根证书

傻傻分不清楚的kubernetes证书 kubeadm 生成的一坨证书是不是让人很蒙逼，这些东西没那么神奇，来深入扒扒其内裤。 root@k8s-master:/etc/kubernetes/pki# tree . |-- apiserver.crt |-- apiserver-etcd-client.crt |-- apiserver-etcd-client.key |-- apiserver.key |-- apiserver-kubelet-client.crt |-- apiserver-kubelet-client.key |-- ca.crt |-- ca.key |-- etcd | |-- ca.crt | |-- ca.key | |-- healthcheck-client.crt | |-- healthcheck-client.key | |-- peer.crt | |-- peer.key | |-- server.crt | `-- server.key |-- front-proxy-ca.crt |-- front-proxy-ca.key |-- front-proxy-client.crt |-- front-proxy-client.key |-- sa.key `-- sa.pub 1 directory, 22 files 从RSA说起

SSL证书安装指南 - Winodws 2003 Server IIS 6.0 一旦您申请的SSL证书成功颁发，您会收到一个Email，附件为您申请SSL证书的域名命名的zip文件，如：www_domain_com.zip，解开zip文件，包含了3个证书文件：第1个是以 UTN 开头的根证书文件，一般不用；第2个是以 WoSign 开头的中级根证书文件，建议另存为: intermediate.crt；第3个文件就是您的域名命名的证书文件：www.mydomain.com.crt。 1. 开始安装证书 Start the certificate installation process: 右击需要申请SSL证书的网站属性， 再点击“目录安全性”，最下面有一个“安全通信”栏。点击“服务器证书”就开始证书申请向导，如下图1所示： Under Administrative Tools, open the Internet Services Manager. Then open up the properties window for the website you wish to request the certificate for. Right-clicking on the particular website will open up its properties. 2.

Fiddler抓取https设置及其原理 2018-02-02 目录 1 HTTPS握手过程 2 Fiddler抓取HTTPS过程 3 Fiddler抓取HTTPS设置 参考 数字签名是什么？ 1 HTTPS握手过程 HTTPS 并非是应用层的一种新协议。只是 HTTP 通信接口部分用 SSL （安全套接字层）和TLS （安全传输层协议）代替而已。即添加了加密及认证机制的 HTTP 称为 HTTPS （ HTTP Secure ）。 HTTPS = HTTP + 认证 + 加密 + 完整性保护 握手过程如下： 第一步：客户端发起明文请求：将自己支持的一套加密规则、以及一个随机数（Random_C）发送给服务器 第二步：服务器选出一组 加密规则和hash算法 ，并将自己的身份信息以证书（CA：包含网站地址、加密公钥、证书颁发机构等信息）和一个随机数（Random_S）发给客户端 第三步：客户端接到服务器的响应 验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等）。如果证书受信任，则浏览器栏里面会显示一个小锁头，否则会给出证书不受信的提示。 如果证书受信任，或者是用户接受了不受信的证书，客户端做以下事情： 生成密码：浏览器会生成一串随机数的密码（ Pre_master ），并用CA证书里的公钥加密(enc_pre_master)，用于传给服务器。

HTTPS 原理解析 一 前言 　　在说HTTPS之前先说说什么是HTTP，HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输，于是网景公司设计了SSL（Secure Sockets Layer）协议用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS。SSL目前的版本是3.0，被IETF（Internet Engineering Task Force）定义在RFC 6101中，之后IETF对SSL 3.0进行了升级，于是出现了TLS（Transport Layer Security） 1.0，定义在RFC 2246。实际上我们现在的HTTPS都是用的TLS协议，但是由于SSL出现的时间比较早，并且依旧被现在浏览器所支持，因此SSL依然是HTTPS的代名词，但无论是TLS还是SSL都是上个世纪的事情，SSL最后一个版本是3.0，今后TLS将会继承SSL优良血统继续为我们进行加密服务。目前TLS的版本是1.2，定义在RFC 5246中，暂时还没有被广泛的使用 () 概念可参考百科 http://baike.baidu.com/link?url=M8pBu1j_22f0PW6izvAOCTjhepyRcT320U9LDmjyzb586OYS

