ca中心

Kuerbernetes 1.11 二进制安装 标签（空格分隔）： k8s 2019年06月13日 本文截选 https://k.i4t.com 更多文章请持续关注https://i4t.com 什么是Kubernetes？ Kubernetes是一个完备的分布式系统支撑平台。Kubernetes具有完备的集群管理能力，包括多层次的安全防护和准入机制/多租户应用支撑能力、透明的服务注册和服务发现机制、内建智能负载均衡器、强大的故障发现和自我修复功能、服务滚动升级和在线扩容能力、可扩展的资源自动调度机制，以及多粒度的资源配额管理能力。同时kubernetes提供了完善的管理工具，这些工具覆盖了包括开发、测试部署、运维监控在内的各个环节；因此kubernetes是一个全新的基于容器技术的分布式架构解决方案，并且是一个一站式的完备的分布式系统开发和支撑平台 ###Kubernetes 基础服务简介 在这里我们只是简单的介绍一下Kubernetes基础组件,后面文章会有详细介绍！ </br> </br> </br> ####Kubernetes Service 介绍 Service(服务)是分布式集群架构的核心，一个Server 对象拥有如下关键特征 (1) 拥有一个唯一指定的名字(比如mysql-server) (2) 拥有一个虚拟IP (Cluster IP、Service

----------------------------------------------------SSL/TLS 介绍----------------------------------------------------------------------------------- 一: SSL/TLS 介绍 SSL 是安全套接层 (secure sockets layer)， TLS 是 SSL 的继任者，叫传输层安全 (transport layer security)。 在明文的上层和 TCP 层之间加上一层加密，这样就保证上层信息传输的安全。如 HTTP 协议是明文传输，加上 SSL 层之后，就有了雅称 HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。 SSL协议实现的安全机制包括： 数据传输的机密性：利用对称密钥算法对传输的数据进行加密。 身份验证机制：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证是可选的。 消息完整性验证：消息传输过程中使用MAC算法来检验消息的完整性。为了避免网络中传输的数据被非法篡改，SSL利用基于MD5或SHA的MAC算法来保证消息的完整性。 ----------------------------------------------------SSL/TLS 版本-----------------

来源： http://www.study-code.com/server/maintain/75651.htm 安全套接字层 (SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器 之间建立安全通信通道。它也可以在客户端应用程序和 Web 服务之间使用。为支持 SSL 通信，必须为 Web 服务器 配置 SSL 证书。本文介绍如何获取 SSL 证书，以及如何配置 Microsoft® Internet 信息服务 ( IIS )，以便支持 Web 浏览器和其他客户端应用程序之间使用 SSL 安全地进行通信。 一般情况下按照下文中SOP去做是不会有问题的，但是我碰到一个怪问题，安装CA后并没有在 IIS 中产生对应提交证书事情用的虚拟目录，网上搜了好久也没有找到原因，以为是添加CA组件有问题。这时候想起MCSE等证书也许可以帮到的哦，可惜我没有去学。 可能碰到的问题：没有CA认证服务 CA认证服务是Windows的一项服务，在Windows组件安装就好了。 安装了CA后 在IE中访问http://hostname/CertSrv提交证书请求时找不到网页 不要紧 在windows系统路径查找certSrv文件夹，把那个文件夹加到 IIS 虚拟目录（ IIS 都没有？ 那搞什么SSL啊，先安装一个吧）,再访问就可以按照下文操作了

预备： 一、密码基元 二、密钥管理 三、PKI本质是把非对称密钥管理标准化 PKI 是 Public Key Infrastructure 的缩写，其主要功能是绑定证书持有者的身份和相关的密钥对（通过为公钥及相关的用户身份信息签发数字证书），为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径，并利用数字证书及相关的各种服务（证书发布，黑名单发布，时间戳服务等）实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。 数字证书分类 一、 什么是PKI？ 官方定义：PKI是Public Key Infrastructure的首字母缩写，翻译过来就是公钥基础设施；PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI技术是一种遵循既定标准的密钥管理平台，它的基础是加密技术，核心是证书服务，支持集中自动的密钥管理和密钥分配，能够为所有的网络应用提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。 通俗理解：PKI就是利用公开密钥理论和技术建立提供安全服务的、具有通用性的基础设施，是创建、颁发、管理、注销公钥证书所涉及的所有软件、硬件集合体，PKI可以用来建立不同实体间的"信任"关系，它是目前网络安全建设的基础与核心。PKI的主要任务是在开放环境中为开放性业务提供基于非对称密钥密码技术的一系列安全服务，包括身份证书和密钥管理、机密性

前言 这篇主要介绍HTTP服务程序环境 可能有一些介绍不到，博主能力有限，欢迎大神来纠正改进 HTTP协议从http/0.9到如今的http/2.0中间发生了很大的改变，现在主流的事http/1.1 在很多面试当主就会问起http协议各个版本的不同之处，这里就不介绍它们之间的区别了，有想要了解的可以百度下，面试的时候看下 HTTP工作机制： http请求：http request http响应：http response 一次http事务：请求<-->响应 在上篇中基本简单说了下 https://www.cnblogs.com/xsuid/p/9451811.html http服务器程序： httpd apache nginx lighttpd Httpd介绍 httpd： 20世纪90年代初，国家超级计算机应用中心NCSA开发 特性： 高度模块化：core + modules DSO: Dynamic Shared Object 动态加/卸载 MPM：multi-processing module多路处理模块 MPM工作模式 prefork： 1、多进程I/O模型，每个进程响应一个请求，默认模型 2、个主进程：生成和回收n个子进程，创建套接字，不响应请求 3、多个子进程：工作work进程，每个子进程处理一个请求；系统初始时，预先生成多个空闲进程，等待请求，最大不超过1024个

