ca数字证书

配置oracle的ssl连接 网上也没有中文资料，我硬着头皮看官方文档肯完，终于配置成功，下面是我配置步骤 配置安全套接层连接oracle 目录 1. 配置简介 1 2. 使用Wallet Manager创建Wallet和生成认证请求 2 2.1. 创建Wallet 2 2.2. 创建认证请求 2 2.3. 导出证书请求 3 2.4. 保存Wallet位置 3 2.5. 让Wallet自动登录 3 3. 使用openssl工具制作数字证书 4 3.1. 创建制作证书目录 4 3.2. 制作发行证书 4 3.3. 制作用户证书 4 4. 导入信认根证书和用户证书 5 4.1. 导入信认根证书 5 4.2. 导入用户证书 5 5. 配置使用SSL的TCP/IP连接服务端 5 5.1. 确认服务器已经生成Wallet 5 5.2. 指定监听服务Wallet存放位置 5 5.3. 创建监听使用ssl的TCP/IP协议 7 5.4. 配制数据库监听位置 8 6. 配置使用SSL的TCP/IP连接客户端 10 6.1. 确认客户端已经生成Wallet 10 6.2. 配置的Oracle网络服务名称 10 6.3. 客户端配置Wallet位置 12 7. 连接数据库 13 8. 疑难解答 13 9. Wallet管理方案 16 10. 参考文献 17 1. 配置简介

目录 1. 引言 2. 了解https、证书、openssl及keytool 2.1 https 2.1.1 什么是https 2.1.2 https解决什么问题 2.2 证书 2.2.1 证书内容 2.2.2 验证证书过程 2.2.3 证书种类 2.3 openssl 2.4 keytool 3. 自签证书 3.1 证书生成过程 3.1.1 自建CA证书 3.1.2 CA签发服务端证书 3.1.3 证书存入keystore文件 3.2 证书生成注意事项 4. 后端springboot工程添加https访问 4.1 springboot工程添加ssl配置项 4.2 添加内置tomcat的http转发https 5. 前端apache添加https访问 5.1 apached.conf添加ssl支持 5.1.1 启用需要的模块 5.1.2 引入ssl配置 5.1.3 修改配置Directory 5.2 httpd-ssl.conf 添加ssl配置 5.3 添加http转发https 5.4 访问后端接口地址添加https地址 6. 客户端添加证书 7. 总结 参考资料 往期文章 一句话概括：现在网站访问基本都需要使用https访问，否则浏览器就会报不安全提示，本文针对springboot+apache前后端分离的项目的https设置与部署进行说明。 1. 引言 当前访问互联网上的应用

前言 该篇博文为工作总结，暂时记录的知识点有 ：鄙人对https的拙见， windows 使用openssl 生成没有获取认证的证书（主要适用于平时练习）tomact 及nginx 对https的配合部分转发的配置，以及android请求后台添加ssl认证等小白知识点。本篇文章 大约需要耗时 20分钟。 1.https拙见 HTTPS相当于HTTP的安全版本，在HTTP的基础上添加SSL(Secure Socket Layer)，SSL主要负责安全。 SSL 主要作用 1. 认证用户和服务器，确保数据发送到正确的客户机和服务器；(验证证书) 2. 加密数据以防止数据中途被窃取；（加密） 3. 维护数据的完整性，确保数据在传输过程中不被改变。（摘要算法） HTTPS流程 HTTPS在传输数据之前需要客户端（浏览器）与服务端（网站）之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。 老大掏钱 我要数字证书（公司没钱，自己想办法。。。） 权威机构发放 数字证书 （本地使用openssl 生成证书） 服务端部署 数字证书 （本地配置在nginx 中） 客户端请求 服务端 生成一对非对称加密的密钥对，然后把公钥发给客户端 客户端 收到公钥，生成一个随机数，作为上图中那一把密钥，用刚才收到的公钥加密这个密钥 客户端 发给 服务器。（儿子接着 我的密钥） 服务端 收到加密后的密钥