12306 网上购票以及一些其他内部使用的系统，需要安装.cer扩展名的根证书的情况，windows安装较为简单大家也比较熟悉，使用mac安装根证书在此做下详细介绍。 当前以10.13.5版本为例，其他的mac版本请自行测试。 1. 打开钥匙串： 启动台 ->搜索输入“ 钥匙串 ”-> 单击解锁 🔓，输入mac密码解锁“ 登录 ” 2. 打开访达->找到你需要安装的根证书文件 3.拖放证书文件至登录右边的空白区域，拖放后如图 4. 右键此证书-> 显示简介 -> 信任 -> 使用此证书时 -> 始终信任 -> 点击关闭时会提示输入mac登录密码 5.至此，检查钥匙串 登录 中查看此证书前的红叉变为如下状态即完成根证书安装。 来源： https://www.cnblogs.com/reachos/p/12201389.html

注意：本文所使用的 fabric 版本为 v1.4.3，与其它版本的网络存在差异。 手动启动 first-network 网络系列分为三部分： 手动启动 first-network 网络（一） 手动启动 first-network 网络（二） 手动启动 first-network 网络（三） 第一篇单纯使用命令行的形式执行 byfn.sh 脚本中的内容，第二篇和第三篇是对手动启动网络过程所使用的命令和配置文件的解释。 1 生成组织结构与身份证书 1.1 crypto-config.yaml 文件 fabric 网络必须指定成员参与才能正常进行交易，因此创建 fabric 网络环境中所需的组织结构及身份证书等密码信息是开发的第一步。证书信息在网络中代表实体的身份，用于实体间通信及交易时的签名与验证。 此步骤使用 cryptogen 工具为各种网络实体生成密码信息（x509 证书和签名密钥），而 cryptogen 需要将文件 crypto-config.yaml 作为参数配置，这个文件包含网络拓扑。下面是 first-network/crypto-config.yaml 文件： # "OrdererOrgs" -定义 Orderer 节点所属的组织信息 OrdererOrgs: - Name: Orderer # Orderer 组织的名称 Domain: example.com #

1.概念 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。数字证书是一种权威性的电子文档，可以由权威公正的第三方机构，即CA（例如中国各地方的CA公司）中心签发的证书，也可以由企业级CA系统进行签发。 一般证书分有三类，根证书、服务器证书和客户端证书。根证书，是生成服务器证书和客户端证书的基础，是信任的源头，也可以叫自签发证书，即CA证书。服务器证书，由根证书签发，配置在服务器上的证书。客户端证书，由根证书签发，配置在服务器上，并发送给客户，让客户安装在浏览器里的证书。 接下来，认识了证书的基本概念之后，我们来认识下这几个概念，公钥/私钥/签名/验证签名/加密/解密/对称加密/非对称加密。 我们一般的加密是用一个密码加密文件,然后解密也用同样的密码。这很好理解，这个是对称加密。而有些加密时，加密用的一个密码，而解密用另外一组密码，这个叫非对称加密，意思就是加密解密的密码不一样。其实这是数学上的一个素数积求因子的原理应用，其结果就是用这一组密钥中的一个来加密数据，用另一个来解密，或许有人已经想到了，没错这就是所谓的公钥和私钥。公钥和私钥都可以用来加密数据，而他们的区别是，公钥是密钥对中公开的部分，私钥则是非公开的部分。公钥加密数据

