CA证书

Fabric CA/数字证书管理

為{幸葍}努か 提交于 2020-03-15 16:32:54
MSP(Membership Service Provider)成员管理服务提供商 名词: 1。CSR(Cerificate Signing Request):证书签署请求文件 CSR里包含申请者的 DN(Distinguished Name,标识名)和公钥信息(在第三方机构签署证书时要提供)。 证书颁发机构拿到 CSR 后使用其根证书私钥对证书进行加密并生成 CRT 证书文件,里面包含证书加密信息、申请者的 DN 、公钥信息。 一。概述 说明: MSP是Hyperledger Fabric1.0引入的一个组件。目的:抽象化各成员之间的控制结构关系。(MSP将证书颁发/用户认证/后台加密机制和协议都进行了抽象) 每个MSP可定义自己规则:身份认证/签名的生成/认证。 每个Hyperledger Fabric 1.0区块链网络可引入一个/多个MSP来进行网络管理。(即将成员本身和成员间操作、规则、流程都模块化) 1。成员身份是基于标准的x.509证书。利用PKI体系为每个成员颁发数字证书。结合所属MSP进行身份认证和权限控制。 2。根CA证书(Root Certificate): 【1】自签名证书 【2】用根CA证书私钥签名的证书还可签发新的证书 3。中间CA证书(Intermediate Certificate) 【1】由其他CA证书签发 【2

openssl x509(签署和自签署)

折月煮酒 提交于 2020-03-05 11:15:27
openssl系列文章: http://www.cnblogs.com/f-ck-need-u/p/7048359.html 主要用于输出证书信息,也能够签署证书请求文件、自签署、转换证书格式等。 openssl x509工具 不会使用openssl配置文件中的设定,而是完全需要自行设定或者使用该伪命令的默认值,它就像是一个完整的小型的CA工具箱 。 openssl x509 [-in filename] [-out filename] [-serial] [-hash] [-subject_hash] [-issuer_hash] [-subject] [-issuer] [-nameopt option] [-email] [-startdate] [-enddate] [-purpose] [-dates] [-modulus] [-pubkey] [-fingerprint] [-noout] [-days arg] [-set_serial n] [-signkey filename] [-x509toreq] [-req] [-CA filename] [-CAkey filename] [-CAcreateserial] [-CAserial filename] [-text] [-md2|-md5|-sha1|-mdc2] [-extfile filename] [

apache 搭建双向证书认证

风流意气都作罢 提交于 2020-03-02 09:36:15
一. CA自签 1.建立 CA 目录结构 mkdir -p ./demoCA/{private,newcerts} touch ./demoCA/index.txt echo 01 > ./demoCA/serial # 生成 CA 的 RSA 密钥对 openssl genrsa -des3 -out ./demoCA/private/cakey.pem 2048 # 生成 CA 证书请求 openssl req -new -x509 -days 3650 -key ./demoCA/private/cakey.pem -out careq.pem #复制一份证书 cp cacert.pem ca.crt 二.生成和签发服务器、客户端证书 #修改openssl配置文件 /etc/pki/tls/openssl.cnf 设置好 dir = /root/ssl/demoCA (生成CA的路径) # 生成服务器的 RSA 密钥对 openssl genrsa -des3 -out server.key 运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令。 去除key文件口令的命令: openssl rsa -in

TLS使用指南(一):如何在Rancher 2.x中进行TLS termination?

