ca数字证书

揭开HTTPS的神秘面纱

走远了吗. 提交于 2019-12-03 11:19:51
摘自: https://www.cnblogs.com/hujingnb/p/11789728.html 揭开HTTPS的神秘面纱 在说HTTP前,一定要先介绍一下HTTP,这家伙应该不用过多说明了,大家每天都在用,每一次HTTP请求,都是一次TCP连接。遗憾的是,请求的内容在TCP报文中是明文传输的,任何人截取到请求都可以读取其中的内容,很尴尬。 数据加密 为了防止请求内容被人窃取,在网络传输的路上我们做不了手脚,那就只能对传输的数据报文上做手脚了。对报文内容进行加密就是其中的一种方法。 有一种加密算法叫做对称加密算法,即加密和解密使用同一个秘钥,使用这种算法对请求数据进行加密,中间人因为没有秘钥,无法读取其中的内容。但是,使用这种算法进行加密,肯定要同意秘钥,那秘钥在网络中传输同样存在被窃取的风险啊。 这时,出现了新的加密算法:非对称加密算法,它有两把钥匙,一把叫私钥,是只有自己知道的,另一个叫公钥,可以发到互联网山,随便谁都可以看到,也就是说,传输过程中即使被别人看到也无所谓。这时,A向B发消息时,可以先用B的公钥对数据进行加密,B收到消息后再使用自己的私钥进行解密,中间即使被窃取了,因为没有对应的秘钥,也无法对了数据进行解密。 但是,非对称加密算法要比对称加密算法慢上许多。一个折中的办法,先使用非对称加密算法来传输对称加密的秘钥,以确保秘钥安全送达

加密和安全

易管家 提交于 2019-12-03 10:18:04
墨菲定律 墨菲定律:一种心理学效应,是由爱德华·墨菲(Edward A. Murphy)提出的, 原话:如果有两种或两种以上的方式去做某件事情,而其中一种选择方式将导 致灾难,则必定有人会做出这种选择 主要内容: 任何事都没有表面看起来那么简单 所有的事都会比你预计的时间长 会出错的事总会出错 如果你担心某种情况发生,那么它就更有可能发生 安全机制 信息安全防护的目标 保密性 Confidentiality 完整性 Integrity:数据确定完好,不能被篡改 可用性 Usability:read5(高可用性)系统的总体运行时间占全部时间的百分比,百分比越 高,可用性越高,百分比按年计算,%99.9 当机10小时 可控制性Controlability 不可否认性 Non-repudiation 安全防护环节 物理安全:各种设备/主机、机房环境 系统安全:主机或设备的操作系统 应用安全:各种网络服务、应用程序 (文件共享) 网络安全:对网络访问的控制、防火墙规则(iptables -vnL iptables -F) 数据安全:信息的备份与恢复、加密解密 管理安全:各种保障性的规范、流程、方法 安全攻击: STRIDE 1 Spoofing 假冒 (钓鱼网站,可以通过看域名辨别) 2 Tampering 篡改 (发邮件给tom mail -s test tom .或者ctrl

etcd集群搭建

匿名 (未验证) 提交于 2019-12-03 00:40:02
kubermaster1 192.168.4.11 kubermaster2 192.168.4.12 kubermaster3 192.163.4.13 ϵͳ [root@kubermaster1 etcd-v3.2.11-linux-amd64]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) 这里部署的etcd集群使用TLS证书对证书通信进行加密,并开启基于CA根证书签名的双向数字证书认证。 cd /usr/local/src wget http://redirector.gvt1.com/edgedl/go/go1.9.2.linux-amd64.tar.gz tar -xvf go1.9.2.linux-amd64.tar.gz -C /usr/local cat >> /etc/profile << EOF #go的安装路径 export GOROOT=/usr/local/go #go安装的工具路径 export GOPATH=/apps/local/go export PATH=$GOROOT/bin:$PATH EOF source /etc/profile GOPATH和GOROOT不能相同 配置生效 [root@kubermaster2 bin]# go version go

