CA证书

文章目录 Docker - 通过IDEA和CA证书加密远程链接到服务器上的Docker 1、直接设置任意远程访问存在的问题 2、创建一个ca 的文件夹 3、创建一个key 4、填写一些基本的信息，国家啊，地区什么的 5、生成server-key.pem 6、绑定IP或者域名 7、配置白名单 8、生成ca-key 9、生成cert.pem 10、修改权限 11、把证书复制过去 12、修改docker 的配置 13、重启docker 14、下载连接所需的证书文件 15、通过IDEA 的docker 插件进行连接 16、连接到远程docker Docker - 通过IDEA和CA证书加密远程链接到服务器上的Docker 1、直接设置任意远程访问存在的问题 因为docker 默认是root 权限，允许所有人访问，直接把2375端口暴露在外网相当于直接把服务器的root 权限拱手送人，因此我们需要构建一个加密的TCP链接，以Https的方式连接到远程的docker 服务器 2、创建一个ca 的文件夹 mkdir -p /usr/local/ca cd /usr/local/ca 3、创建一个key openssl genrsa -aes256 -out ca-key.pem 4096 提示你需要输入密码和确认密码，请记住这个密码 4、填写一些基本的信息，国家啊，地区什么的 openssl

Burpsuite的安装： 1.打开官网选择windows版本下载 2.点击安装包选择好自己想保存的路径直接安装即可 3.找到安装目录 3.打开软件 1.弹出的页面X掉 2.右下角Next 3.star burp ========================================================================================== CA证书的安装 1.打开burpsuite 2. 访问 127.0.0.1:8080(需在保持打开软件的情况下访问) 3.打开页面后 右上角CA证书下载 4.打开浏览器右上角设置，选择高级 点击管理证书，选择受信任的根证书颁发机构 点击左边导入，选择打开文件，找到下载目录（找不到请选择所有文件） 选择cacert.der 一直下一步就可以完成安装CA证书 ============================================================================= 设置浏览器代理 例如FireFox 打开浏览器选项 在连接设置里选择手动代理配置，将Http代理改为127.0.0.1 端口为8080 为所有协议使用相同代理服务器这一栏打上勾 谷歌浏览器则是在设置里找到高级选择打开代理设置 internet属性里，右下角打开局域网设置 代理服务器这一栏

网上有很多文章讲这个，但是我觉得讲的不够体系，希望我的总结能够让大家快速理解安卓签名到底是个什么。 首先，任何一个名词或者事务的出现一定是要来解决什么问题的，那么安卓签名解决什么问题呢？ 场景1： 假设腾讯开发了个应用叫微信，包名（包名就是一个应用在安卓系统的ID）叫做com.wechat 那么现在有个盗版fake公司，开发了一个fake wechat，包名也叫com.wechat 当用户安装盗版fake公司的face wechat的时候，会把腾讯的wechat覆盖掉，这对于用户是不可接受的。 场景2： 腾讯的微信里面的代码被fake修改了，修改后的微信会偷偷扣费，可以呗用户安装和更新，用户安装了以后，就会一直扣钱。这对用户也是不能接受。 为了解决这个问题，安卓系统规定，一个app需要有签名，才能安装。必须签名一致，才能覆盖更新。 那么签名到底是什么？它到底如何解决上面的问题？ 带着疑问，我们继续来看，先直观的感受下一个apk的结构 里面有一个叫META-INF的文件夹 META-INF文件夹里面有三个关键文件xx.MF、xx.RSA、xx.SF，这三个玩意儿是签名后产生的。也就是说，这三个文件是签名的关键。 看完结构后，回到我们刚才的问题，微信如何能保证自己不被别人覆盖或者修改，那么微信他可能先要有一个类似于指纹的东西来保证这就是我，这就是签名，其次这个签名如何能保证