RSA加密(非对称加密) RSA公开密钥密码体制。所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。(不可逆向运算的加密方法) 它通常是先生成一对RSA 密钥，其中之一是保密密钥(私钥)，由用户保存；另一个为公开密钥(公钥)，可对外公开，甚至可在 网络服务器 中注册。为提高保密强度，RSA密钥至少为500位长，一般推荐使用1024位。 RSA进行的都是大数计算，使得RSA最快的情况也比DES慢上好几倍，无论是软件还是硬件实现。速度一直是RSA的缺陷。一般来说只用于少量 数据加密 。RSA的速度比对应同样安全级别的对称 密码算法 要慢1000倍左右。 PHP端(操作方法): 生成证书前先检查 /etc/pki/CA 是否有 index.txt 和 serial 文件 以下是创建的方法 touch index.txt 排序数据库，用来跟踪已经颁发的证书。我们把它命名为index.txt，文件内容为空 touch serial echo 01 > serial 用来跟踪最后一次颁发的证书的序列号，我们把它命名为serial，初始化为01 在linux下创建一个文件夹MyCA 在MyCA下创建两个文件夹用来保存 certs 用来保存我们的CA颁发的所有的证书的副本 private用来保存CA证书的私钥匙 mkdir

先来扫盲 CA证书 https://coding.net/u/aminglinux/p/nginx/git/blob/master/ssl/ca.md 先来一个例子 A公司的小华被派到B公司办事情。B公司如何信任小华是A公司派来的呢？ 普通介绍信 为了让B公司信任小华，A公司特意给小华开了一封介绍信，在信件中详细说明了小华的特征以及小华过来的目的， 并且声明这个小华确实是A公司派来的，除此之外还要有一个A公司的公章。 这样B公司前台姐拿到介绍信后，通过信件内容和A公司公章就能判断出小华确实是A公司派来的员工。 那万一A公司公章是假的呢？毕竟公章伪造太容易了，这样岂不是会存在问题。咱们就暂且认为公章这种东西很难伪造， 否则故事无法继续喽。 引入第三方中介公司 好，回到刚才的话题。如果和B公司有业务往来的公司很多，每个公司的公章都不同，那B公司的前台姐就要懂得分辨各种公章， 非常滴麻烦。所以，有某个中介公司C，发现了这个商机。C公司专门开设了一项“代理公章”的业务。 　　 于是今后，A公司的业务员去B公司，需要带2个介绍信： 介绍信1（含有C公司的公章及A公司的公章。并且特地注明：C公司信任A公司。） 介绍信2（仅含有A公司的公章，然后写上：兹有xxx先生/女士前往贵公司办理业务，请给予接洽......。） 这样不是增加麻烦了吗？有啥好处呢？ 主要的好处在于，对于接待公司的前台

首先在安装之前要明白一些基本概念 1、SSL所使用的证书可以自己生成，也可以通过一个商业性CA（如Verisign 或 Thawte）签署证书。 2、证书的概念：首先要有一个根证书，然后用根证书来签发服务器证书和客户证书，一般理解：服务器证书和客户证书是平级关系。在SSL必须安装根证书和服务器证书来认证。 因此：在此环境中，至少必须有三个证书：根证书，服务器证书，客户端证书。 在生成证书之前，一般会有一个私钥，同时用私钥生成证书请求，再利用证书服务器的根证来签发证书。 3、签发证书的问题：我最近找了很多关于openssl的资料，基本上只生成了根证书和私钥及服务器证书请求，并没有真正的实现签证。我这里参考了一些资 料，用openssl自带的一个CA.sh来签证书，而不是用MOD_ssl里的sign.sh来签。 用openssl语法来生成证书，有很多条件限定，如目录，key的位置等，比较麻烦，我实验了好几天，最后放弃了。有兴趣的可以参考一下openssl 手册。 步骤一：安装openssl和apache 1、到www.openssl.org下载openssl-0.9.7e.tar.gz(目前最新版) 2、卸载掉老的opensll库（如果卸载了出错，说找不到某些*.so.x的文件就不要卸载） 命令: #rpm –e –-nodeps openssl 3、解压： 命令: #tar xzvf