SSL证书主流机构汇总

佐手、 提交于 2019-12-02 21:36:23
SSL证书机构即CA机构的全称为Certificate Authority证书认证中心,只有通过WebTrust国际安全审计认证,根证书才能预装到主流浏览器,成为全球可信的ssl证书颁发机构。 ssl证书由全球信任的CA机构颁发,目前全球的CA机构大约有五十多家,但大多被DigiCert收购。 目前全球主流的CA机构有Comodo、Symantec、GeoTrust、DigiCert、Thawte、GlobalSign、RapidSSL等,其中Symantec、GeoTrust都是DigiCert机构的子公司,目前市场上主流的ssl证书品牌是Comodo证书、Symantec证书、GeoTrust证书、Thawte证书和RapidSSL证书,还有一些不知名的证书机构也是可以颁发数字证书的。 DigiCert DigiCert 旗下拥有 DigiCert,Symantec,Geotrust,Thawte,Rapid 5大SSL证书品牌。DigiCert SSL证书分为 OV 和 EV 两种验证级别,同时支持多域名和通配符功能,也是全球极少能支持 IP 直接申请证书的CA之一。 Symantec 赛门铁克(Symantec)SSL证书前身为 Verisign,后于2017年12月被DigiCert收购,现在已经使用 DigiCert 根证书。Symantec Secure Site

linux基础练习9

流过昼夜 提交于 2019-12-02 18:34:52
1、判断UID是否大于等于500,如果为真就显示为普通用户,如果为假就显示为系统或管理用户 awk -F: '{$3<=500?name="system user":name="comon user";print name,$1,$3}' /etc/passwd 2、显示用户id为奇数的用户。 awk -F: '{if ($3%2==0) next;print $1,$3}' /etc/passwd 3、统计web服务访问日志中的ip访问量 awk '{print $1}' /var/log/httpd/access_log | sort -nr | uniq -c 4、简述加密类型以及数据加密解密过程  加密:限制对网络上传输数据的访问权的技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(ciphertext)。将密文还原为原始明文的过程称为解密,它是加密的反向处理,但解密者必须利用相同类型的加密设备和密钥对密文进行解密。   解密:加密的逆过程,使用密钥配合加密算法,转换成明文内容。 安全防护的目标:   保密性:即隐私性   完整性:指数据在传输过程中要保证能够完整,还能保证传输后能够还原回原来的数据;   可用性:指还原后的数据还能用 常见的安全性攻击:   威胁保密性的攻击:窃听,通信量统计;  

一次看懂 Https 证书认证

情到浓时终转凉″ 提交于 2019-12-02 05:10:32
TLS 传输层安全性协定 TLS(Transport Layer Security),及其前身安全套接层 SSL(Secure Sockets Layer)是一种安全协议,目的是为网际网路通信,提供安全及数据完整性保障。 如图, TLS 在建立连接时是需要 客户端发送 ClientHello(包含支持的协议版本、加密算法和 随机数A (Client random) )到服务端 服务端返回 ServerHello、公钥、证书、 随机数B (Server random) 到客户端 客户端使用CA证书验证返回证书无误后。生成 随机数C (Premaster secret) ,用公钥对其加密,发送到服务端 服务端用 私钥 解密得到 随机数C (Premaster secret) ,随后根据已经得到的 随机数ABC生成对称密钥(hello的时候确定的加密算法) ,并对需要发送的数据进行对称加密发送 客户端使用对称密钥(客户端也用随机数ABC生成对称密钥)对数据进行解密。 双方手持对称密钥 使用对称加密算法通讯 而这一流程 服务端的证书 是是至关重要的。 证书 证书用来证明公钥拥有者身份的凭证 首先我们需要知道 证书是怎么来的。 数字证书一般由数字证书认证机构签发,需要 申请者通过 非对称加密算法(RSA) 生成一对 公钥 和 密钥 ,然后把需要的申请信息(国家,域名等)连同公钥发送给

使用openssl生成https协议证书

ぃ、小莉子 提交于 2019-11-29 20:03:08
在服务器端创建证书 一、使用openssl生成CA证书 #在/tmp目录下新建一个ca文件夹,并在ca文件夹下创建四个子文件夹 [root @linux -node ~] # mkdir -p /tmp/ca/{newcerts,private,conf,server} [root @linux -node ~] # cd /tmp/ca/ newcerts 目录用于存放CA签署过的数字证书。 private 目录用于存放CA的私钥。 conf 目录用于存放一些简化参数用的配置文件。 server 目录存放服务器证书文件。 二、在conf目录下新建一个包含如下信息的openssl.conf文件 [ ca ] default_ca = foo [ foo ] dir = /tmp/ca database = /tmp/ca/index.txt new_certs_dir = /tmp/ca/newcerts certificate = /tmp/ca/private/ca.crt serial = /tmp/ca/serial private_key = /tmp/ca/private/ca.key RANDFILE = /tmp/ca/private/.rand default_days = 365 default_crl_days= 30 default_md = md5