时光总嘲笑我的痴心妄想 提交于 2020-02-27 10:51:23
引 言 这是一个系列文章,我们将在本系列中探索Rancher使用TLS证书的不同方式。TLS,安全传输层协议,是用于保护网络通信的加密协议。它是目前已经弃用的安全套接层(SSL)的继任者。 你可以从本系列中了解TLS如何集成到各种Rancher组件中以及如何准备环境以正确利用Rancher中的TLS。 为什么安全传输层协议(TLS)很重要? Rancher在任何地方都可以使用TLS。因此,在安装Rancher之前,确定TLS终止选项十分重要。 1、 确认你想要执行的TLS终止类型,有以下几种类型: 自签名,由Rancher终止(这是默认的) Let’s Encrypt,由Rancher终止 自带证书,由Rancher终止 外部TLS终止 2、 如果你选择了自带证书或外部TLS终止,那么请确保你有用于注册证书的CA证书的副本(仅需cert,不需要密钥)。Rancher在执行操作时需要这一文件。 3、 确保你知道Rancher要使用的主机名。这在安装之后不可更改。 建议你通过阅读文档来了解更多的细节: https://docs.rancher.cn/ 什么组件需要安全传输层协议 对于任何企业软件来说,你都需要在安装和使用之前确定特定的要求,包括存储要求、网络、在云端还是本地等等。在进行安装之前,你必须得明确回答这些问题。 对于Rancher来说,考虑因素之一是TLS

k8s中ingress资源的应用

霸气de小男生 提交于 2020-02-26 02:46:13
Ingress实现虚拟主机的方案 环境介绍 主机 IP地址 服务 master 192.168.1.21 k8s node01 192.168.1.22 k8s node02 192.168.1.23 k8s 基于[ https://blog.51cto.com/14320361/2464655 ]() 的实验继续进行 1、首先确定要运行ingress-nginx-controller服务。 在gitbub上找到所需的ingress的yaml文件 4. master下载 [root@master ingress]# wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.29.0/deploy/static/mandatory.yaml 5. 修改 mandatory.yaml 文件 [root@master ingress]# vim mandatory.yaml hostNetwork: true #213 (1)执行一下 [root@master ingress]# kubectl apply -f mandatory.yaml (2)查看一下 [root@master ingress]# kubectl get pod -n ingress-nginx 2、将ingress-nginx

TLS使用指南(一):如何在Rancher 2.x中进行TLS Termination?

我怕爱的太早我们不能终老 提交于 2020-02-25 19:07:57
引 言 这是一个系列文章,我们将在本系列中探索Rancher使用TLS证书的不同方式。TLS,安全传输层协议,是用于保护网络通信的加密协议。它是目前已经弃用的安全套接层(SSL)的继任者。 你可以从本系列中了解TLS如何集成到各种Rancher组件中以及如何准备环境以正确利用Rancher中的TLS。 为什么安全传输层协议(TLS)很重要? Rancher在任何地方都可以使用TLS。因此,在安装Rancher之前,确定TLS终止选项十分重要。 1、 确认你想要执行的TLS终止类型,有以下几种类型: 自签名,由Rancher终止(这是默认的) Let’s Encrypt,由Rancher终止 自带证书,由Rancher终止 外部TLS终止 2、 如果你选择了自带证书或外部TLS终止,那么请确保你有用于注册证书的CA证书的副本(仅需cert,不需要密钥)。Rancher在执行操作时需要这一文件。 3、 确保你知道Rancher要使用的主机名。这在安装之后不可更改。 建议你通过阅读文档来了解更多的细节: https://docs.rancher.cn/ 什么组件需要安全传输层协议 对于任何企业软件来说,你都需要在安装和使用之前确定特定的要求,包括存储要求、网络、在云端还是本地等等。在进行安装之前,你必须得明确回答这些问题。 对于Rancher来说,考虑因素之一是TLS

K8S——ETCD部署

淺唱寂寞╮ 提交于 2020-02-07 18:43:42
角色分配: 环境部署 所有虚拟机均已关闭防火墙以及selinux核心防护功能 实操 建工作目录存放二进制软件包 [root@master ~]# cd / [root@master /]# mkdir k8s 安装ETCD数据库(三副本机制) master(下载ca证书创建、管理工具cfssl) [root@master k8s]# curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl [root@master k8s]# curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson [root@master k8s]# curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo [root@master k8s]# chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo 生成ca证书 //定义ca证书,生成ca证书配置文件 [root

