cli create ssl certkey

###############################

# 创建CA密钥

create ssl rsakey bwsrv-root.key  -exponent F4 -keyform PEM

# 创建CA证书请求文件

create ssl certReq bwsrv-root.req -keyFile bwsrv-root.key -keyform PEM -countryName CN -stateName ShenZhen -organizationName "Default Company Ltd" -organizationUnitName "Default Section" -localityName ShenZhen -commonName default -emailAddress root@default.com

# 生成CA证书

create ssl cert bwsrv-root.cert bwsrv-root.req ROOT_CERT -keyFile bwsrv-root.key -keyform PEM -days  -certForm PEM -CAcertForm PEM -CAkeyForm PEM

# 手动创建CA证书Serial文件

shell echo '01' > /flash/nsconfig/ssl/bwsrv-root.srl

shell ls -alh /flash/nsconfig/ssl/bwsrv-root.srl

# 添加CA证书

add ssl certKey bwsrv-root-certificate -cert bwsrv-root.cert -inform PEM -expiryMonitor ENABLED -notificationPeriod 30 -bundle NO

###############################

# 创建Server密钥

create ssl rsakey bwsrv-server.key  -exponent F4 -keyform PEM

# 创建Server证书请求文件

create ssl certReq bwsrv-server.req -keyFile bwsrv-server.key -keyform PEM -countryName CN -stateName ShenZhen -organizationName "Default Company Ltd" -organizationUnitName "Default Section" -localityName ShenZhen -commonName default -emailAddress server@default.com

# 生成Server证书

create ssl cert bwsrv-server.cert bwsrv-server.req SRVR_CERT -keyform PEM -days  -certForm PEM -CAcert bwsrv-root.cert -CAcertForm PEM -CAkey bwsrv-root.key -CAkeyForm PEM -CAserial bwsrv-root.srl

# 添加Server证书

add ssl certKey bwsrv-server-certificate -cert bwsrv-server.cert -key bwsrv-server.key -inform PEM -expiryMonitor ENABLED -notificationPeriod 30 -bundle NO

# 设置证书链

link ssl certKey bwsrv-server-certificate bwsrv-root-certificate

###############################

# 绑定服务器证书
bind ssl vserver lb_vsrv_https_web -certkeyName bwsrv-server-certificate

# 绑定CA根证书
bind ssl vserver lb_vsrv_https_web -certkeyName bwsrv-root-certificate -CA -ocspCheck Optional

# 设置虚拟服务器SSL参数 ( -clientAuth -sessReuse -SNIEnable -ssl3 -tls1 -tls11 -tls12 )
set ssl vserver lb_vsrv_https_web -ssl3 DISABLED -tls1 ENABLED -tls11 ENABLED -tls12 ENABLED

###############################
> shell openssl pkcs12 -export -in "/nsconfig/ssl/vrhxenapp-root.cert" -inkey "/nsconfig/ssl/vrhxenapp-root.key" -out "/nsconfig/ssl/vrhxenapp-root.pfx"

Enter Export Password:

Verifying - Enter Export Password:

 Done

>

> shell ls -alh /flash/nsconfig/ssl/vrhxenapp-root.pfx

-rw-r--r--  1 root  wheel   2.8k Mar 10 19:06 /flash/nsconfig/ssl/vrhxenapp-root.pfx

 Done

>

> shell openssl pkcs12 -export -chain -CAfile "/nsconfig/ssl/vrhxenapp-root.cert" -in "/nsconfig/ssl/vrhxenapp-server.cert" -inkey "/nsconfig/ssl/vrhxenapp-server.key" -out "/nsconfig/ssl/vrhxenapp-server.pfx"

Enter Export Password:

Verifying - Enter Export Password:

 Done

>

> shell ls -alh /flash/nsconfig/ssl/vrhxenapp-server.pfx

-rw-r--r--  1 root  wheel   4.1k Mar 10 19:07 /flash/nsconfig/ssl/vrhxenapp-server.pfx

 Done

> 
> shell openssl pkcs12 -clcerts -nokeys  -in "/nsconfig/ssl/vrhxenapp-server.pfx" -out "/nsconfig/ssl/vrhxenapp-server.cert"

> shell openssl pkcs12 -nocerts -nodes  -in "/nsconfig/ssl/vrhxenapp-server.pfx" -out "/nsconfig/ssl/vrhxenapp-server.key"


> shell openssl rsa -in "/nsconfig/ssl/vrhxenapp-server.key" -out "/nsconfig/ssl/vrhxenapp-server-ins.key"

> shell openssl pkcs12 -clcerts -nokeys  -in "/nsconfig/ssl/vrhxenapp-root.pfx" -out "/nsconfig/ssl/vrhxenapp-root.cert"

