安全证书

https介绍: HTTPS （全称： Hypertext Transfer Protocol over Secure Socket Layer ），是以安全为目标的 HTTP 通道，简单讲是 HTTP 的安全版。即 HTTP 下加入 SSL 层， HTTPS 的安全基础是 SSL ，因此加密的详细内容就需要 SSL 。 它是一个 URI scheme （抽象标识符体系），句法类同 http: 体系。用于安全的 HTTP 数据传输。 https:URL 表明它使用了 HTTPS ，但 HTTPS 存在不同于 HTTP 的默认端口及一个加密 / 身份验证层（在 HTTP 与 TCP 之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面 与http区别: 　 一、 https 协议需要到 ca 申请证书，一般免费证书很少，需要交费。 二、 http 是超文本传输协议，信息是明文传输， https 则是具有安全性的 ssl 加密传输协议。 三、 http 和 https 使用的是完全不同的连接方式，用的端口也不一样，前者是 80 ，后者是 443 。 四、 http 的连接很简单，是无状态的； HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比 http 协议安全。

确保 Web 安全的 HTTPS 在 HTTP 协议中有可能存在信息窃听或身份伪装等安全问题。使用 HTTPS 通信机制可以有效地防止这些问题。 一. HTTP 的缺点 HTTP 主要有这些不足，例举如下： 通信使用明文（不加密），内容可能会被窃听 不验证通信方的身份，因此有可能遭遇伪装 无法证明报文的完整性，所以有可能已遭篡改 HTTP 的缺点: 通信使用明文可能会被窃听由于 HTTP 本身不具备加密的功能，所以也无法做到对通信整体（使用 HTTP 协议通信的请求和响应的内容）进行加密。即，HTTP 报文使用明文（指未经过加密的报文）方式发送。 TCP/IP 是可能被窃听的网络 如果要问为什么通信时不加密是一个缺点，这是因为，按 TCP/IP 协议族的工作机制，通信内容在所有的通信线路上都有可能遭到窥视。所谓互联网，是由能连通到全世界的网络组成的。无论世界哪个角落的服务器在和客户端通信时，在此通信线路上的某些网络设备、光缆、计算机等都不可能是个人的私有物，所以不排除某个环节中会遭到恶意窥视行为。即使已经过加密处理的通信，也会被窥视到通信内容，这点和未加密的通信是相同的。只是说如果通信经过加密，就有可能让人无法破解报文信息的含义，但加密处理后的报文信息本身还是会被看到的。 图：互联网上的任何角落都存在通信内容被窃听的风险 窃听相同段上的通信并非难事。只需要收集在互联网上流动的数据包

为什么需要https HTTP是明文传输的，也就意味着，介于发送端、接收端中间的任意节点都可以知道你们传输的内容是什么。这些节点可能是路由器、代理等。 举个最常见的例子，用户登陆。用户输入账号，密码，采用HTTP的话，只要在代理服务器上做点手脚就可以拿到你的密码了。 用户登陆 –> 代理服务器（做手脚）–> 实际授权服务器 在发送端对密码进行加密？没用的，虽然别人不知道你原始密码是多少，但能够拿到加密后的账号密码，照样能登陆。 HTTPS是如何保障安全的 HTTPS其实就是 secure http 的意思啦，也就是HTTP的安全升级版。稍微了解网络基础的同学都知道，HTTP是应用层协议，位于HTTP协议之下是传输协议TCP。TCP负责传输，HTTP则定义了数据如何进行包装。 HTTP –> TCP （明文传输） HTTPS相对于HTTP有哪些不同呢？其实就是在HTTP跟TCP中间加多了一层加密层 TLS/SSL 。 神马是TLS/SSL？ 通俗的讲，TLS、SSL其实是类似的东西，SSL是个加密套件，负责对HTTP的数据进行加密。TLS是SSL的升级版。现在提到HTTPS，加密套件基本指的是TLS。 传输加密的流程 原先是应用层将数据直接给到TCP进行传输，现在改成应用层将数据给到TLS/SSL，将数据加密后，再给到TCP进行传输。 大致如图所示。 就是这么回事。将数据加密后再传输

