ssl证书

以下是 Tomcat 配置 PXF 格式证书说明，本文档以 Tomcat8 为例。 1、 将下载的证书解压，解压后有两个文件，文件名称可以修改 ； 证书文件（ xxx.pfx）：以.pfx为后缀或文件类型。 密码文件（ pfx-password.txt）：以.txt为后缀或文件类型。 2、 在 Tomcat 安装目录下新建 cert 目录，将解压的证书和密码文件拷贝到 cert 目录下 ； 3、 修改配置文件 server.xml， 找到 <Connector port="443" 标签，按如下修改 ； <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="xxx.pfx" keystoreType="PKCS12" keystorePass="证书密码" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC

listen 80; listen 888 ssl; listen 443 ssl; server_name www.xxx.com xxx.com; ssl_certificate_key xxx.com.key; ssl_certificate xxx.com.crt; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM; ssl_prefer_server_ciphers on; error_page 497 https://$host:$server_port$request_uri; charset utf-8; if ($scheme = http ) { return 301 https://$host$request_uri; } 来源： 51CTO 作者： 薛文昌 链接： https://blog.51cto.com/982439641/2484163

#CA生成一对密钥 [root@localhost ~]# cd /etc/pki/CA [root@localhost CA]# ls certs crl newcerts private [root@localhost CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048) Generating RSA private key, 2048 bit long modulus .....+++ ............................+++ e is 65537 (0x10001) [root@localhost CA]# openssl rsa -in private/cakey.pem -pubout writing RSA key -----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4f3NOf/sGr3QEWGShWNP 4xoJPNYpsoBhUuRSPGRmuSYiJCtxplDVTNzUCLssKCCdl2sM3ijBa+Pelju3w8a5 iq9LgAVYKNsOjCdyN5PsAroQRAmdHANPlRfnJj/u3tNRKDlEP7pEuI1nKzZyykkU ION1ni7o

内容概览： 如果希望 Tomcat 支持 Https，主要的工作是配置 SSL 协议 1.生成安全证书 2.配置tomcat --------------------------------------------------------------------------------------------------------------------------- 预备知识： sso cas ssl https ca --------------------------------------------------------------------------------------------------------------------------- 环境： 1. Java 1.7 2.tomcat 8.0.24 --------------------------------------------------------------------------------------------------------------------------- 生成安全证书： 1. Java 环境：因为SUN公司提供了制作证书的工具keytool。 在JDK 1.4以后的版本中都包含了这一工具，它的位置为<JAVA_HOME>\bin\keytool.exe。 2

3 月，跳不动了？>>> 第一步 登录腾讯云，我靠兄弟你没搞错吧，是的，得登录，哎。 第二步 进入控制台 打开 云产品 > 域名与网站 > SSL 证书管理 点击 购买证书 选择证书类型 填写信息，下一步 域名身份验证 云解析本身就在腾讯云 云解析在其他网站，以阿里云为例 阿里云添加TXT解析 添加解析记录 这里我的域名解析在腾讯云，选择了自动DNS验证。点击 确认申请 等待验证通过，下载证书 部署对应证书版本到服务器 证书申请完毕。 来源： oschina 链接： https://my.oschina.net/u/2519486/blog/1843086

7. 在HTTP协议中有可能存在信息窃听或身份伪装等安全问题。使用HTTPS通信机制可以有效地防止这些问题。 HTTP的缺点： 通信使用明文（不加密），内容可能会被窃听。 不验证通信方的身份，因此有可能遭遇伪装。 无法证明报文的完整性，所以有可能已遭篡改。 加密处理防止窃听：分通信的加密、内容的加密 通信的加密： HTTP协议中没有加密机制，但可以通过和SSL（Secure Socket Layer，安全套接层）或TLS（Transport Layer Security，安全层传输协议）的组合使用，加密HTTP的通信内容。 用SSL建立安全通信线路之后，就可以在这条线路上进行HTTP通信了。与SSL组合使用的HTTP被称为HTTPS（HTTP Secure，超文本传输安全协议）或HTTP over SSL。 内容的加密： 还有一种将参与通信的内容本身加密的方式。由于HTTP协议中没有加密机制，那么就对HTTP协议传输的内容本身加密。即把HTTP报文里所含的内容进行加密处理。 这种情况下，客户端需要对HTTP报文进行加密处理后再发送请求。 为了做到有效的内容加密，前提是要求客户端和服务器同时具备加密和解密机制。 不验证对方通信的身份： HTTP协议的实现本身非常简单，不论是谁发送过来的请求都会返回响应，因此不确认通信方，会存在以下各种隐患：

