环境: CA服务器:192.168.1.121 WEB服务器: 192.168.1.107 一.在CA服务器上生成自签证书 1.生成根私钥 (umask 077;openssl genrsa -out private/cakey.pem 2048)…

  HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版.即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL.Nebula是一个为开发者提供一个快速开发高并发网络服务程序或搭建高并发分布式服务集群的高性能事件驱动网络框架.Nebula作为通用网络框架提供HTTPS支持十分重要,Nebula既可用作https服务器,又可用作https客户端.本文将结合Nebula框架的https实现详细讲述基于openssl的SSL编程.如果觉得本文对你有用,帮忙到…

1)利用openssl生成证书 2)再次修改nginx配置文件nginx.conf中的server配置 ① 是默认监听http请求的8080端口的 server    (再次修改,第一次是在 用nginx进行反向代理处理(windows)中有修改)                               在以上配置后,                 用http://www.test.com/cars访问浏览器会出现400 bad request的问题(下方 步骤②),          …

  基于注解的Dubbo服务配置可以大大减少dubbo xml配置文件中的Service配置量,主要步骤如下:   一.服务提供方   1. Dubbo配置文件中增加Dubbo注解扫描 <!-- 开启dubbo注解支持 --> <!-- 扫描注解包路径,多个包用逗号分隔,不填pacakge表示扫描当前ApplicationContext中所有的类 --> <dubbo:annotation package="com.bounter" />   2.S…

该文接续之前写过的两篇: [树莓派]服务配置相关 [树莓派]服务配置相关2:基于RPi Desktop的服务配置 这是我个人用来进行树莓派盒子安装配置的脚本,对于外部其他博友,可以部分参考,但不需要逐个引用. 现在将之前在Ubuntu的一些操作记录做一下备份,下次如果有类似情况,就可以直接引用,而不需要重新折腾一遍. 具体部分脚本如下: Step1:网络配置 sudo cp /etc/network/interfaces /etc/network/interfaces.bak lifeccp@u…

1.HTTPS协议的实现 1.为什么需要HTTPS? 原因:HTTP不安全 1.传输数据被中间人盗用.信息泄露 2.数据内容劫持.篡改 对传输内容进行加密以及身份验证 2.对称加密 非对称加密 3.HTTPS加密协议原理 4.中间人伪造客户端和服务端 证书是在客户端的,进行校验. 2.生成密钥和CA证书 #openssl version OpenSSL 1.0.1e-fips 11 Feb 2013 #nginx-v -with-http_ssl_module 步骤一.生成key密钥 [root…

环境: 环境: httpd服务器:10.140.165.169 CA服务器:10.140.165.93 CA服务器配置: 1.安装openssl [root@cnhzdhcp16593 ~]# yum -y install openssl 2.生成CA自己的私钥. [root@cnhzdhcp16593 ~]# cd /etc/pki/CA/ [root@cnhzdhcp16593 CA]# (umask 077;openssl genrsa -out private/cakey.pem 204…

该文接续之前写过的一篇:[树莓派]服务配置相关. 这是我个人用来进行树莓派盒子安装配置的脚本,对于外部其他博友,可以部分参考,但不需要逐个引用. 现在有一定更新,部分按如下脚本来操作: step1: sudo groupadd wingspan sudo useradd -g wingspan -d /home/lifeccp -m lifeccp -p lifeccp sudo cp /etc/sudoers /etc/sudoers.default.bak sudo sed -i '21a…

配置苹果要求的证书: 1.服务器所有的连接使用TLS1.2以上的版本(openssl 1.0.2) 2.HTTPS证书必须使用SHA256以上哈希算法签名 3.HTTPS证书必须使用RSA2048位或ECC256位以上公钥算法 4.使用前向加密技术 首先看openssl版本:openssl version,为1.0.1,需要升级 查看当前使用的自签算法类型:openssl x509 -noout -text -in ./jesonc.crt,使用的是sha1,位数是1024位,都不符合规定 升级…

1. 搭建web环境 我这里使用源码编译安装方式安装httpd.详情可以参加我的一篇博客http://www.cnblogs.com/zhaojiedi1992/p/zhaojiedi_linux_18_httpd.html 1.准备证书 详情可以参考我的另一篇文章 :http://www.cnblogs.com/zhaojiedi1992/p/zhaojiedi_linux_011_ca.html 1.1 创建必要的目录和文件 [root@localhost CA]# mkdir csr cr…

HTTPS原理和作用 为什么需要HTTPS 原因:HTTP不安全 传输数据被中间人盗用.信息泄露 数据内容劫持.篡改 HTTPS协议的实现 对传输内容进行加密以及身份验证 对称加密:加密秘钥和解密秘钥是对等的,一样的 非对称加密: HTTPS加密协议原理: 中间人伪造客户端和服务端:(中间人可以伪装成客户端和服务端,中间人可以对数据进行劫持,不安全) HTTPS的CA签名证书:(服务端和客户端通过实现约定好的证书进行认证,都会对证书进行校验,所以中间人没法劫持数据,故安全) HTTPS 配置使用…