一直想就 SSL 安全通讯部分写一些东西，今天就和大家一起探讨一下。 首先来介绍一下什么是 SSL ： SSL (Secure Socket Layer) 为 Netscape 所研发，用以保障在 Internet 上数据传输的安全，利用数据加密 (Encryption) 技术，可确保数据在网络上之传输过程中不会被截取及窃听， 现已成为该领域中全球化的标准。 那么，应该如何将 SSL 应用到实际的项目开发当中去呢？我们需要先了解一个叫做证书的东西。 SSL 通讯协议中有专用的 SSL 证书，其通过在客户端浏览器和 Web 服务器之间建立一条 SSL 安全通道（ Secure socket layer ）。 SSL 技术已建立到所有主要的浏览器和 WEB 服务器程序中，因此，仅需安装服务器证书就可以激活该功能了，用户可以通过服务器证书验证他所访问的网站是否是真实可靠。 接下来，我们要做的第一步就是建立本地 SSL 证书。 1. 首先，我们应确认自己的电脑上已经安装好了 JDK1.6 或以上版本。并配置好了相关路径（ JAVA_HOME,PATH,CLASSPATH ） , 因为下面会用到其中自带的一个 keytool 工具来生成密钥文件。另外，还应安装 TOMCAT6.0 或以上版本，后面会对其相关配置进行修改。 2. 单击开始 —> 运行 —>cmd—> 定位到你要生成

近年来邮件诈骗数不胜数，我们要如何避免邮件诈骗。利用科学的手段，使用 S/MIME 证书来一眼辨别邮件的真伪，让假老板无处可逃 第一张 S/MIME 证书就在这里申请了，用来保护我们邮件的安全。邮件届的 HTTPS。 首先，需要注册一个 freessl.cn 的账号 然后，从 keymanager.org 下载一个客户端，这个客户端可以很好的帮我们管理证书私钥 申请S/MIME证书 输入 freessl.cn 进入网站 选择 S/MIME 邮件证书，并输入你需要申请的证书的 邮箱地址 点击申请，会跳到后台付款的页面。注意，这里需要登录 付款完成后，订单列表，点击继续离线生成 到这一步基本，就只需要验证邮箱所有权了。它会发送一封邮件到你 这里是邮件内容，点击邮件链接即可验证 验证完成之后，回到 freessl.cn 的订单列表，你会看到订单状态已经完成。我们保存到 keymanager，整个 S/MIME 证书就申请成功了 使用S/MIME证书 S/MIME 证书是用于邮件安全的，所以大多应用场景应该是在邮件发送接收这块。不过 freessl 开发了一个功能，实现了账号的 免密登录，体验不错 首先，我们需要从 keymanager 将导出为 PFX 格式，然后双击安装到系统里 之后就可以体验 freessl.cn 的免密登录功能了 S/MIME 证书的邮件客户端的使用就自己去探索吧。

本文是《计算机网络》的自学课程，视频地址为： https://www.bilibili.com/video/av47486689。仅做个人学习使用，如有侵权，请联系删除 第七章：网络安全 安全分类 安全有： 数据安全（对文件的访问、储存） 应用程序安全（要确保应用程序是安全的） 操作系统安全（操作系统漏洞，要定时升级、设置用户权限） 网络安全：网络传输信息时的安全 物理安全 用户安全教育 本课程主要关注网络安全 网络安全问题概述 CAIN软件截获信息、篡改信息 CAIN只能对本网段起作用。 使用的原理依然是ARP欺骗 DNS劫持（修改DNS解析的结果） 如果交换机支持监视端口的功能的话，将该设备设置为内网的监视端口设备也能做的这样的效果 CAIN必须结合抓包工具来实现 CAIN只保留账号密码信息 DNS欺骗： DNS常常被用来做钓鱼网站 伪造 伪造身份，从而得以访问有访问控制的资源 例如设置网站只有特定ip才能访问： 直接访问就是这样的： 一般冒充设备要等到原设备关机等时候，防止出现冲突、露出马脚 这个不需要其他软件，直接改ip等就可以 中断 来源： https://baike.baidu.com/item/DoS%E6%94%BB%E5%87%BB DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击

