ssl证书

1.关于let's encrypt和acme.sh的简介 1.1 let's encrypt Let's Encrypt是一个于2015年三季度推出的数字证书认证机构，旨在以自动化流程消除手动创建和安装证书的复杂流程，并推广使万维网服务器的加密连接无所不在，为安全网站提供免费的SSL/TLS证书。 Let's Encrypt由互联网安全研究小组（缩写ISRG）提供服务。主要赞助商包括电子前哨基金会、Mozilla基金会、Akamai以及思科。2015年4月9日，ISRG与Linux基金会宣布合作。 用以实现新的数字证书认证机构的协议被称为自动证书管理环境（ACME）。GitHub上有这一规范的草案，且提案的一个版本已作为一个Internet草案发布。 Let's Encrypt宣称这一过程将十分简单、自动化并且免费 1.2 acme.sh 简单来说acme.sh 实现了 acme 协议, 可以从 let‘s encrypt 生成免费的证书。 acme.sh 有以下特点： 一个纯粹用Shell（Unix shell）语言编写的ACME协议客户端。 完整的ACME协议实施。 支持ACME v1和ACME v2 支持ACME v2通配符证书 简单，功能强大且易于使用。你只需要3分钟就可以学习它。 Let's Encrypt免费证书客户端最简单的shell脚本。 纯粹用Shell编写

title: "Lnmp + Https" date: 2019-08-28T16:18:20+08:00 draft: true --- 注：我的linux的ip地址为192.168.0.104 下载lnmp软件包 wget http://soft.vpser.net/lnmp/lnmp1.6-full.tar.gz 解压 tar -zxvf lnmp1.6-full.tar.gz 运行lnmp执行脚本 cd lnm1.6-full ./install.sh lnmp 选择数据库 输入密码，启用MySQL InnoDB 选择PHP 成功安装 访问192.168.0.104页面 在nginx的server家目录(默认是在/home/wwweoot/default)中添加一个index.php <? php phpinfo(); ?> 访问index.php,测试nginx与php是否关联 生成一个RSA密钥 mkdir /usr/local/nginx/conf/cert cd /usr/local/nginx/conf/cert openssl genrsa -des3 -out server.key 1024 根据server.key生成证书请求 openssl req -new -key server.key -out server.csr 拷贝一个不需要输入密码的密钥文件

步骤1：取得SSL凭证 证书需要取的从根证书每一级的证书 步骤2：合成SSL证书 将中级、根证书合成为一个证书 顺序：按照从后到前合成为一个证书 如，三级 ==》二级 ==》 根 合成后的格式如下 -----BEGIN CERTIFICATE----- 你的Chain內容 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/ MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmTrE4O rz5Iy2Xu

1、安装依赖 yum install ebtables ethtool iproute iptables socat util-linux wget openssl-devel -y 2、安装 docker-compose yum install epel-release -y yum install python-pip -y pip install --upgrade pip curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose chmod a+x /usr/local/bin/docker-compose docker-compose --version 修改hosts文件 笔者以下使用的域名hub.domain.com，并不是实际注册的域名，而是通过修改Hosts文件指向了这个Harbor服务器的地址，你可以修改为自己需要的域名。 [root@harbor ~]# cat /etc/hosts 127.0.0.1 localhost

zimbra在后台安装证书签发机构签发证书出现时候出现错误：{RemoteManager: mail.domain.com->zimbra@mail.domain.com:22} com.zimbra.common.service.ServiceException: system failure: exception during auth {RemoteManager: mail.domain.com->zimbra@mail.domain.com:22} ExceptionId:qtp1068934215-357:https:https ://mail.domain.com:7071/service/admin/soap/GetMailQueueRequest: Code:service.FAILURE com.zimbra.common.service.ServiceException: system failure: exception during auth {RemoteManager: mail.domain.com->zimbra@mail.domain.com:22} ExceptionId:qtp1068934215-357:https:https ://mail.domain.com:7071/service/admin/soap

文章目录 1， 生成 TLS 秘钥对 2，拷贝密钥对到所有节点 3，配置 etcd 使用证书 4，测试 etcd 是否正常 5，配置 kube-apiserver 使用 CA 连接 etcd 6，测试 kube-apiserver 7，未解决的问题 SSL/TSL 认证分单向认证和双向认证两种方式。简单说就是单向认证只是客户端对服务端的身份进行验证，双向认证是客户端和服务端互相进行身份认证。就比如，我们登录淘宝买东西，为了防止我们登录的是假淘宝网站，此时我们通过浏览器打开淘宝买东西时，浏览器会验证我们登录的网站是否是真的淘宝的网站，而淘宝网站不关心我们是否“合法”，这就是单向认证。而双向认证是服务端也需要对客户端做出认证。 因为大部分 kubernetes 基于内网部署，而内网应该都会采用私有 IP 地址通讯，权威 CA 好像只能签署域名证书，对于签署到 IP 可能无法实现。所以我们需要预先自建 CA 签发证书。 Generate self-signed certificates 官方参考文档 官方推荐使用 cfssl 来自建 CA 签发证书，当然你也可以用众人熟知的 OpenSSL 或者 easy-rsa 。以下步骤遵循官方文档： 1， 生成 TLS 秘钥对 生成步骤： 1，下载 cfssl 2，初始化证书颁发机构 3，配置 CA 选项 4，生成服务器端证书 5，生成对等证书 6