K8S单master部署一:环境规划、ETCD部署

狂风中的少年 提交于 2020-02-06 16:35:46
实验环境规划 概述 使用VMwork虚拟机部署单master双node的小型集群,并且在master和node上都安装etcd来实现etcd集群。 软件采用版本 软件名称 版本 Linux系统 Linux version 4.8.5 Kubernetes 1.9 Docker Docker version 19.03.5 Etcd v3.3.10 服务器角色分配 角色 地址 安装组件 master 192.168.142.220 kube-apiserver kube-controller-manager kube-scheduler etcd node1 192.168.142.136 kubelet kube-proxy docker flannel etcd node2 192.168.142.132 kubelet kube-proxy docker flannel etcd 前期注意 所有实验虚拟机均已关闭selinux核心防护功能 建立工作目录用于存放二进制软件包 [root@master ~]# cd / [root@master /]# mkdir k8s 安装ETCD数据库(三节点备份) master端方面 下载ca证书创建、管理工具cfssl [root@master k8s]# curl -L https://pkg.cfssl.org/R1.2/cfssl

Fiddler抓取https设置及其原理

ⅰ亾dé卋堺 提交于 2020-02-01 07:31:17
Fiddler抓取https设置及其原理 2018-02-02 目录 1 HTTPS握手过程 2 Fiddler抓取HTTPS过程 3 Fiddler抓取HTTPS设置 参考 数字签名是什么? 1 HTTPS握手过程 HTTPS 并非是应用层的一种新协议。只是 HTTP 通信接口部分用 SSL (安全套接字层)和TLS (安全传输层协议)代替而已。即添加了加密及认证机制的 HTTP 称为 HTTPS ( HTTP Secure )。 HTTPS = HTTP + 认证 + 加密 + 完整性保护 握手过程如下: 第一步:客户端发起明文请求:将自己支持的一套加密规则、以及一个随机数(Random_C)发送给服务器 第二步:服务器选出一组 加密规则和hash算法 ,并将自己的身份信息以证书(CA:包含网站地址、加密公钥、证书颁发机构等信息)和一个随机数(Random_S)发给客户端 第三步:客户端接到服务器的响应 验证证书的合法性(颁发证书的机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等)。如果证书受信任,则浏览器栏里面会显示一个小锁头,否则会给出证书不受信的提示。 如果证书受信任,或者是用户接受了不受信的证书,客户端做以下事情: 生成密码:浏览器会生成一串随机数的密码( Pre_master ),并用CA证书里的公钥加密(enc_pre_master),用于传给服务器。

Python笔记:使用代理方式抓取App的数据操作案例

不想你离开。 提交于 2020-01-29 18:17:06
概述 App的爬取相比Web端爬取更加容易,反爬中能力没有那么强,而且响应数据大多都是JSON形式,解析更加简单。 在APP端若想查看和分析内容那就需要借助抓包软件,常用的有:Filddler、Charles、mitmproxy、Appium等。 mitmproxy是一个支持HTTP/HTTPS协议的抓包程序,类似Fiddler、Charles的功能,只不过它通过控制台的形式操作。 Appium是移动端的自动化测试工具,类似于前面所说的Selenium、利用它可以驱动Android、iOS等设备完成自动化测试。 关于Charles Charles是一个网络抓包工具,可以完成App的抓包分析,能够得到App运行过程中发生的所有网络请求和响应内容。 官方网站:https://www.charlesproxy.com 下载链接:https://www.charlesproxy.com/download Charles主要功能: 支持SSL代理,可以截取分析SSL的请求。 支持流量控制。可以模拟慢速网络以及等待时间(latency)较长的请求。 支持AJAX调试,可以自动将json或xml数据格式化,方便查看。 支持AMF调试,可以将Flash Remoting 或 Flex Remoting信息格式化,方便查看。 支持重发网络请求,方便后端调试。 支持修改网络请求参数。