> shell openssl pkcs12 -nocerts -nodes  -in "/nsconfig/ssl/vrhxenapp-root.pfx" -out "/nsconfig/ssl/vrhxenapp-root.key"

> shell openssl rsa -in "/nsconfig/ssl/vrhxenapp-root.key" -out "/nsconfig/ssl/vrhxenapp-root-ins.key"

# 默认启用SSL会话拦截
set ssl profile ns_default_ssl_profile_frontend -sslInterception ENABLED

# 拒绝不安全的SSL重新协商

set ssl parameter -denySSLReneg NONSECURE

# 启用默认的SSL配置文件

set ssl parameter -defaultProfile ENABLED -ssliErrorCache ENABLED


# 设置日志记录时区为本地时间
set audit syslogParams timeZone LOCAL_TIME

# 记录SSL会话拦截
set audit syslogParams -sslInterception ENABLED

# 添加SSL加密算法组

add ssl cipher ssllabs-smw-q2-2018

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.3-AES256-GCM-SHA384 -cipherPriority 1

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.3-CHACHA20-POLY1305-SHA256 -cipherPriority 2

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.3-AES128-GCM-SHA256 -cipherPriority 3

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-ECDSA-AES128-SHA256

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-ECDSA-AES256-SHA384

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-ECDHE-ECDSA-AES128-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-ECDHE-ECDSA-AES256-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-RSA-AES128-GCM-SHA256

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-RSA-AES-128-SHA256

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-RSA-AES-256-SHA384

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-ECDHE-RSA-AES128-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-ECDHE-RSA-AES256-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-DHE-RSA-AES128-GCM-SHA256

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-DHE-RSA-AES256-GCM-SHA384

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-DHE-RSA-AES-128-CBC-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-DHE-RSA-AES-256-CBC-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-AES-128-CBC-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-AES-256-CBC-SHA

# 添加自定义的SSL前端配置文件,前端支持HSTS

add ssl profile custom_hsts_ssl_profile_frontend -sessReuse ENABLED -sessTimeout 120 -tls1 DISABLED -tls11 DISABLED -tls13 ENABLED -HSTS ENABLED -maxage 157680000

bind ssl profile custom_hsts_ssl_profile_frontend -eccCurveName P_256

bind ssl profile custom_hsts_ssl_profile_frontend -eccCurveName P_384

bind ssl profile custom_hsts_ssl_profile_frontend -eccCurveName P_224

bind ssl profile custom_hsts_ssl_profile_frontend -eccCurveName P_521

bind ssl profile custom_hsts_ssl_profile_frontend -cipherName ssllabs-smw-q2-2018 -cipherPriority 1

# 添加自定义的SSL前端配置文件,前端支持SSL重定向

add ssl profile custom_hsts_offload_ssl_profile_frontend -sessReuse ENABLED -sessTimeout 120 -sslRedirect ENABLED -tls1 DISABLED -tls11 DISABLED -tls13 ENABLED -HSTS ENABLED -maxage 157680000

bind ssl profile custom_hsts_offload_ssl_profile_frontend -eccCurveName P_256

bind ssl profile custom_hsts_offload_ssl_profile_frontend -eccCurveName P_384

bind ssl profile custom_hsts_offload_ssl_profile_frontend -eccCurveName P_224

bind ssl profile custom_hsts_offload_ssl_profile_frontend -eccCurveName P_521

bind ssl profile custom_hsts_offload_ssl_profile_frontend -cipherName ssllabs-smw-q2-2018 -cipherPriority 1

============ End

cli create ssl certkey的更多相关文章

  1. Could not create SSL connection through proxy serve-svn

    RA layer request failedsvn: Unable to connect to a repository at URL xxxxxx 最后:Could not create SSL ...

  2. 请求被中止: 未能创建 SSL/TLS 安全通道,以及解决方法,即:Could not create SSL/TLS secure channel

    C# 访问https请求被中止: 未能创建 SSL/TLS 安全通道(Could not create SSL/TLS secure channel) 以及 X509Certificate2 temp ...

  3. 偶尔遇到的“The request was aborted:Could not create SSL/TLS secure channel.”怎么解决?

    项目中涉及到调用第三方的Https的WebService,我使用的是原始的HttpWebRequest. 代码中已经考虑到是Https,加上了SSL3协议,加上了委托调用.但偶尔还是会碰到 The r ...

  4. [HTTPS] - 请求API失败(Could not create SSL/TLS secure channel)之解决

    背景 在单元测试中请求 HTTPS API 失败. 异常 Result StackTrace:  at System.Web.Services.Protocols.WebClientProtocol. ...