有一个需要，客户要求使用https，但是目前只使用java生成的证书即可。之后研究了一下，记录如下。 （1）java工具keytool 位置:%JAVA_HOME%/bin/keytool.exe 常用命令： 创建 keytool -genkey -alias catest -keyalg RSA -keystore d:\catest.key alias 指定别名 keyalg 加密方式 keystore 仓库位置 之后会要求输入其他几项： 1.创建的仓库密码和密码确认 2.CN（您的名字于姓氏是什么） 域名或IP，本机调试输入127.0.0.1 OU、O等，其中CN为最重要的信息，会影响之后导入的信任cer证书能否正常访问。 3.输入生成的秘钥密码，默认与仓库密码一致，直接输入回车即可。 也可以使用一条语句（未验证） keytool -genkey -alias yushan -keypass yushan -keyalg RSA -keysize 1024 -validity 365 -keystore e:/yushan.keystore -storepass 123456 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"; 其他参数不详细介绍

前言 考虑到HTTP的安全性问题，现在很多网站已经将HTTP升级到了HTTP + SSL（HTTPS）。 但也并不是所有的HTTPS站点就是安全的，也可能存在中间人的攻击（不是权威的CA机构颁发的证书以及证书校验不严格）。下图就是关于“中间人攻击”的原理图。 不过权威CA机构颁发证书大多数是收费的，想用免费的可以考虑 Let's Encrypt。 什么才是权威呢？ 就是CA机构向浏览器厂商申请，申请通过后，由浏览器厂商将CA机构的根证书（简称CA证书）内嵌在浏览器中。也就是那些为企业签发证书的CA证书都是受浏览器信任的。 而证书一般有三种，根证书、服务器证书、客户端证书。 根证书是生成服务器证书和客户端证书的基础，也就是CA证书。 服务器证书是放在服务器上的，并引入到站点的配置文件中，由CA证书签名。相当于有一封信件（服务器证书），由CA盖章（签名），表示此信件受CA信任。 客户端证书是对于个人的，这里不做演示。 这样就可以防御中间人攻击了，当客户端发起HTTPS请求时，服务器将服务器证书传给客户端，客户端用内嵌的CA证书和获取到的服务器证书做信息比较，如果发现是伪造的证书，客户端发出警告。 接下来就模拟下整个证书生成的环节，可以有一个清楚的认识。因为是本地环境，就自建CA根证书了（Let's Encrypt 有域名验证之类的步骤）。 根证书（CA证书） openssl

HTTP简介 Web服务器在默认情况下使用HTTP，这是一个纯文本的协议。正如其名称所暗示的，纯文本协议不会对传输中的数据进行任何形式的加密。而基于HTTP的Web服务器是非常容易配置，它在安全方面有重大缺陷。任何”中间人”，通过精心防止的数据包嗅探器，是能够看到任何经过的数据包内容。更进一步，恶意用户甚至可以在传输路径设置一个假冒的WEB服务器冒名顶替实际的目标Web服务器。在这种情况下，最终用户可能实际上与假冒者服务器，而不是真正的目的服务器进行通信。这样，恶意用户可以通过精心设计的表单欺骗终端用户获取到敏感信息，如用户名密码。 为了处理这些类型的漏洞，大多数供应商往往在他们的web服务器应用HTTPS协议。对于只读类型的网站，用户只能读取内容，并没有实际提交任何信息，HTTP仍然是一个可行的选择。但是，对于保存敏感信息的网站，比如：用户需要登录来获得网站的服务，那么HTTPS是必须的。 HTTPS能够为一个网站提供以下能力。 1、确保所有经过服务器传输的数据包都是经过加密的。 2、建立了一个官方数字证书证书，使得假冒服务器无法冒充真正的服务器。 HTTPS证书获取途径 1、自签名证书被推荐用于测试目的和个人项目。自签名证书，也可以用于服务提供商，不过一般适用于用户互相信任的情形。另外，自签名证书不用花钱购买。 2

C：\ Users \ lemon> net start mysql MySQL服务正在启动.... MySQL的服务无法启动。 C：\ Program Files \ MySQL \ MySQL Server 8.0 \ data文件夹下找到lemon.err文件查看错误日志 2018-05-12T04：24：21.966771Z 0 [系统] [MY-010116] [服务器] C：\ Program Files \ MySQL \ MySQL服务器8.0 \ bin \ mysqld（mysqld 8.0.11）以过程7680开始 2018-05 -12T04：24：26.705243Z 0 [警告] [MY-010068] [服务器] CA证书ca.pem是自签名的。 2018-05-12T04：24：26.864920Z 0 [系统] [MY-010931] [服务器] C：\ Program Files \ MySQL \ MySQL服务器8.0 \ bin \ mysqld：准备连接。 版本：'8.0.11'套接字：''端口：3306 MySQL社区服务器 - GPL。 2018-05-12T06：56：26.933174Z 0 [系统] [MY-013105] [服务器] C：\ Program Files \ MySQL \ MySQL服务器8.0 \ bin \