Linux openssl 生成证书的详解

可紊 提交于 2019-11-29 19:58:55
目录 前言 1 概念 2 环境 3 创建根证书CA 4 颁发证书 4.1 在需要证书的服务器上,生成证书签署请求 4.2 在根证书服务器上,颁发证书 5 测试 5.1 读取test.pfx文件 5.2 读取test.cer文件 前言 最近,被分配了一个任务,完成数字证书管理系统的开发,一开始我是一脸懵逼的,因为以前我对于什么数字证书都没了解过,可谓了一片空白,也不知其是用来干嘛的。于是,我奋发图强,用了一个下午加晚上的时间来脑补这部分概念知识,原来数字证书其实就是网站的身份认证。 1 概念 数字证书是一个经证书授权中心 数字签名 的包含 公开密钥 拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。数字证书是一种权威性的电子文档,可以由权威公正的 第三方机构 ,即CA(例如中国各地方的CA公司)中心签发的证书,也可以由企业级CA系统进行签发。 一般证书分有三类,根证书、服务器证书和客户端证书。 根证书 ,是生成服务器证书和客户端证书的基础,是信任的源头,也可以叫自签发证书,即CA证书。 服务器证书 ,由根证书签发,配置在服务器上的证书。 客户端证书 ,由根证书签发,配置在服务器上,并发送给客户,让客户安装在浏览器里的证书。 接下来,认识了证书的基本概念之后,我们来认识下这几个概念,公钥

1.http 协议和 https 协议的原理

心已入冬 提交于 2019-11-29 14:18:53
首先,我们得知道应用层是 OSI 七层网络模型的第七层,不同类型的网络应用有不同的通信 规则,因此应用层协议是多种多样的,比如 DNS、FTP、Telnet、SMTP、HTTP、 等协议都 是用于解决其各自的一类问题。 http 通信协议的基本原理 http 协议在远程通信场景中的应用还是挺广泛的,包括现在主流的微服务架构的通信都是基 于 http 协议。由于经常使用的关系,所以大家对 http 协议的理解还是比较深刻,我这里就直 接帮大家梳理一下 http 协议的基本原理。 一次 HTTP 请求的通信流程 我们先来思考一个问题,我们在浏览器上输入一个网址后,浏览器是如何展示目标网址的内 容的?内容是从哪里来的呢? 来通过图形把这个过程画一下 DNS: (Domain Name System)服务是和 HTTP 协议一样位于应用层的协议。它提供域名 到 IP 地址之间的解析服务, 用户通常使用主机名或域名来访问对方的计算机,而不是直接通 过 IP 地址访问。因为与 IP 地址的一组纯数字相比,用字母配合数字的表示形式来指定计算 机名更符合人类的记忆习惯。 但要让计算机去理解名称,相对而言就变得困难了。因为计算机更擅长处理一长串数字。为 了解决上述的问题,DNS 服务应运而生。DNS 协议提供通过域名查找 IP 地址,或逆向从 IP 地址反查域名的服务 HTTP 通信协议的组成

CA证书和TLS介绍

拥有回忆 提交于 2019-11-28 21:01:46
数字签名 用自己的私钥给数据加密就叫数字签名 公钥传输威胁 在A和B的通信中,C可以把自己的公钥发给A,让A把C的公钥当成B的公钥,这样的话.B拿到加密数据反而无法解密,而C却可以解密出数据.从而实现C截获AB之间的数据 所以在两者的通信中必须要对公钥的来源进行确认 A和B如果想安全交换公钥,就必须通过CA(证书颁发机构) 证书的通信过程 A和B首先都内置了CA的公钥 根CA的证书是自己给自己签名的(自签名) CA和证书 PKI: Public Key Infrastructure 签证机构:CA(Certificate Authority) 注册机构:RA 证书吊销列表:CRL 证书存取库: X.509:定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期限 主体名称 主体公钥 CRL分发点 扩展信息 发行者签名 SSL SSL(Secure Socket Layer)和TLS(Transport Layer Security )本身是一个东西 实现功能: 机密性 认证 完整性 重放保护(正确同样的数据不能重复发送) 两阶段协议,分为握手阶段和应用阶段 握手阶段(协商阶段): 客户端和服务器端认证对方身份(依赖于PKI体系,利用数字证书进行 身份认证),并协商通信中使用的安全参数、密码套件以及主密钥. 后续通信使用的所有密钥都是