pedindo é sim a alternativa vermelha no esquema acima. Este cenário pode ser implementado:

  1. SSH para o servidor A
  2. O servidor A diz ao cliente para ir para o servidor B em vez disso
  3. O servidor B se comunica diretamente com o cliente por SSH

Então basicamente uma espécie de proxy que depois de apresentar o cliente-servidor um ao outro, ele sai da comunicação.

Imagino que usar um redirecionamento de firewall não ofereça muita personalização.

O que procuro afinal é uma forma de tornar o acesso via SSH para git mirrors transparentes para o cliente dependendo da geolocalização.

Cenário de cenário avançado

  1. Cliente puxando do servidor A e está mais próximo do servidor B é redirecionado para B
  2. Ao fazer push, o cliente permanece no servidor A
ssh git