利用OpenSSL生成库和命令程序,在生成的命令程序中包括对加/解密算法的测试,openssl程序,ca程序.利用openssl,ca可生成用于C/S模式的证书文件以及CA文件. 证书文件的生成步骤: 一、服务器端 1.生成服务器端的私钥(key文件); openssl genrsa -des3 -out server.key 1024 运行时会提示输入密码,此密码用于加密key文件(参数des3是加密算法,也可以选用其他安全的算法),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果不要口令,则可用以下命令去除口令: openssl rsa -in server.key -out server.key 2.生成服务器端证书签名请求文件(csr文件); openssl req -new -key server.key -out server.csr 生成Certificate Signing Request（CSR）,生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其 提示一步一步输入要求的个人信息即可(如:Country,province,city,company等). 二、客户端 1.对客户端也作同样的命令生成key及csr文件; openssl genrsa -des3 -out client.key 1024

　　 Jmeter 一般来说是 压力测试 的利器，最近想尝试jmeter和BeanShell进行 接口测试 。由于在云阅读接口测试的过程中需要进行登录操作，而登录请求是HTTPS协议。这就需要对jmeter进行设置。 　　 （一）设置HTTP请求 　　我们首先右键添加线程组，然后继续右键添加控制器，由于登陆操作只请求一次，因而选择仅一次控制器。接下来右键添加sampler->HTTP请求，设置HTTP请求。这里注意的地方首先是端口号，如果只是普通的HTTP协议，默认不填，而这里是HTTPS协议，因而填端口号443。另外“协议”这儿填“https”。请求体数据，由于云阅读登陆时的post数据是json结构的，所以填在Body Data这里，用大括号将数据组织起来。PS：实际上应该是post请求，截图过快忘记改了~ 　　<!--more--> 　　 （二）设置Jmeter代理 　　上一篇博客刚刚讲了HTTPS协议和代理控制发送HTTPS请求的原理，我们知道要成功地发送HTTPS请求，关键之处就是代理的设置。首先我们要在线程组里添加一个录制控制器，不然无法生成Jmeter的CA证书文件。然后在 工作 台右键添加-〉非测试元件-〉HTTP代理服务器。选择默认端口是8080即可。直接点击启动。 　　点击启动后弹出页面提示CA证书已经生成，在Bin目录下。点击确定即可。 　　 （三

以前已经介绍过HTTP协议和HTTPS协议的区别，这次就来了解一下HTTPS协议的加密原理。 为了保证网络通信的安全性，需要对网络上传递的数据进行加密。现在主流的加密方法就是SSL (Secure Socket Layer)，TLS (Transport Layer Security)。后者比前者要新一些，不过在很多场合还是用SSL指代SSL和TLS。先来回顾一下网络通信加密的发展过程，假设A和B之间要网络通信。 上古时代 随着时代的发展，渐渐的有了一类人---C。C不仅会监听A和B之间的网络数据，还会拦截A和B之间的数据，伪造之后再发给A或者B，进而欺骗A和B。C就是中间人攻击（Man In The Middle Attack）。为了应对C的攻击，A和B开始对自己的数据进行加密。A和B会使用一个共享的密钥，A在发送数据之前，用这个密钥对数据加密。B在收到数据之后，用这个密钥对数据解密。因为加密解密用的是同一个密钥，所以这里的加密算法称为对称加密算法。 在1981年，DES（Data Encryption Standard）被提出，这是一种对称加密算法。DES使用一个56bit的密钥，来完成数据的加解密。尽管56bit看起来有点短，但时间毕竟是在上古时代，56bit已经够用了。就这样，网络数据的加密开始了。因为采用了DES，A和B现在不用担心数据被C拦截了。因为就算C拦截了