kube-APIserver组件介绍 kube-APIserver提供了k8s各类资源对象（pod,RC,Service等）的增删改查及watch等HTTP Rest接口，是整个系统的数据总线和数据中心。 kube-APIserver的功能 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更) 提供其他模块之间的数据交互和通信的枢纽（其他模块通过API Server查询或修改数据，只有API Server才直接操作etcd） 是资源配额控制的入口 拥有完备的集群安全机制 kube-apiserver工作原理图 kubernetes API的访问 k8s通过kube-apiserver这个进程提供服务，该进程运行在单个k8s-master节点上。默认有两个端口 本地端口 该端口用于接收HTTP请求 该端口默认值为8080，可以通过API Server的启动参数“--insecure-port”的值来修改默认值 默认的IP地址为“localhost”，可以通过启动参数“--insecure-bind-address”的值来修改该IP地址 非认证或授权的HTTP请求通过该端口访问API Server 安全端口 该端口默认值为6443，可通过启动参数“--secure-port”的值来修改默认值 默认IP地址为非本地（Non-Localhost）网络端口

一、概述 PKI是“Public Key Infrastructure”的缩写，意为“公钥基础设施”。简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。目前，公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。 PKI似乎可以解决绝大多数网络安全问题，并初步形成了一套完整的解决方案，它是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务的具有普适性的安全基础设施。该体系在统一的安全认证标准和规范基础上提供在线身份认证，是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。作为一种技术体系，PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。但PKI绝不仅仅涉及到技术层面的问题，还涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题。PKI作为国家信息化的基础设施，是相关技术、应用、组织、规范和法律法规的总和，是一个宏观体系，其本身就体现了强大的国家实力。PKI的核心是要解决信息网络空间中的信任问题

http基本概念 http是一个无状态 ，无连接的基于TCP协议的单向应用层协议 一、无连接 无连接即每次链接只处理一个请求，请求和应答后就断开链接 二、无状态 http的每次请求都是独立的，不相关的，协议对事物处理没有记忆功能。 HTTP无状态的特性严重阻碍了这些交互式应用程序的实现，毕竟交互是需要承前启后的，简单的购物车程序也要知道用户到底在之前选择了什么商品。于是，两种用于保持HTTP状态的技术就应运而生了，一个是Cookie，而另一个则是Session。 HTTP请求报文 HTTP请求报文由3部分组成（报文行+报文头+报文体）： 常见的HTTP响应报文头属性 Cache-Control 响应输出到客户端后，服务端通过该报文头属告诉客户端如何控制响应内容的缓存。 常见的取值有private、public、no-cache、max-age，no-store，默认为private。 private: 客户端可以缓存 public: 客户端和代理服务器都可缓存（前端的同学，可以认为public和private是一样的） max-age=xxx: 缓存的内容将在 xxx 秒后失效 no-cache: 需要使用对比缓存来验证缓存数据 no-store: 所有内容都不会缓存 默认为private，缓存时间为31536000秒（365天）也就是说，在365天内再次请求这条数据

一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具，其提供了一个通用、健壮、功能完备的工具套件，用以支持SSL/TLS 协议的实现。 官网： https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立 X.509 证书、证书签名请求(CSR)和CRLs(证书回收列表) 计算消息摘要 使用各种 Cipher加密/解密 SSL/TLS 客户端以及服务器的测试 处理S/MIME 或者加密邮件 二、RSA密钥操作 默认情况下，openssl 输出格式为 PKCS#1-PEM 生成RSA私钥(无加密) openssl genrsa -out rsa_private.key 2048 生成RSA公钥 openssl rsa -in rsa_private.key -pubout -out rsa_public.key 生成RSA私钥(使用aes256加密) openssl genrsa -aes256 -passout pass:111111 -out rsa_aes_private.key 2048 其中 passout 代替shell 进行密码输入，否则会提示输入密码； 生成加密后的内容如： -----BEGIN RSA PRIVATE

学习CA证书认证网络,记录个流水账以便日后可用 我文中使用的域名是内部的,你也可以自己搭建一个网络,使用一样的域名. 注意:三端在生成证书的时候填写的国家,省,市,组织名 这些信息要一致!除了web服务端填写的域名 终端表 终端名称 IP地址 简介 根CA 10.35.176.1 一个CA证书网络的中心,所有证书的最终信用保证 子CA 10.35.176.8 该终端需要向根CA获取一个子CA证书,该终端的主要职责是签发SSL服务端证书给数据服务端.不一定要有这个终端. web服务端 10.35.176.6(域名:linzopi.vpn) 向子CA领取一个web服务端证书.用于加密数据发给最终用户终端. 最终用户终端 10.35.176.5 数据的最终接收者,该设备向CA查询证书是否为真,以确保数据是由真正的数据服务端发出. 根CA配置 创建目录结构 mkdir /etc/pki mkdir /etc/pki/tls mkdir /etc/pki/CA mkdir /etc/pki/CA/private mkdir /etc/pki/CA/newcerts touch /etc/pki/CA/index.txt #生成证书索引数据库文件 echo 01 > /etc/pki/CA/serial #指定第一个颁发证书的序列号 写配置文件 vim /usr/lib/ssl/openssl