ssl证书

首先在安装之前要明白一些基本概念 1、SSL所使用的证书可以自己生成，也可以通过一个商业性CA（如Verisign 或 Thawte）签署证书。 2、证书的概念：首先要有一个根证书，然后用根证书来签发服务器证书和客户证书，一般理解：服务器证书和客户证书是平级关系。在SSL必须安装根证书和服务器证书来认证。 因此：在此环境中，至少必须有三个证书：根证书，服务器证书，客户端证书。 在生成证书之前，一般会有一个私钥，同时用私钥生成证书请求，再利用证书服务器的根证来签发证书。 3、签发证书的问题：我最近找了很多关于openssl的资料，基本上只生成了根证书和私钥及服务器证书请求，并没有真正的实现签证。我这里参考了一些资 料，用openssl自带的一个CA.sh来签证书，而不是用MOD_ssl里的sign.sh来签。 用openssl语法来生成证书，有很多条件限定，如目录，key的位置等，比较麻烦，我实验了好几天，最后放弃了。有兴趣的可以参考一下openssl 手册。 步骤一：安装openssl和apache 1、到www.openssl.org下载openssl-0.9.7e.tar.gz(目前最新版) 2、卸载掉老的opensll库（如果卸载了出错，说找不到某些*.so.x的文件就不要卸载） 命令: #rpm –e –-nodeps openssl 3、解压： 命令: #tar xzvf

准备： 阿里云已完成备案的域名一个 第一步：免费SSL证书申请 登陆阿里云平台，在域名控制台下，选择你的域名，点击“SSL”证书，如图所示 再跳转后的页面，选择“单域名免费证书”，并补全域名，非二级域名填写www即可,填写完成后，点击确定 下面等待审核即可（一般几分钟就OK了） 第二步：证书导入 待证书签发下来后，点击“我的证书”，选择下载证书 此处根据要部署的环境，选择自己需要的即可（我这里用的是IIS7） 下载解压后，如图所示： 准备好证书，我们可以导入证书了，在服务器上进行如下操作： 1、开始 -〉运行 -〉MMC （打开控制台程序） 2、选择菜单“文件"中的"添加/删除管理单元”-> “添加”，从“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”； 3、在控制台的左侧显示证书树形列表，选择“个人”->“证书”，右键单击，选择“所有任务"-〉"导入”, 根据"证书导入向导”的提示，导入PFX文件（此过程当中有一步非常重要： “ 根据证书内容自动选择存储区 ”）。 注：导入时所需的密码，在下载证书解压后的 pfx-password.txt 文件中 配置好后，如图所示： 第三步：分配服务器证书 在IIS管理面板，找到要部署证书的站点，点击绑定 选择“绑定”->“添加”->“类型选择 https” ->“端口 443” ->“ssl 证书【导入的证书名称】” ->

使用curl如果想发起的https请求正常的话有2种做法： 方法一、设定为不验证证书和host。 在执行curl_exec()之前。设置option $ch = curl_init(); ...... curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE); curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE); 方法二、设定一个正确的证书。 本地ssl判别证书太旧，导致链接报错ssl证书不正确。 我们需要下载新的ssl 本地判别文件 http://curl.haxx.se/ca/cacert.pem 放到 程序文件目录 curl 增加下面的配置 curl_setopt($ch,CURLOPT_SSL_VERIFYPEER,true); ; curl_setopt($ch,CURLOPT_CAINFO,dirname(__FILE__).'/cacert.pem'); 大功告成 来源： https://www.cnblogs.com/w10234/p/5669441.html

登录腾讯云控制台，菜单SSL证书，证书管理，点击“申请免费证书”： 办法机构为亚洲诚信-Trust Asia：免费版DVSSL证书 DV SSL证书(Domain ValidationSSL) ,只验证域名所有权，快速颁发，保证了网站的机密信息从用户浏览器到服务器之间的传输是高强度加密传输的,保证信息不会被非法窃取和非法篡改。 有效期1年 维护证书指向的域名， 点击确认申请： 审核一般在一个工作日里完成。 我大概只等待了一个小时，就收到了审核通过的SSL证书： 很快就能正常工作了： 要获取更多Jerry的原创文章，请关注公众号"汪子熙": 来源： CSDN 作者： JerryWangSAP 链接： https://blog.csdn.net/i042416/article/details/103571523