首先,搭建https服务肯定需要一个https证书.这个证书可以看做是一个应用层面的证书.之所以这么说是因为https证书是基于CA证书生成的.对于正式的网站,CA证书需要到有资质的第三方证书颁发机构去申请获取.对于我们自建的一些小项目,可以使用自己的服务器自签CA证书.这类证书构建出来的HTTPS服务在访问的时候浏览器会发出不可信任的警告,对于自身项目无视即可. 参考文:[https://blog.csdn.net/xizaihui/article/details/53178897] ■ 自签…

花了几天时间,看了好多篇博客,终于搞定了网站的HTTPS服务,借此写篇博客,来让有需要的朋友少走弯路. 一.环境介绍 1.Linux下在Docker容器中部署好了一个网站,该网站需要通过外部提供程序访问微软的登录平台,利用的是OAuth2.0协议,因此要求必须要使用SSL服务,也使得网站必须要加入HTTPS服务. 2.容器外,宿主机上通过jexus做端口转发.(本没打算用到jexus,但是看到情形不对,还是必须把它拉入进来) 3.HTTPS服务需要证书,通过在腾讯云上申请免费证书https://…

一.HTTPS 服务 为什么需要HTTPS? 原因:HTTP不安全 1.传输数据被中间人盗用.信息泄露 2.数据内容劫持.篡改 HTTPS协议的实现 对传输内容进行加密以及身份验证 HTTPS加密校验方式 非对称加密+对称加密 CA签名证书 二.生成秘钥和CA证书 生产环境上可以直接从第三方机构获取CA证书,跳过这一步. #检查是否安装openssl openssl version 步骤一:生成key秘钥 #在/etc/nginx 目录下新建 ssl_key 目录 [root@sam ~]# m…

最近机器人项目的子项目,由于和BAT中的一家进行合作,人家要求用HTTPS连接,于是乎,我们要改造我们的nginx的配置,加添HTTPS的支持. 当然了,HTTPS需要的证书,必须是认证机构颁发的,这里的配置实践,也是从技术路线上的一次操作,证书是基于openssl生成的.没有谁颁发,自建得之! 不多说,开始实践!!!! 1. openssl的版本信息 [root@localhost conf]# openssl version OpenSSL Feb 2. openresty的版本信息 [ro…

在前面一篇文章中,使用openssl生成了免费证书 后,我们现在使用该证书来实现我们本地node服务的https服务需求.假如我现在node基本架构如下: |----项目 | |--- static # 存放html文件 | | |--- index.html # index.html | |--- node_modules # 依赖包 | |--- app.js # node 入口文件 | |--- package.json | |--- .babelrc # 转换es6文件 index.ht…

1. 理论知识 1.1 什么是https 传统的 HTTP 协议以明文方式进行通信,不提供任何方式的数据加密,很容易被中间攻击者破解通信内容或者伪装成服务器与客户端通信,在安全性上存在很大问题. HTTPS 协议是由 HTTP 加上 TLS/SSL 协议构建的可进行加密传输.身份认证的网络协议,主要通过数字证书.加密算法.非对称密钥等技术完成互联网数据传输加密,实现互联网传输安全保护. 关于非对称加密以及公钥私钥相关知识不在赘述,可自行了解. PS: TLS 是传输层加密协议,前身是由网景公司1…

用keytool制作证书并在tomcat配置https服务(一) 双向认证: 我们上边生成了服务端证书,并发送给客户端进行了验证. 双向认证是双向的,因此还差客户端证书. 1.为方便导入浏览器,生成p12格式的密钥库. keytool -genkey -alias client -keypass 123456 -keyalg RSA -keysize 2048 -validity 365 -storetype PKCS12 -keystore D:/ssl/client.p12 -storepa…

https分为单项认证和双向认证. 一般https页面上的访问都是单项认证,服务端发送数字证书给客户端,客户单方面验证.而服务端不做验证. 而双向认证,需要双方都有证书,然后发送给对方进行验证.一般用于企业应用对接. 准备工作: 1.首先使用cmd进入到jdk的keytool工具目录下,我的路径D:\Program Files (x86)\jdk1.8.0_77\jre\bin,之后的keytool语句就在cmd执行. 2.在D盘创建个ssl文件夹. 开始: 1.服务端创建密钥对及密钥库. ke…

因为公司要开发微信小程序,由于小程序比较特殊,需要https服务,所以就研究了下apache的https服务了,大致过程如下: 1.向证书机构申请https证书,会得到证书和私钥 2.安装apache的mod_ssl.so模块 yum -y install mod_ssl 3.若启用了防火墙需要添加https服务(service iptables status或者在使用firewall的情况下用 systemctl status firewalld) 用iptables的情况 iptables …