安全×××测试中，burpsuite需要抓https的包，那该如何绕过呢？ 以下有详细的方法，懒人方法是安装夜神模拟器，然后直接安装apk（先安装Xposed、再安装justtrustme） 利用xposed绕过安卓SSL证书的强校验 Xposed 下载点 JustTrustMe-apk下载点 不过以上的方法也只能抓到部分https的包，并不能完全抓取，有的请告知，谢谢。 来源： 51CTO 作者： 天之胶纸 链接： https://blog.51cto.com/10907603/2139346

一.SSL证书格式分类 1. .PFX /.P12，二进制格式，同时包含：证书 + 私钥（密码保护）。 （1）公钥在证书里。 （2）window系统将 证书（公钥） + 私钥放在一起，保存在.pfx文件中。 （3）导入.pfx证书时，默认会导入私钥，只是密钥不能再次被导出。如果导入选项中勾选“标志此密钥为可导出的密钥。这将允许你在稍后备份或传输密钥”，则密钥导入后还可以再次被导出，导出密钥时需要输入密码。 myidea： *？？银联导出要给我们的这个pfx证书时，一定勾选了密钥可导出选项，否则我们无法导出pfx文件中的私钥，对吗？ *？？当我们拿到pfx文件时，因为pfx证书文件中有 私钥 + 证书（公钥），当我们不想把公钥给别人时，有2种选择：一是在自己电脑上导入此pfx文件时，不勾选可导出密钥，则本地电脑再次导出一个pfx文件时，发送给第三方，第三方就无法获得私钥，只能从pfx文件中导出公钥了吗？第二种方式是，从pfx文件中获取到cer文件，将此cer文件（公钥）给第三方？ 3. .CER，二进制格式，只保存：证书（不保存私钥）。 （1）可能是PEM编码 / DER编码，常用DER编码。 （2）常见于windos系统。 4. .DER ：二进制格式，只保存：证书（不保存私钥）。 5. .CRT，二进制格式 或 文本格式，只保存：证书（不保存私钥）。 （1）可能是PEM编码 /

HTTPS是传输协议吗？ HTTPS与HTTP有什么关系？ HTTPS为什么会安全？ 闲扯一下 Mac笔记本、Windows台式机、Linux主机。像这三种类型，它们硬件不同，系统不同，服务端处理的编程语言不同。它们之间却可以在网络的世界了自由联通。靠的是什么呢？靠的是它们遵守相同的规则（如：HTTP）。应用层用什么格式（语言编码，报文字段）封装报文、传输层如何将大量的数据分段，并给每帧数据添加编号和端口信息、网络层如何给没帧数据添加IP地址，目标MAC地址、数据链路层如何将数字信息通过网卡发出去。 HTTPS是传输协议吗？ 目前常见的应用层协议 好像没有看到HTTPS啊？ 没错，HTTPS并非TCP/IP协议族中的一员，它其实是HTTP协议+SSL协议的组合体，是披着SSL外衣的HTTP。 HTTPS与HTTP有什么关系？ HTTP实现的功能：一种机制简单（这也是从早期众多传输协议中走出来的原因）的超文本传输协议，为客户端和服务器通信服务，是处在TCP/IP协议族中的应用层协议。 HTTP在发送请求时，采用四层架构。 应用层：提供多种应用服务，如：HTTP FTP DNS等，可以直接提供给开发者使用。 传输层：网络间数据的传输，如：TCP TDP，报文数据分割打包成帧 网络层：处理网络中流动的数据包，在复杂的网络段中选择一条传输路线，将数据包送到目的地。将现实中的寄快递

本文转载自： https://www.cnblogs.com/clsn/p/10040334.html 作者：clsn 转载请注明该声明。 1.关于let's encrypt和acme.sh的简介 1.1 let's encrypt Let's Encrypt是一个于2015年三季度推出的数字 HTTPS 之acme+sh申请证书.html' target='_self'>证书认证机构，旨在以自动化流程消除手动创建和安装证书的复杂流程，并推广使万维网服务器的加密连接无所不在，为安全网站提供免费的SSL/TLS证书。 Let's Encrypt由互联网安全研究小组（缩写ISRG）提供服务。主要赞助商包括电子前哨基金会、Mozilla基金会、Akamai以及思科。2015年4月9日，ISRG与Linux基金会宣布合作。 用以实现新的数字证书认证机构的协议被称为自动证书管理环境（ACME）。GitHub上有这一规范的草案，且提案的一个版本已作为一个Internet草案发布。 Let's Encrypt宣称这一过程将十分简单、自动化并且免费 1.2 acme.sh 简单来说acme.sh 实现了 acme 协议, 可以从 let‘s encrypt 生成免费的证书。 acme.sh 有以下特点： 一个纯粹用Shell（Unix shell）语言编写的ACME协议客户端。