OpenSSL

ppt中可能涉及的重点 通过密码散列函数可以实现保护明文X的完整性，防止报文被篡改。MD5 实现的报文鉴别可以防篡改， 但不能防伪造 ，因而不能真正实现报文鉴别，所以需要 报文鉴别码MAC 。 报文鉴别码MAC指对散列进行一次加密后的结果，对称加密体制下可以 防伪造 ，非对称加密体制下可以 防伪造，防否认 （ppt3） 数字签名的实现过程：（ppt3） 如何解决重放攻击？（ppt4-12） 引入随机数，登录时验证随机数和密码。 进一步地，引入 消息摘要 和 加解密 。 IP 欺骗 ：A和B通信，C 可以截获 A 的 IP 地址，然后把 A 的 IP 地址冒充为自己的 IP 地址发送给B。（ppt4-18） 中间人攻击 密码在数据库中应该 加密存储 （ppt4-24） 因为无线局域网的开放性，任何终端均可对局域网内的其他终端发送接收，于是产生了冒充授权终端，窃取数据，和篡改数据的三个问题，所以 无线局域网安全技术 就是实现终端 身份鉴别 、 数据加密 和 完整性检测 的技术（ppt5-9） 冒充授权终端：接入控制功能 窃取数据： 加密数据 篡改数据： 检测数据完整性 伪随机数生成器（ PRNG）的特性：（ppt5-19） 一是不同的输入产生不同的一次性密钥 二是伪随机数生成器（ PRNG）是一个单向函数 只允许授权用户接入以太网是抵御黑客攻击的关键步骤。 以太网交换机

一、三次握手四次挥手 1、三次握手 所谓三次握手（Three-Way Handshake）即建立TCP连接，就是指建立一个TCP连接时，需要客户端和服务端总共发送3个包以确认连接的建立。 (1)第一次握手：Client将标志位SYN置为1，随机产生一个值seq=J，并将该数据包发送给Server，Client进入SYN_SENT状态，等待Server确认。 (2)第二次握手：Server收到数据包后由标志位SYN=1知道Client请求建立连接，Server将标志位SYN和ACK都置为1，ack=J+1，随机产生一个值seq=K，并将该数据包发送给Client以确认连接请求，Server进入SYN_RCVD状态。 (3)第三次握手：Client收到确认后，检查ack是否为J+1，ACK是否为1，如果正确则将标志位ACK置为1，ack=K+1，并将该数据包发送给Server，Server检查ack是否为K+1，ACK是否为1，如果正确则连接建立成功，Client和Server进入ESTABLISHED状态，完成三次握手，随后Client与Server之间可以开始传输数据了。 2、四次挥手 所谓四次挥手（Four-Way Wavehand ）即终止TCP连接，就是指断开一个TCP连接时，需要客户端和服务端总共发送4个包以确认连接的断开。 由于TCP连接时全双工的，因此

Linux与网络服务（一）网络服务相关概念通俗解释（科普向） 前言 专业名词及概念的通俗解释 云服务器 云/云服务 云计算 弹性伸缩 负载均衡 公网IP 域名/域名备案 端口 SSH（安全外壳协议）/远程连接 CPU架构 HTTP/HTTPS/WWW服务/Web服务 LNMP/LAMP环境 静态网页/动态网页 Q&A部分 为什么要使用Linux系统做服务器？ 搭建自己的网站，完整的流程是什么？ 上述流程全部进行完后，我就可以设计自己的网站了吗？ 前言   由于Linux系统的自由、安全可靠和强大性能，无论是需要长时间在线的网络服务器，还是本地连接的科学计算用服务器，Linux系统在服务器领域操作系统是绝对的霸主。服务器除了我们最常见的建设网站功能外，还能发挥很多作用。对于刚接触的朋友，在Linux与网络服务中新概念众多，一个概念的解释往往又牵扯到了好几个概念，晦涩的专业词汇众多很容易打击人进一步了解的欲望。在这篇文章，作者想用自己的理解把这些概念通俗地解释一下，希望能够让初学者初步认识一些Linux与网络服务的相关概念，水平有限，如果有表达不妥之处请大家指出，我会认真纠正。 专业名词及概念的通俗解释 云服务器   云服务器是一个“虚拟”的服务器，和它相对的就是实体服务器。实体服务器例如华为云提供的“裸金属服务器”，如果购买的话会给你一个真正的服务器主机，而云服务器在云服务提供商

秘钥登录首先要了解四个文件: 公钥文件,私钥文件, authorized_keys, 还有/etc/ssh/sshd_config配置文件. 公钥文件存放在被登陆的机器上, 要将公钥添加进authorized_keys文件中, 后面在拥有私钥的机器上登录配置了公钥的机器就可以直接登录了 生成秘钥 通过ssh-keygen可以生成秘钥 此时在家目录下的.ssh文件夹下生成了两个文件id_rsa(私钥) 和id_rsa.pub(公钥) 发送秘钥 可以通过scp命令将公钥发送至指定服务器, scp id_rsa.pub root@192.168.121.131:/root/.ssh/ 也可以通过ssh-copy-id命令 ssh-copy-id 192.168.121.131 ssh-copy-id会直接将内容放到authorized_keys文件中, 而scp命令还要自己导入authorized_keys 这样一来拥有秘钥的主机就可以不使用密码来登录其他主机了. xshell也可以通过秘钥连接, 在主机生成公钥秘钥, 将秘钥发送至windows, 把公钥写authorized_keys,后面就可以通过秘钥连接服务器了 配置文件 /etc/ssh/sshd_config是ssh的配置文件 其中要注意以下几项 开启密钥登录功能： RSAAuthentication yes

