cli create ssl certkey

###############################

# 创建CA密钥

create ssl rsakey bwsrv-root.key  -exponent F4 -keyform PEM

# 创建CA证书请求文件

create ssl certReq bwsrv-root.req -keyFile bwsrv-root.key -keyform PEM -countryName CN -stateName ShenZhen -organizationName "Default Company Ltd" -organizationUnitName "Default Section" -localityName ShenZhen -commonName default -emailAddress root@default.com

# 生成CA证书

create ssl cert bwsrv-root.cert bwsrv-root.req ROOT_CERT -keyFile bwsrv-root.key -keyform PEM -days  -certForm PEM -CAcertForm PEM -CAkeyForm PEM

# 手动创建CA证书Serial文件

shell echo '01' > /flash/nsconfig/ssl/bwsrv-root.srl

shell ls -alh /flash/nsconfig/ssl/bwsrv-root.srl

# 添加CA证书

add ssl certKey bwsrv-root-certificate -cert bwsrv-root.cert -inform PEM -expiryMonitor ENABLED -notificationPeriod 30 -bundle NO

###############################

# 创建Server密钥

create ssl rsakey bwsrv-server.key  -exponent F4 -keyform PEM

# 创建Server证书请求文件

create ssl certReq bwsrv-server.req -keyFile bwsrv-server.key -keyform PEM -countryName CN -stateName ShenZhen -organizationName "Default Company Ltd" -organizationUnitName "Default Section" -localityName ShenZhen -commonName default -emailAddress server@default.com

# 生成Server证书

create ssl cert bwsrv-server.cert bwsrv-server.req SRVR_CERT -keyform PEM -days  -certForm PEM -CAcert bwsrv-root.cert -CAcertForm PEM -CAkey bwsrv-root.key -CAkeyForm PEM -CAserial bwsrv-root.srl

# 添加Server证书

add ssl certKey bwsrv-server-certificate -cert bwsrv-server.cert -key bwsrv-server.key -inform PEM -expiryMonitor ENABLED -notificationPeriod 30 -bundle NO

# 设置证书链

link ssl certKey bwsrv-server-certificate bwsrv-root-certificate

###############################

# 绑定服务器证书
bind ssl vserver lb_vsrv_https_web -certkeyName bwsrv-server-certificate

# 绑定CA根证书
bind ssl vserver lb_vsrv_https_web -certkeyName bwsrv-root-certificate -CA -ocspCheck Optional

# 设置虚拟服务器SSL参数 ( -clientAuth -sessReuse -SNIEnable -ssl3 -tls1 -tls11 -tls12 )
set ssl vserver lb_vsrv_https_web -ssl3 DISABLED -tls1 ENABLED -tls11 ENABLED -tls12 ENABLED

###############################
> shell openssl pkcs12 -export -in "/nsconfig/ssl/vrhxenapp-root.cert" -inkey "/nsconfig/ssl/vrhxenapp-root.key" -out "/nsconfig/ssl/vrhxenapp-root.pfx"

Enter Export Password:

Verifying - Enter Export Password:

 Done

>

> shell ls -alh /flash/nsconfig/ssl/vrhxenapp-root.pfx

-rw-r--r--  1 root  wheel   2.8k Mar 10 19:06 /flash/nsconfig/ssl/vrhxenapp-root.pfx

 Done

>

> shell openssl pkcs12 -export -chain -CAfile "/nsconfig/ssl/vrhxenapp-root.cert" -in "/nsconfig/ssl/vrhxenapp-server.cert" -inkey "/nsconfig/ssl/vrhxenapp-server.key" -out "/nsconfig/ssl/vrhxenapp-server.pfx"

Enter Export Password:

Verifying - Enter Export Password:

 Done

>

> shell ls -alh /flash/nsconfig/ssl/vrhxenapp-server.pfx

-rw-r--r--  1 root  wheel   4.1k Mar 10 19:07 /flash/nsconfig/ssl/vrhxenapp-server.pfx

 Done

> 
> shell openssl pkcs12 -clcerts -nokeys  -in "/nsconfig/ssl/vrhxenapp-server.pfx" -out "/nsconfig/ssl/vrhxenapp-server.cert"

> shell openssl pkcs12 -nocerts -nodes  -in "/nsconfig/ssl/vrhxenapp-server.pfx" -out "/nsconfig/ssl/vrhxenapp-server.key"


> shell openssl rsa -in "/nsconfig/ssl/vrhxenapp-server.key" -out "/nsconfig/ssl/vrhxenapp-server-ins.key"