用keytool制作证书并在tomcat配置https服务(一) 用keytool制作证书并在tomcat配置https服务(二) 用keytool制作证书并在tomcat配置https服务(三) 上一篇我们实现了服务端自己模拟CA认证,那么有个问题. 一个客户端和服务端对接就需要把这个客户端的证书拿来导入到服务端的密钥库中.那么很多客户端要对接,就要多次导入. 可以这样,让客户端发送证书的csr文件给我们,我们用模拟的CA密钥库对客户端证书也进行签名颁发. 然后把签名后的证书发送给他,让他自己…

用keytool制作证书并在tomcat配置https服务(一) 用keytool制作证书并在tomcat配置https服务(二) 用keytool制作证书并在tomcat配置https服务(四) 模拟CA实现对服务器证书的认证 我们在前篇的双向认证上继续. CA认证,是这个机构的根证书已经存在于浏览器中的[受信任的根证书颁发机构],浏览器信任他,所以不会出现该证书不安全的提示. 那么我们可以模拟一个CA,自己对服务器端证书进行签名,然后把模拟CA的根证书导出来,发送给客户端,让客户端添加到信任…

在上一篇文章里,我们通过注入sentinel component到apigateway实现了对下游服务的保护,不过受限于目前变更component需要人工的重新注入配置以及重启应用更新component等等原因,对于真实的环境运维稍有难度,最近我根据sentinel-golang相关文档重新编写了一个动态配置的功能并集成到了我们的电商demo管理端,今天就讲解并演示一下它是如何工作的. 目录:一.通过Dapr实现一个简单的基于.net的微服务电商系统 二.通过Dapr实现一个简单的基于.net的…

一.服务部署 1.预处理 安装CentOS ,配置hosts.静态IP.设置必要的安全参数等(略) 1-1.系统环境 [root@vnx ~]# cat /etc/redhat-release CentOS release 6.9 (Final) [root@vnx ~]# uname -r -.el6.x86_64 [root@vnx ~]# uname -m x86_64 1-2.检查依赖 [root@vnx ~]# rpm -qa gcc gcc-c++ [root@vnx ~]# rpm…

关于SSL/TLS介绍见文章 SSL/TLS原理详解.关于证书授权中心CA以及数字证书等概念,请移步 OpenSSL 与 SSL 数字证书概念贴 . openssl是一个开源程序的套件.这个套件有三个部分组成:一是libcryto,这是一个具有通用功能的加密库,里面实现了众多的加密库:二是libssl,这个是实现ssl机制的,它是用于实现TLS/SSL的功能:三是openssl,是个多功能命令行工具,它可以实现加密解密,甚至还可以当CA来用,可以让你创建证书.吊销证书. 默认情况ubuntu和C…

Nginx Nginx:engine X 调用了libevent:高性能的网络库 epoll():基于事件驱动event的网络库文件 Nginx的特性: 模块化设计.较好扩展性(不支持模块动态装卸载,Tengine支持) 高可靠性 master-->worker  //主控进程master负责解析配置文件并生成多个工作进程worker,worker负责响应服务 低内存消耗  一个进程响应多个请求 10000个keep-alive连接在Nginx仅消耗2.5MB的内存 支持热部署 不停机而更新配置…

邮件服务配置(虚拟域&虚拟用户) 现在我做的是: Linux + httpd + php + mariadb + postfix + dovecot + phpMyAdmin + postfixadmin + roundcubemail 这里我将会讲解 如何制作基于 虚拟域和虚拟用户 的邮件服务.需要的软件如下: phpMyAdmin-3.4.3-all-languages.tar.xz (download:https://www.phpmyadmin.net/files/3.4.3/) pos…

CentOS 6 httpd 程序环境 记录了httpd的主进程编号:    主程序文件: /usr/sbin/httpd /usr/sbin/httpd.worker /usr/sbin/httpd.event  主进程 文件 : /etc/httpd/run/httpd.pid  日志文件目录: /var/log/httpd access_log: 访问日志 error_log :错误日志    帮助文档包: httpd-manual Httpd 2.2 常见配置  httpd 配…

本篇主要介绍了基于OpenSSL的PKI的PKI数字证书系统实现,利用OpenSSL建立一个CA中心的详细解决方案和建立的具体步骤. 1.PKI数字证书系统设计 PKI数字证书系统主要包括证书颁发机构CA.注册机构RA和公共查询数据库三个部分,基本框架如下: 2.OpenSSL对传输文件公钥加密私钥解密 OpenSSL RSA私钥生成: $ openssl genrsa -out private.pem 2048 OpenSSL RSA公钥生成: $ openssl rsa -in ./priv…

背景 某个项目需要实现基础软件全部国产化,其中操作系统指定银河麒麟,数据库使用达梦V8,CPU平台的范围包括x64.龙芯.飞腾.鲲鹏等. 考虑到这些基础产品对.NETCore的支持,最终选择了3.1版本.主要原因就是龙芯搞了自研CPU架构,用户量不够大,.NET官方并没有专门针对龙芯的支持,而龙芯团队只对.netcore3.1做了适配(目前.net6适配测试中),至于其它的国产CPU则是基于Arm64和x64的,.NET官方都有支持. 环境 主机操作系统:Windows 10 虚拟化工具:QEM…