1. 安装 nginx 1.1 nginx 包及其依赖包下载 出于模块的依赖性，Nginx 依赖以下三个包： gzip 模块需要 zlib 库( http://www.zlib.net/ )； rewrite 模块需要 pcre 库( http://www.pcre.org/ )； ssl 功能需要 openssl 库( http://www.openssl.org/ )； 分别下载它们的最新稳定版(截至本文最新稳定版分别是 zlib-1.2.8.tar.gz、pcre-8.36.tar.gz、openssl-fips-2.0.9.tar.gz)，最后下载 Nginx 最新( http://nginx.org/en/download.html )稳定版(截至本文最新稳定版是 nginx-1.7.10.tar.gz)。 依赖包安装次序为：openssl、zlib、pcre，最后安装 Nginx 包。 1.2 nginx 包及其依赖包安装 1.2.1 安装 openssl $ tar -zxvf openssl-fips-2.0.9.tar.gz $ cd openssl-fips-2.0.9 $ ./config $ make $ sudo make install 1.2.2 安装 zlib $ tar -zxvf zlib-1.2.8.tar.gz $ cd zlib-1.2.8

1. 安装 nginx 1.1 nginx 包及其依赖包下载 出于模块的依赖性，Nginx 依赖以下三个包： gzip 模块需要 zlib 库( http://www.zlib.net/ )； rewrite 模块需要 pcre 库( http://www.pcre.org/ )； ssl 功能需要 openssl 库( http://www.openssl.org/ )； 分别下载它们的最新稳定版(截至本文最新稳定版分别是 zlib-1.2.8.tar.gz、pcre-8.36.tar.gz、openssl-fips-2.0.9.tar.gz)，最后下载 Nginx 最新( http://nginx.org/en/download.html )稳定版(截至本文最新稳定版是 nginx-1.7.10.tar.gz)。 依赖包安装次序为：openssl、zlib、pcre，最后安装 Nginx 包。 1.2 nginx 包及其依赖包安装 1.2.1 安装 openssl $ tar -zxvf openssl-fips-2.0.9.tar.gz $ cd openssl-fips-2.0.9 $ ./config $ make $ sudo make install 1.2.2 安装 zlib $ tar -zxvf zlib-1.2.8.tar.gz $ cd zlib-1.2.8

为什么需要https HTTP是明文传输的，也就意味着，介于发送端、接收端中间的任意节点都可以知道你们传输的内容是什么。这些节点可能是路由器、代理等。 举个最常见的例子，用户登陆。用户输入账号，密码，采用HTTP的话，只要在代理服务器上做点手脚就可以拿到你的密码了。 用户登陆 –> 代理服务器（做手脚）–> 实际授权服务器 在发送端对密码进行加密？没用的，虽然别人不知道你原始密码是多少，但能够拿到加密后的账号密码，照样能登陆。 HTTPS是如何保障安全的 HTTPS其实就是 secure http 的意思啦，也就是HTTP的安全升级版。稍微了解网络基础的同学都知道，HTTP是应用层协议，位于HTTP协议之下是传输协议TCP。TCP负责传输，HTTP则定义了数据如何进行包装。 HTTP –> TCP （明文传输） HTTPS相对于HTTP有哪些不同呢？其实就是在HTTP跟TCP中间加多了一层加密层 TLS/SSL 。 神马是TLS/SSL？ 通俗的讲，TLS、SSL其实是类似的东西，SSL是个加密套件，负责对HTTP的数据进行加密。TLS是SSL的升级版。现在提到HTTPS，加密套件基本指的是TLS。 传输加密的流程 原先是应用层将数据直接给到TCP进行传输，现在改成应用层将数据给到TLS/SSL，将数据加密后，再给到TCP进行传输。 大致如图所示。 就是这么回事。将数据加密后再传输

https详解 目前大部分大型网站已经全部切换到了 https 服务，所以很有必要了解整个 https 的原理， https 是如何保证信息安全的。这里希望大家对以下部分名词有一定的了解： 数字证书 是互联网通信中的身份标识(主要是用户身份信息和公钥)，一般由CA中心颁发，既CA认证中心，或第三方权威机构。数字证书上通常包括：CA的签名，证书所有人的公钥，CA中心的签名算法，指纹以及指纹算法，证书的唯一编号，版本，有效期等。 数字签名、签名算法 对信息的摘要【通过 hash算法 / 摘要算法 / 指纹算法 计算的信息 摘要 / hash值 】使用签名算法进行加密，得到的密文就叫做数字签名 指纹、指纹算法/摘要算法【hash值计算】 对消息使用 hash算法/摘要算法 进行单向处理，获取一个固定长度的信息的 摘要/hash值 。 非对称加密 可以使用公钥、私钥分解进行对应的加密、解密的算法，即加解密使用的是不同的一堆秘钥。 对称加密 使用相同秘钥进行加解密的算法 公钥、私钥 非对称加解密的一对秘钥。 https服务部署过程和原理 了解 https 的原理，最好的方法就是走一遍流程，理论上的流程和原理通过以下几点来解释： 证书申请 证书信任 密文通信 证书的获取 https 的关键之一就是 ssl 证书，为了保证证书的安全有效性，在各类委员会/厂商之间合作