6.4 基于证书的安全授权机制- Certificate -based security 本章前面部分,我们讨论了使用ActiveMQ插件,通过客户端认证并授权客户端访问消息目的地的方式来保证代理的安全.这些插件可以正常的工作,但是他们使用明文来存储客户端的用户名 和密码等身份信息.对于大多数用户和大部分场景来说,这种方式已经足够使用,但是一些组织倾向于使用SSL证书来保证安全.第4章中,我们已经讨论过SSL传输连接器以及如何使用证书.本节中, 我们将探讨展开对证书的讨论并且告诉你如何使用SSL传输连接器(同时支持插件)来保证代理安全.我们将看到如何使用证书认证客户端,同时看到如何根据他们借以连接到代理的证书来分配不同 的访问控制权限. 本节中我们井继续使用stock portfolio例子中的publisher和consumer,但是这次他们将分别使用不同的证书以便表名身份以及获取发布和消费代理中消息目的地消息的访问权限. 6.4.1 准备证书 下面让我从创建证书开始.创建证书的过程和第4长配置基本的SSL传输连接器类似.本书附带的示例代码中包含了所有的证书,因此你可以在本例中使用. 我们将创建2个证书,一个名称为producer存储于文件名为myproducer.ks的keystore中.创建证书命令如下: C:\Users\goudcheng\tt>keytool

Chrome下自签名证书提示无效的问题 发现chrome验证证书很严格，必须带有Subject Alternative Name. 签发csr时，修改openssl.cnf （windows 所在目录 :\OpenSSL\bin\cnf\openssl.cnf ） 在 [ req ]节添加 req_extetions = v3_req 生成 CSR 文件时读取名叫 v3_req 的节的配置， [ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names 在 alt_names 添加域名 DNS.1 = localhost DNS.2 = your.doman.com 生成csr openssl req -sha256 -newkey rsa:2048 -nodes -keyout ssl.key -x509 -days 3650 -out ssl.crt -config ./cnf/openssl.cnf -extensions v3_req 填写完信息后，即可生成 对应的 key 和 srt 文件；

墨菲定律 墨菲定律：一种心理学效应，是由爱德华·墨菲（Edward A. Murphy）提出的， 原话：如果有两种或两种以上的方式去做某件事情，而其中一种选择方式将导 致灾难，则必定有人会做出这种选择 主要内容： 任何事都没有表面看起来那么简单 所有的事都会比你预计的时间长 会出错的事总会出错 如果你担心某种情况发生，那么它就更有可能发生 安全机制 信息安全防护的目标 保密性 Confidentiality 完整性 Integrity：数据确定完好，不能被篡改 可用性 Usability：read5（高可用性）系统的总体运行时间占全部时间的百分比，百分比越 高，可用性越高，百分比按年计算，%99.9 当机10小时 可控制性Controlability 不可否认性 Non-repudiation 安全防护环节 物理安全：各种设备/主机、机房环境 系统安全：主机或设备的操作系统 应用安全：各种网络服务、应用程序 （文件共享） 网络安全：对网络访问的控制、防火墙规则（iptables -vnL iptables -F） 数据安全：信息的备份与恢复、加密解密 管理安全：各种保障性的规范、流程、方法 安全攻击： STRIDE 1 Spoofing 假冒 （钓鱼网站，可以通过看域名辨别） 2 Tampering 篡改 （发邮件给tom mail -s test tom .或者ctrl

1. 概述 随着电子商务的迅速发展，信息安全已成为焦点问题之一，尤其是网上支付和网络银行对信息安全的要求显得更为突出。为了能在因特网上开展安全的电子商务活动，公开密钥基础设施（PKI, Public Key Infrastructure）逐步在国内外得到广泛应用。我们是否真的需要PKI，PKI究竟有什么用？下面通过一个案例一步步地来剖析这个问题。 2. 案例 2.1 案例内容 甲想将一份合同文件通过Internet发给远在国外的乙，此合同文件对双方非常重要，不能有丝毫差错，而且此文件绝对不能被其他人得知其内容。如何才能实现这个合同的安全发送？ 2.2 问题1 问题1 :最自然的想法是，甲必须对文件加密才能保证不被其他人查看其内容。那么，到底应该用什么加密技术，才能使合同传送既安全又快速呢? 　　可以采用一些成熟的 对称加密算法 ,如DES、3DES、RC5等对文件加密。对称加密采用了对称密码编码技术， 对称加密的特点是文件加密和解密使用相同的密钥 ，即加密密钥也可以用做解密密钥，这种方法在密码学中叫做对称加密算法， 2.3 问题2 问题2: 如果黑客截获此文件，是否用同一算法就可以解密此文件呢? 　　不可以，因为加密和解密均需要两个组件:加密算法和对称密钥，加密算法需要用一个对称密钥来解密，黑客并不知道此密钥。 2.4 问题3 问题3: 既然黑客不知密钥