某厂面试归来，发现自己落伍了！>>> 之前的方式只是实现1:1的模式，昨天同事继续实现了n:1的模式，这里我再整理记录下。 由于nginx的ssl_client_certificate参数只能指定一个客户端公钥，如果增加一个客户端进行通信就要重新配一个server。 n:1的模式是通过CA的级联证书模式实现的，首先 自己 生成一套CA根级证书，再借助其生成二级证书作为client证书。 此时client私钥签名不仅可以通过对应的client公钥验证，还可通过根证书的公钥进行验证。 看到这里应该豁然开朗了吧，下面简单介绍下具体怎么操作： 1 准备工作 1.1 openssl目录准备 一般情况下openssl的配置文件都在这个目录 /etc/pki/tls ，so： mkdir /etc/pki/ca_linvo cd /etc/pki/ca_linvo mkdir root server client newcerts echo 01 > serial echo 01 > crlnumber touch index.txt 1.2 openssl配置准备 修改openssl配置 vi /etc/pki/tls/openssl.cnf 找到这句注释掉，替换为下面那句 #default_ca = CA_default default_ca = CA_linvo 把 [ CA

　　 内容概览： 如果希望 Tomcat 支持 Https，主要的工作是配置 SSL 协议 1.生成安全证书 2.配置tomcat --------------------------------------------------------------------------------------------------------------------------- 预备知识： sso cas ssl https ca --------------------------------------------------------------------------------------------------------------------------- 环境： 1.java 1.6 2.tomcat 6_0_26 --------------------------------------------------------------------------------------------------------------------------- 生成安全证书： 1.java环境：因为SUN公司提供了制作证书的工具keytool。 在JDK 1.4以后的版本中都包含了这一工具，它的位置为<JAVA_HOME>\bin\keytool.exe。 2

配置要求： client:192.168.4.10 proxy:192.168.4.5(eth0) 192.168.2.5(eth1) web1:192.168.2.100 web2:192.168.2.200 1.1 搭建nginx服务器 proxy: ]# yum -y install gcc pcre-devel openssl-devel ]# useradd -s /sbin/nologin nginx ]# ./configure \（安装包内） > --prefix=/usr/local/nginx \ > --user=nginx \ > --group=nginx \ > --with-http_ssl_module //开启SSL加密功能 ]# make && make install ]# systemctl stop httpd ]# systemctl disable httpd ]# ln -s /usr/local/nginx/sbin/nginx /sbin/ ]# nginx ]# netstat -anptu | grep nginx ]# curl http://192.168.4.5 1.2 升级nginx服务器 ]# nginx -s stop ]# mv /usr/local/nginx/sbin/nginx /usr/local

创建加密用的私钥和证书文件 [root@localhost ~]# keytool -genkeypair -alias tomcat -keyalg RSA -keystore /usr/local/tomcat8/keystore 输入密钥库口令: 再次输入新口令: 您的名字与姓氏是什么? [Unknown]: crushlinux 您的组织单位名称是什么? [Unknown]: cloud 您的组织名称是什么? [Unknown]: cloud 您所在的城市或区域名称是什么? [Unknown]: beijing 您所在的省/ 市/ 自治区名称是什么? [Unknown]: haidian 该单位的双字母国家/ 地区代码是什么? [Unknown]: CN CN=crushlinux, OU=cloud, O=cloud, L=beijing, ST=haidian, C=CN 是否正确? [ 否]: y 输入 <tomcat> 的密钥口令 ( 如果和密钥库口令相同, 按回车): 再次输入新口令: Warning: JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore /usr/local/tomcat8/keystore -destkeystore /usr/local/tomcat8/keystore