加密：加密与解密是同一秘钥称为对称加密，用公钥加密、用私钥解密称为非对称加密。 CA：证书中心"（certificate authority，简称CA），为需认证的公钥做认证的机构。CA用自己的私钥（标记为CA私钥）对需认证的公钥（如公钥AB）和相关信息进行加密，就生成数字证书。数字证书要用CA提供的公钥（标记为CA公钥）解密，这样就可以得到被认证的公钥与相关信息。 （A方）加签：先用Hash函数对数据生成数据的摘要，再使用私钥（标记为私钥AB），对这个摘要加密，就生成数字签名。将这个数字签名和数据一起发送给B方，称为“加入数字签名”过程，简称加签。 （B方）验签：收到A方的数字签名和数据后，取出数字签名，用公钥（标记为公钥AB）解密，如果能得到摘要信息，说明的确是持有与该公钥匹配的私钥的发送方（A方）发出。对收到的数据使用Hash函数生成摘要，将得到的摘要结果，与解密出来的摘要进行对比。如果两者一致，就证明数据未被修改过。这个过程称为验证数字签名，简称验签。 比较复杂的情况是，B方持有公钥AB被C方的流氓软件篡改为公钥BC，但B方还不知道被篡改了。若C方发送它生成的数字签名和数据到B方，B方用被篡改的公钥能解密出摘要并且对比摘要信息也没问题，则B方会误认为该数据和数字签名还是A方发出。所以需要CA对公钥AB和相关信息做成数字证书，A方向B方传输数据时，不仅附上A方数据签名

作者：浩哥的日常 链接：https://zhuanlan.zhihu.com/p/89905893 来源：知乎 著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。 TLS 传输层安全性协定 TLS（Transport Layer Security），及其前身安全套接层 SSL（Secure Sockets Layer）是一种安全协议，目的是为网际网路通信，提供安全及数据完整性保障。 如图， TLS 在建立连接时是需要 客户端发送 ClientHello（包含支持的协议版本、加密算法和 随机数A (Client random) ）到服务端 服务端返回 ServerHello、公钥、证书、 随机数B (Server random) 到客户端 客户端使用CA证书验证返回证书无误后。生成 随机数C (Premaster secret) ，用公钥对其加密，发送到服务端 服务端用 私钥 解密得到 随机数C (Premaster secret) ，随后根据已经得到的 随机数ABC生成对称密钥（hello的时候确定的加密算法） ，并对需要发送的数据进行对称加密发送 客户端使用对称密钥（客户端也用随机数ABC生成对称密钥）对数据进行解密。 双方手持对称密钥 使用对称加密算法通讯 而这一流程 服务端的证书 是至关重要的。 证书 证书用来证明公钥拥有者身份的凭证 首先我们需要知道

本文是《计算机网络》的自学课程，视频地址为： https://www.bilibili.com/video/av47486689。仅做个人学习使用，如有侵权，请联系删除 第七章：网络安全 安全分类 安全有： 数据安全（对文件的访问、储存） 应用程序安全（要确保应用程序是安全的） 操作系统安全（操作系统漏洞，要定时升级、设置用户权限） 网络安全：网络传输信息时的安全 物理安全 用户安全教育 本课程主要关注网络安全 网络安全问题概述 CAIN软件截获信息、篡改信息 CAIN只能对本网段起作用。 使用的原理依然是ARP欺骗 DNS劫持（修改DNS解析的结果） 如果交换机支持监视端口的功能的话，将该设备设置为内网的监视端口设备也能做的这样的效果 CAIN必须结合抓包工具来实现 CAIN只保留账号密码信息 DNS欺骗： DNS常常被用来做钓鱼网站 伪造 伪造身份，从而得以访问有访问控制的资源 例如设置网站只有特定ip才能访问： 直接访问就是这样的： 一般冒充设备要等到原设备关机等时候，防止出现冲突、露出马脚 这个不需要其他软件，直接改ip等就可以 中断 来源： https://baike.baidu.com/item/DoS%E6%94%BB%E5%87%BB DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击