> shell openssl pkcs12 -clcerts -nokeys  -in "/nsconfig/ssl/vrhxenapp-root.pfx" -out "/nsconfig/ssl/vrhxenapp-root.cert"

> shell openssl pkcs12 -nocerts -nodes  -in "/nsconfig/ssl/vrhxenapp-root.pfx" -out "/nsconfig/ssl/vrhxenapp-root.key"

> shell openssl rsa -in "/nsconfig/ssl/vrhxenapp-root.key" -out "/nsconfig/ssl/vrhxenapp-root-ins.key"

# 默认启用SSL会话拦截
set ssl profile ns_default_ssl_profile_frontend -sslInterception ENABLED

# 拒绝不安全的SSL重新协商

set ssl parameter -denySSLReneg NONSECURE

# 启用默认的SSL配置文件

set ssl parameter -defaultProfile ENABLED -ssliErrorCache ENABLED


# 设置日志记录时区为本地时间
set audit syslogParams timeZone LOCAL_TIME

# 记录SSL会话拦截
set audit syslogParams -sslInterception ENABLED

# 添加SSL加密算法组

add ssl cipher ssllabs-smw-q2-2018

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.3-AES256-GCM-SHA384 -cipherPriority 1

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.3-CHACHA20-POLY1305-SHA256 -cipherPriority 2

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.3-AES128-GCM-SHA256 -cipherPriority 3

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-ECDSA-AES128-SHA256

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-ECDSA-AES256-SHA384

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-ECDHE-ECDSA-AES128-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-ECDHE-ECDSA-AES256-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-RSA-AES128-GCM-SHA256

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-RSA-AES-128-SHA256

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-ECDHE-RSA-AES-256-SHA384

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-ECDHE-RSA-AES128-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-ECDHE-RSA-AES256-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-DHE-RSA-AES128-GCM-SHA256

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1.2-DHE-RSA-AES256-GCM-SHA384

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-DHE-RSA-AES-128-CBC-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-DHE-RSA-AES-256-CBC-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-AES-128-CBC-SHA

bind ssl cipher ssllabs-smw-q2-2018 -cipherName TLS1-AES-256-CBC-SHA

# 添加自定义的SSL前端配置文件,前端支持HSTS

add ssl profile custom_hsts_ssl_profile_frontend -sessReuse ENABLED -sessTimeout 120 -tls1 DISABLED -tls11 DISABLED -tls13 ENABLED -HSTS ENABLED -maxage 157680000

bind ssl profile custom_hsts_ssl_profile_frontend -eccCurveName P_256

bind ssl profile custom_hsts_ssl_profile_frontend -eccCurveName P_384

bind ssl profile custom_hsts_ssl_profile_frontend -eccCurveName P_224

bind ssl profile custom_hsts_ssl_profile_frontend -eccCurveName P_521

bind ssl profile custom_hsts_ssl_profile_frontend -cipherName ssllabs-smw-q2-2018 -cipherPriority 1

# 添加自定义的SSL前端配置文件,前端支持SSL重定向

add ssl profile custom_hsts_offload_ssl_profile_frontend -sessReuse ENABLED -sessTimeout 120 -sslRedirect ENABLED -tls1 DISABLED -tls11 DISABLED -tls13 ENABLED -HSTS ENABLED -maxage 157680000

bind ssl profile custom_hsts_offload_ssl_profile_frontend -eccCurveName P_256

bind ssl profile custom_hsts_offload_ssl_profile_frontend -eccCurveName P_384

bind ssl profile custom_hsts_offload_ssl_profile_frontend -eccCurveName P_224

bind ssl profile custom_hsts_offload_ssl_profile_frontend -eccCurveName P_521

bind ssl profile custom_hsts_offload_ssl_profile_frontend -cipherName ssllabs-smw-q2-2018 -cipherPriority 1

============ End

cli create ssl certkey的更多相关文章

  1. Could not create SSL connection through proxy serve-svn

    RA layer request failedsvn: Unable to connect to a repository at URL xxxxxx 最后:Could not create SSL ...

  2. 请求被中止: 未能创建 SSL/TLS 安全通道,以及解决方法,即:Could not create SSL/TLS secure channel

    C# 访问https请求被中止: 未能创建 SSL/TLS 安全通道(Could not create SSL/TLS secure channel) 以及 X509Certificate2 temp ...

  3. 偶尔遇到的“The request was aborted:Could not create SSL/TLS secure channel.”怎么解决?