1. 申请证书 在Windows 2016的IIS中申请通配符证书，产生req文件，通过将req文件复制到godaddy.com上面申请证书。 申请证书时需要验证域名所有权，需要 admin@contoso.com 的邮箱才可以验证，请提前准备。 在Godaddy上面验证通过后，下载IIS模板证书。 将证书在Windows IIS证书中导入Cer结尾的文件。 2. 导出证书 在Windows 2016的IIS中将证书导出为pfx，记得设置密码。 3. 转换证书（pfx转key和crt）【转换前，请安装软件Win32OpenSSL-1_1_0h.msi】 开始-运行-CMD【将生成的证书pfx复制到C:\OpenSSL-Win32\bin目录中】 CD c:\OpenSSL-Win32\bin> set OPENSSL_CONF=openssl.cnf 转换第一张pfx证书： openssl pkcs12 -in i-x-Cloud.com_20210103.pfx -nodes -out server_i-x-Cloud.com.pem openssl rsa -in server_i-x-Cloud.com.pem -out server_i-x-Cloud.com.key openssl x509 -in server_i-x-Cloud.com.pem -out server

1. 下载安装编译工具 yum groupinstall ' Development Tools ' 2.安装依赖包 yum install libxml2 libxml2-devel openssl openssl-devel bzip2 bzip2-devel libcurl libcurl-devel libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel gmp gmp-devel libmcrypt libmcrypt-devel readline readline-devel libxslt libxslt-devel zlib zlib-devel glibc glibc-devel glib2 glib2-devel ncurses curl gdbm-devel db4-devel libXpm-devel libX11-devel gd-devel gmp-devel expat-devel xmlrpc-c xmlrpc-c-devel libicu-devel libmcrypt-devel libmemcached-devel 3.下载并解压php7.4 wget http://php.net/distributions/php-7.4.0.tar.gz tar -zxvf php

要使用加密和解密功能，您需要在JVM中安装全面的JCE（默认情况下不存在）。您可以从Oracle下载“Java加密扩展（JCE）无限强度管理策略文件”，并按照安装说明（实际上将JRE lib / security目录中的2个策略文件替换为您下载的文件）。 如果远程属性源包含加密内容（以 {cipher} 开头的值），则在通过HTTP发送到客户端之前，它们将被解密。这种设置的主要优点是，当它们“静止”时，属性值不必是纯文本（例如在git仓库中）。如果值无法解密，则从属性源中删除该值，并添加具有相同键的附加属性，但以“无效”作为前缀。和“不适用”的值（通常为“<n / a>”）。这主要是为了防止密码被用作密码并意外泄漏。 如果要为config客户端应用程序设置远程配置存储库，可能会包含一个 application.yml ，例如： application.yml spring: datasource: username: dbuser password: '{cipher}FKSAJDFGYOS8F7GLHAKERGFHLSAJ' properties文件中的加密值不能用引号括起来，否则不会解密该值： application.properties spring.datasource.username: dbuser spring.datasource.password: {cipher

前置知识 SSL是90年代Netscape弄出来的一套东西，为的是解决HTTP协议明文传输数据的问题。后来SSL慢慢成了事实上的标准，于是IETF就把SSL标准化了，名字叫做TLS，TLS 1.0其实就是SSL 3.1。所以SSL和TLS经常被放在一起写成SSL/TLS，因为这两个名词在现在其实就是同一个东西。HTTPS是使用TLS的HTTP协议。 证书以及信任链 我们知道，HTTPS的网站都有一个自己的证书，用于表明自己的身份。证书本质上是为了让公钥能可信的传输。公钥是放在证书里面的，如果证书可信，那么公钥就也是可信的。那为什么一个公钥是可信的呢？这就要说到信任链和CA。CA指的是Certificate Authority，CA都是权威机构，他们的证书叫做根证书，这些根证书被操作系统信任，根证书信任的证书也是可信的。因此权威机构颁发的证书都能被操作系统信任，这就组成了信任链。 这里以RSA密钥交换算法为例为例，CloudFlare提供Keyless服务，把网站放到它们的CDN上，不用提供自己的私钥，也能使用SSL加密链接。 https加密解密过程 ： 客户端 发起https请求 到服务端（服务器端要一套数字证书，可以自己制作，也可以向组织申请），向服务器端索要公钥。 发送的信息一般带上： 客户端生成的一个随机值 支持的SSL/TSL协议的版本号 所支持的加密算法 Session

由于传统的PPP连接是创建在串行链路或拨号时创建的ATM虚电路连接上的，所有的PPP帧都可以确保通过电缆到达对端。但是以太网是多路访问的，每一个节点都可以相互访问。以太帧包含目的节点的物理地址（ MAC地址 ），这使得该帧可以到达预期的目的节点。 因此，为了在以太网上创建连接而交换PPP控制报文之前，两个端点都必须知道对端的MAC地址，这样才可以在控制报文中携带MAC地址。PPPoE发现阶段做的就是这件事。除此之外，在此阶段还将创建一个会话ID，以供后面交换报文使用。 PPPoE由于采用了二层链路方式，因为PPPoE认证是采用广播方式，PPPoE是一种2层链路技术，正常下无法穿透三层交换机，若要在三层交换机传输，就必须做trunk，即把三层当作二层交换机使用。 配置解释： vpnd enable 开启VPND拨号网络 vpdn-group ppoe-group 创建虚拟装用网拨号网络组ppoe-group accept-dialin 接受拨号接入 protocol pppoe 设置拨号协议为pppoe virtual-template 1 拨号组使用拨号模板接口1 pppoe limit per-mac 1 #限止连接的mac数。可以不加 pppoe limit per-vc 500 pppoe limit per-vlan 300 #每个VLAN允许300个用户拨入 ip