CA证书

MSP(Membership Service Provider)成员管理服务提供商 名词: 1。CSR(Cerificate Signing Request)：证书签署请求文件 CSR里包含申请者的 DN（Distinguished Name，标识名）和公钥信息（在第三方机构签署证书时要提供）。 证书颁发机构拿到 CSR 后使用其根证书私钥对证书进行加密并生成 CRT 证书文件，里面包含证书加密信息、申请者的 DN 、公钥信息。 一。概述 说明： MSP是Hyperledger Fabric1.0引入的一个组件。目的：抽象化各成员之间的控制结构关系。（MSP将证书颁发/用户认证/后台加密机制和协议都进行了抽象） 每个MSP可定义自己规则：身份认证/签名的生成/认证。 每个Hyperledger Fabric 1.0区块链网络可引入一个/多个MSP来进行网络管理。（即将成员本身和成员间操作、规则、流程都模块化） 1。成员身份是基于标准的x.509证书。利用PKI体系为每个成员颁发数字证书。结合所属MSP进行身份认证和权限控制。 2。根CA证书（Root Certificate）： 【1】自签名证书 【2】用根CA证书私钥签名的证书还可签发新的证书 3。中间CA证书（Intermediate Certificate） 【1】由其他CA证书签发 【2

openssl系列文章： http://www.cnblogs.com/f-ck-need-u/p/7048359.html 主要用于输出证书信息，也能够签署证书请求文件、自签署、转换证书格式等。 openssl x509工具 不会使用openssl配置文件中的设定，而是完全需要自行设定或者使用该伪命令的默认值，它就像是一个完整的小型的CA工具箱 。 openssl x509 [-in filename] [-out filename] [-serial] [-hash] [-subject_hash] [-issuer_hash] [-subject] [-issuer] [-nameopt option] [-email] [-startdate] [-enddate] [-purpose] [-dates] [-modulus] [-pubkey] [-fingerprint] [-noout] [-days arg] [-set_serial n] [-signkey filename] [-x509toreq] [-req] [-CA filename] [-CAkey filename] [-CAcreateserial] [-CAserial filename] [-text] [-md2|-md5|-sha1|-mdc2] [-extfile filename] [

一. CA自签 1.建立 CA 目录结构 mkdir -p ./demoCA/{private,newcerts} touch ./demoCA/index.txt echo 01 > ./demoCA/serial # 生成 CA 的 RSA 密钥对 openssl genrsa -des3 -out ./demoCA/private/cakey.pem 2048 # 生成 CA 证书请求 openssl req -new -x509 -days 3650 -key ./demoCA/private/cakey.pem -out careq.pem #复制一份证书 cp cacert.pem ca.crt 二.生成和签发服务器、客户端证书 #修改openssl配置文件 /etc/pki/tls/openssl.cnf 设置好 dir = /root/ssl/demoCA （生成CA的路径） # 生成服务器的 RSA 密钥对 openssl genrsa -des3 -out server.key 运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令。 去除key文件口令的命令: openssl rsa -in

引 言 这是一个系列文章，我们将在本系列中探索Rancher使用TLS证书的不同方式。TLS，安全传输层协议，是用于保护网络通信的加密协议。它是目前已经弃用的安全套接层（SSL）的继任者。 你可以从本系列中了解TLS如何集成到各种Rancher组件中以及如何准备环境以正确利用Rancher中的TLS。 为什么安全传输层协议（TLS）很重要？ Rancher在任何地方都可以使用TLS。因此，在安装Rancher之前，确定TLS终止选项十分重要。 1、 确认你想要执行的TLS终止类型，有以下几种类型： 自签名，由Rancher终止（这是默认的） Let’s Encrypt，由Rancher终止 自带证书，由Rancher终止 外部TLS终止 2、 如果你选择了自带证书或外部TLS终止，那么请确保你有用于注册证书的CA证书的副本（仅需cert，不需要密钥）。Rancher在执行操作时需要这一文件。 3、 确保你知道Rancher要使用的主机名。这在安装之后不可更改。 建议你通过阅读文档来了解更多的细节： https://docs.rancher.cn/ 什么组件需要安全传输层协议 对于任何企业软件来说，你都需要在安装和使用之前确定特定的要求，包括存储要求、网络、在云端还是本地等等。在进行安装之前，你必须得明确回答这些问题。 对于Rancher来说，考虑因素之一是TLS

Ingress实现虚拟主机的方案 环境介绍 主机 IP地址 服务 master 192.168.1.21 k8s node01 192.168.1.22 k8s node02 192.168.1.23 k8s 基于[ https://blog.51cto.com/14320361/2464655 ]() 的实验继续进行 1、首先确定要运行ingress-nginx-controller服务。 在gitbub上找到所需的ingress的yaml文件 4. master下载 [root@master ingress]# wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.29.0/deploy/static/mandatory.yaml 5. 修改 mandatory.yaml 文件 [root@master ingress]# vim mandatory.yaml hostNetwork: true #213 （1）执行一下 [root@master ingress]# kubectl apply -f mandatory.yaml （2）查看一下 [root@master ingress]# kubectl get pod -n ingress-nginx 2、将ingress-nginx