  5. The request was aborted: Could not create SSL/TLS secure channel

    一.背景: 公司底层服务CDN从Akamai迁移到阿里云之后, 使用该服务的一个应用报错如下: System.AggregateException: One or more errors occurr ...

  6. 微信退款时候报”请求被中止: 未能创建 SSL/TLS 安全通道“或”The request was aborted: Could not create SSL/TLS secure channel“的错误

    如题,英文中文表述的是一个意思 退款测试在我本机测试一切都是正常的,但是发布到了服务器就报这样的一个错啦 但是无论百度或者google或者bing,你能够搜索到的结果都很类似,综合起来就是加这样一些代 ...

  7. 【转】微信退款时候报”请求被中止: 未能创建 SSL/TLS 安全通道“或”The request was aborted: Could not create SSL/TLS secure channel“的错误

    退款测试在我本机测试一切都是正常的,但是发布到了服务器就报这样的一个错啦 但是无论百度或者google或者bing,你能够搜索到的结果都很类似,综合起来就是加这样一些代码,如下 ServicePoin ...

  8. Could not create SSL/TLS secure channel.

    解决办法: ServicePointManager.Expect100Continue = true;ServicePointManager.SecurityProtocol = SecurityPr ...

  9. visual studio Web发布至 IIS WebDeploy出错(未能创建SSL/TLS安全通道)Could not create SSL/TLS secure channel

    问题发生的原因是VS 15.9尝试使用系统默认值进行TLS握手,但是要在VS内的某处设置为TLS1.2. 此问题的解决方法是在部署项目的IIS服务器上启用TLS 1.2.例如,请按照此文章中的说明操作

随机推荐

  1. 复习Android布局

    效果如图: 这里没有做逻辑的处理,仅仅是布局的罗列.包括垂直和水平的线性布局,以及一个滚动的view. <?xml version="1.0" encoding=" ...

  2. 阶段5 3.微服务项目【学成在线】_day09 课程预览 Eureka Feign_14-课程预览功能开发-CMS添加页面接口

    5.3 CMS添加页面接口 cms服务对外提供添加页面接口,实现:如果不存在页面则添加,否则就更新页面信息. 此接口由课程管理服务在课程预览时调用. 接口方法.:页面没有就添加.有了更新数据 之前的接 ...

  3. 阶段5 3.微服务项目【学成在线】_day17 用户认证 Zuul_06-用户认证-认证服务查询数据库-Bcrypt介绍

    演示MD5加密的方式 数据库内的数据密码虽然都是6个1但是 每次加密出来的字符串是不一样的 加盐 测试BCrpty 循环10次加密 密码的校验 比人工的加盐要方便的多 这是创建的一个Spring的Be ...

  4. 123457123457#0#-----com.yuming.drawGame01--前拼后广--儿童画画游戏

    com.yuming.drawGame01--前拼后广--儿童画画游戏

  5. spark的task调度器(FAIR公平调度算法)

    FAIR  调度策略的树结构如下图所示: FAIR 调度策略内存结构 FAIR 模式中有一个 rootPool 和多个子 Pool, 各个子 Pool 中存储着所有待分配的 TaskSetMagage ...

  6. 学习 TTreeView [2] - Items.Item[i]、Items[i]、.Text、SetFocus(设置焦点)、Select(选择)

    本例效果图: 源码: unit Unit1; interface uses   Windows, Messages, SysUtils, Variants, Classes, Graphics, Co ...

  7. iOS-UIStoryboard和UIResponder

    6.17 UIStoryboard //获取someboard中InitialViewController UIStoryboard *story = [UIStoryboard storyboard ...

  8. godot新手教程1[button信号使用]<godot节点信号对照及节点属性用法>

    button(按钮)节点信号对照: 1:pressed()      #按钮点击信号 #绑定按钮点击后触发信号 Pressed使用案例: func _on_”节点路径”_Button_pressed( ...

  9. Struts2中action接收中文参数为乱码解决方法

    老实说,中文乱码问题是每个程序员会经常遇到的问题,而且也是一个很头疼的问题.网上很多关于解决中文乱码的帖子,看几个之后你会发现大都是一样的.但是我们照着做,却还是无法解决乱码问题.我也是看了好多帖子, ...

  10. 泰乐事(Telos)白皮书中文版 <零> 封面及目录

    <泰乐事白皮书> 一个可持续发展的去中心化EOSIO网络 作者:道格拉斯·合恩 泰乐事(Telos)—— 事物的终极目标. Telos一词来源于希腊语ΤΈΛΟΣ. “一颗橡果的终极目标是成 ...