2019年11月开始，陆续发现AMH4.2.1中SSL证书无法正常获取证书了，包括使用命令行渠道也无法获取证书。 尝试生成会有如下提示： Register account Error: {“type”:“urn:acme:error:unauthorized”,“detail”:“Account creation on ACMEv1 is disabled. Please upgrade your ACME client to a version that supports ACMEv2 / RFC 8555. See https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430 for details.”,“status”: 403} [Fri Nov 15 02:29:17 UTC 2019] Please add ‘–debug’ or ‘–log’ to check more details. 原来LET’S ENCRYPT官方在2019年11月将终止V1证书的注册了。 如何判断自己用的是V1还是V2，或是否已升级到V2？ 在SSH中执行以下命令 cat /root/.acme.sh/acme.sh | grep VER= 若显示是2.7.3则表示是V1 若是2.8.*或以上则表示是V2 解决办法

openssl.cnf是openssl命令的配置文件，系统级的配置文件/etc/pki/tls/openssl.cnf对所有用户起作用，在实际使用中可以通过生成特定的配置文件设定用户的缺省配置。 交互方式 设定选项 设定选项说明 openssl req 创建证书签名请求等功能 -nodes 对私钥不进行加密 -new 创建CSR证书签名文件 -out 指定CSR输出文件名 -subj 指定证书Subject内容 配置文件说明 设定项目 设定项目说明 default_bits 生成证书签名请求CSR时所使用到的RSA私钥的长度，与-newkey选项对应 default_md 签名使用的默认消息摘要算法 default_keyfile 默认的密钥文件使用的文件名，比如使用-newkey选项或者-new选项不指定-key时都会自动创建私钥，与-newkey选项对应 distinguished_name 用户DN信息，在req_distinguished_name段展开 attributes 证书请求的属性(在req_attributes段展开)，但在openssl证书签发工具中并没有用到此扩展选项 input_password 设定输入密钥的文件密码，对应选项-passin output_password 设定输出密钥的文件密码，对应选项-passout x509_extensions

charles抓包 抓取手机app的数据 charles设置 help--->SSL Proxying--->Install Charles Root Certificate 1.给电脑下载安装证书 点击证书，去信任证书 help--->SSL Proxying--->Install Charles Root on a Mobile Device or Remote Browser 使用手机登录指定网站（chls.pro/ssl）下载证书 去 “关于手机” 点击里信任该证书 Proxy--->Proxy Settings--->Proxies项设置 端口固定为8888 选中Enable transparent HTTP proxying 其余选项不要点击 抓取网页数据 来源： https://www.cnblogs.com/hui-code/p/12032252.html

caddy 反代wordpress + ssl证书生成 安装caddy 1：升级系统: sudo yum update 2：安装 EPEL repository: sudo yum install epel-release 3：安装 Caddy: sudo yum install caddy 4:文件 /usr/bin/caddy -conf /etc/caddy/caddy.conf 添加反向代理配置 www.robinplus.com { # 同时启用 http 和 https 不会自动转跳 gzip proxy / http://127.0.0.1:8080 { header_upstream Host {host} header_upstream X-Real-IP {remote} header_upstream X-Forwarded-For {remote} header_upstream X-Forwarded-Proto {scheme} } } 验证配置文件正确性 执行 /usr/bin/caddy -conf /etc/caddy/caddy.conf 服务启动管理 systemctl enable caddy systemctl start caddy systemctl stop caddy systemctl status caddy

使用OpenSSL提供的命令可以进行证书管理，而证书的格式也有很多，这篇文章主要整理一下证书格式相关的基础内容。 格式：PKCS 7 概要介绍：PKCS 7的格式被Windows用来进行证书交换，在RFC 2315中有更加详细的定义。 可能的后缀：.p7b .keystore 格式：PKCS10格式 概要介绍：PKCS 10格式的文件在实际中最多的就是CSR文件，CSR是Certificate Signing Request（证书签名请求） 的缩写。证书申请者需要将CSR文件提交给证书颁发机构，然后有证书颁发机构使用其根证书私钥进行签名生成颁发给用户的证书文件，文件中一般包含Subject、Issue、公钥等相关信息。详细的定义可参考RFC 2986。 文件可能的后缀： .csr 格式：PKCS 12格式 概要介绍：此种格式的文件包含了私钥和公钥对的内容，也称为PFX文件，和PEM格式的文件不同之处在于此种文件格式是加密过的，其中PKCS是 Public-Key Cryptography Standards 的缩写。 文件可能的后缀：.pkcs12 .pfx .p12 注意事项：openssl提供pkcs12子命令将此类型的文件转化为PEM格式的文件。 格式：PEM格式 概要介绍：PEM是Privacy Enhance Mail 的缩写，PEM文件包含了公钥、CA证书文件

2019年11月开始，陆续发现AMH4.2.1中SSL证书无法正常获取证书了，包括使用命令行渠道也无法获取证书。 尝试生成会有如下提示： Register account Error: {“type”:“urn:acme:error:unauthorized”,“detail”:“Account creation on ACMEv1 is disabled. Please upgrade your ACME client to a version that supports ACMEv2 / RFC 8555. See https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1/88430 for details.”,“status”: 403} [Fri Nov 15 02:29:17 UTC 2019] Please add ‘–debug’ or ‘–log’ to check more details. 原来LET’S ENCRYPT官方在2019年11月将终止V1证书的注册了。 如何判断自己用的是V1还是V2，或是否已升级到V2？ 在SSH中执行以下命令 cat /root/.acme.sh/acme.sh | grep VER= 若显示是2.7.3则表示是V1 若是2.8.*或以上则表示是V2 解决办法