    项目中涉及到调用第三方的Https的WebService,我使用的是原始的HttpWebRequest. 代码中已经考虑到是Https,加上了SSL3协议,加上了委托调用.但偶尔还是会碰到 The r ...

  4. [HTTPS] - 请求API失败(Could not create SSL/TLS secure channel)之解决

    背景 在单元测试中请求 HTTPS API 失败. 异常 Result StackTrace:  at System.Web.Services.Protocols.WebClientProtocol. ...

  5. The request was aborted: Could not create SSL/TLS secure channel

    一.背景: 公司底层服务CDN从Akamai迁移到阿里云之后, 使用该服务的一个应用报错如下: System.AggregateException: One or more errors occurr ...

  6. 微信退款时候报”请求被中止: 未能创建 SSL/TLS 安全通道“或”The request was aborted: Could not create SSL/TLS secure channel“的错误

    如题,英文中文表述的是一个意思 退款测试在我本机测试一切都是正常的,但是发布到了服务器就报这样的一个错啦 但是无论百度或者google或者bing,你能够搜索到的结果都很类似,综合起来就是加这样一些代 ...

  7. 【转】微信退款时候报”请求被中止: 未能创建 SSL/TLS 安全通道“或”The request was aborted: Could not create SSL/TLS secure channel“的错误

    退款测试在我本机测试一切都是正常的,但是发布到了服务器就报这样的一个错啦 但是无论百度或者google或者bing,你能够搜索到的结果都很类似,综合起来就是加这样一些代码,如下 ServicePoin ...

  8. Could not create SSL/TLS secure channel.

    解决办法: ServicePointManager.Expect100Continue = true;ServicePointManager.SecurityProtocol = SecurityPr ...

  9. visual studio Web发布至 IIS WebDeploy出错(未能创建SSL/TLS安全通道)Could not create SSL/TLS secure channel

    问题发生的原因是VS 15.9尝试使用系统默认值进行TLS握手,但是要在VS内的某处设置为TLS1.2. 此问题的解决方法是在部署项目的IIS服务器上启用TLS 1.2.例如,请按照此文章中的说明操作

随机推荐

  1. Matlab图像处理——中值滤波medfilt2问题解决

    本文链接:https://blog.csdn.net/Pxzly1117/article/details/79201772程序: I=imread('13.jpg');%读入图像imshow(I);h ...

  2. 如何在linux中测试i2c slave模式驱动的功能?

    1. 硬件要求 1.1 需要两台机器,一台作为i2c master(记为M),另一台作为i2c slave(记为S) 1.2 使用杜邦线连接两台机器的i2c信号线 2. 使能内核选项CONFIG_I2 ...

  3. 如何git revert merge commit?

    答: git revert -m <parent-number> <commit-id> (适用于merge操作的commit) 参考资料: https://blog.csdn ...

  4. Mat转CImage

    uchar *pImg=(uchar *)CI.GetBits();//得到CImage数据区地址 ps=img.ptr<uchar>(i); void MatToCImage( Mat ...

  5. 阶段5 3.微服务项目【学成在线】_day09 课程预览 Eureka Feign_09-课程详情页面静态化-静态页面测试

    4 课程详情页面静态化 4.1 静态页面测试 4.1.1 页面内容组成 我们在编写一个页面时需要知道哪些信息是静态信息,哪些信息为动态信息,下图是页面的设计图: 打开静态页面,观察每部分的内容. 红色 ...

  6. Qt编写控件属性设计器6-动态属性

    一.前言 之前就提过,Qt的属性机制强大到爆,这次的动态属性功能就是要让他爆,很难想象只要一行代码即可widget->setProperty("value", value); ...

  7. Vue+MySQL实现购物车的增删改查

    1,创建简单数据库数据表 2,创建Mapper文件 <!--查询商品--> <select id="selectcommodity" resultType=&qu ...

  8. 在 kubernetes 集群中部署一套 web 网站(网页内容不限)

    环境准备 一台部署节点,一台master节点,还有两台节点node1,node2 完好的k8s集群环境 思路一: 在node1和node2节点上通过宿主机与容器之间目录映射和端口映射上线静态网站(或动 ...

  9. 【Leetcode_easy】697. Degree of an Array

    problem 697. Degree of an Array 题意:首先是原数组的度,其次是和原数组具有相同的度的最短子数组.那么最短子数组就相当于子数组的首末数字都是统计度的数字. solutio ...

  10. Moq中注入dynamic方法出错

    1.dynamic不可以跨程序集使用 2.需要在Test的AssemblyInfo.cs中里加 [assembly: InternalsVisibleTo("DFYYDream.UI.Web ...