引 言 这是一个系列文章，我们将在本系列中探索Rancher使用TLS证书的不同方式。TLS，安全传输层协议，是用于保护网络通信的加密协议。它是目前已经弃用的安全套接层（SSL）的继任者。 你可以从本系列中了解TLS如何集成到各种Rancher组件中以及如何准备环境以正确利用Rancher中的TLS。 为什么安全传输层协议（TLS）很重要？ Rancher在任何地方都可以使用TLS。因此，在安装Rancher之前，确定TLS终止选项十分重要。 1、 确认你想要执行的TLS终止类型，有以下几种类型： 自签名，由Rancher终止（这是默认的） Let’s Encrypt，由Rancher终止 自带证书，由Rancher终止 外部TLS终止 2、 如果你选择了自带证书或外部TLS终止，那么请确保你有用于注册证书的CA证书的副本（仅需cert，不需要密钥）。Rancher在执行操作时需要这一文件。 3、 确保你知道Rancher要使用的主机名。这在安装之后不可更改。 建议你通过阅读文档来了解更多的细节： https://docs.rancher.cn/ 什么组件需要安全传输层协议 对于任何企业软件来说，你都需要在安装和使用之前确定特定的要求，包括存储要求、网络、在云端还是本地等等。在进行安装之前，你必须得明确回答这些问题。 对于Rancher来说，考虑因素之一是TLS

角色分配： 环境部署 所有虚拟机均已关闭防火墙以及selinux核心防护功能 实操 建工作目录存放二进制软件包 [root@master ~]# cd / [root@master /]# mkdir k8s 安装ETCD数据库（三副本机制） master（下载ca证书创建、管理工具cfssl） [root@master k8s]# curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl [root@master k8s]# curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson [root@master k8s]# curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo [root@master k8s]# chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo 生成ca证书 //定义ca证书，生成ca证书配置文件 [root

实验环境规划 概述 使用VMwork虚拟机部署单master双node的小型集群，并且在master和node上都安装etcd来实现etcd集群。 软件采用版本 软件名称 版本 Linux系统 Linux version 4.8.5 Kubernetes 1.9 Docker Docker version 19.03.5 Etcd v3.3.10 服务器角色分配 角色 地址 安装组件 master 192.168.142.220 kube-apiserver kube-controller-manager kube-scheduler etcd node1 192.168.142.136 kubelet kube-proxy docker flannel etcd node2 192.168.142.132 kubelet kube-proxy docker flannel etcd 前期注意 所有实验虚拟机均已关闭selinux核心防护功能 建立工作目录用于存放二进制软件包 [root@master ~]# cd / [root@master /]# mkdir k8s 安装ETCD数据库（三节点备份） master端方面 下载ca证书创建、管理工具cfssl [root@master k8s]# curl -L https://pkg.cfssl.org/R1.2/cfssl

Fiddler抓取https设置及其原理 2018-02-02 目录 1 HTTPS握手过程 2 Fiddler抓取HTTPS过程 3 Fiddler抓取HTTPS设置 参考 数字签名是什么？ 1 HTTPS握手过程 HTTPS 并非是应用层的一种新协议。只是 HTTP 通信接口部分用 SSL （安全套接字层）和TLS （安全传输层协议）代替而已。即添加了加密及认证机制的 HTTP 称为 HTTPS （ HTTP Secure ）。 HTTPS = HTTP + 认证 + 加密 + 完整性保护 握手过程如下： 第一步：客户端发起明文请求：将自己支持的一套加密规则、以及一个随机数（Random_C）发送给服务器 第二步：服务器选出一组 加密规则和hash算法 ，并将自己的身份信息以证书（CA：包含网站地址、加密公钥、证书颁发机构等信息）和一个随机数（Random_S）发给客户端 第三步：客户端接到服务器的响应 验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等）。如果证书受信任，则浏览器栏里面会显示一个小锁头，否则会给出证书不受信的提示。 如果证书受信任，或者是用户接受了不受信的证书，客户端做以下事情： 生成密码：浏览器会生成一串随机数的密码（ Pre_master ），并用CA证书里的公钥加密(enc_pre_master)，用于传给服务器。

概述 App的爬取相比Web端爬取更加容易，反爬中能力没有那么强，而且响应数据大多都是JSON形式，解析更加简单。 在APP端若想查看和分析内容那就需要借助抓包软件，常用的有：Filddler、Charles、mitmproxy、Appium等。 mitmproxy是一个支持HTTP/HTTPS协议的抓包程序，类似Fiddler、Charles的功能，只不过它通过控制台的形式操作。 Appium是移动端的自动化测试工具，类似于前面所说的Selenium、利用它可以驱动Android、iOS等设备完成自动化测试。 关于Charles Charles是一个网络抓包工具，可以完成App的抓包分析，能够得到App运行过程中发生的所有网络请求和响应内容。 官方网站：https://www.charlesproxy.com 下载链接：https://www.charlesproxy.com/download Charles主要功能: 支持SSL代理，可以截取分析SSL的请求。 支持流量控制。可以模拟慢速网络以及等待时间（latency）较长的请求。 支持AJAX调试，可以自动将json或xml数据格式化，方便查看。 支持AMF调试，可以将Flash Remoting 或 Flex Remoting信息格式化，方便查看。 支持重发网络请求，方便后端调试。 支持修改网络请求参数。