pki

OpenVPN 是一个基于 OpenSSL 库的应用层 VPN 实现。和传统 VPN 相比，它的优点是简单易用 OpenVPN允许参与建立VPN的单点使用共享金钥，电子证书，或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库中的SSLv3/TLSv1 协议函式库。OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X与Windows 2000/XP/Vista上运行，并包含了许多安全性的功能。它并不是一个基于Web的VPN软件，也不与IPsec及其他VPN软件包兼容。 OpenVPN2.0后引入了用户名/口令组合的身份验证方式，它可以省略客户端证书，但是仍有一份服务器证书需要被用作加密。 OpenVPN所有的通信都基于一个单一的IP端口， 默认且推荐使用UDP协议通讯，同时TCP也被支持。OpenVPN连接能通过大多数的代理服务器，并且能够在NAT的环境中很好地工作。服务端具有向客 户端“推送”某些网络配置信息的功能，这些信息包括：IP地址、路由设置等。OpenVPN提供了两种虚拟网络接口：通用Tun/Tap驱动，通过它们， 可以建立三层IP隧道，或者虚拟二层以太网，后者可以传送任何类型的二层以太网络数据。传送的数据可通过LZO算法压缩。在选择协议时候，需要注意2个加密隧道之间的网络状况

预备： 一、密码基元 二、密钥管理 三、PKI本质是把非对称密钥管理标准化 PKI 是 Public Key Infrastructure 的缩写，其主要功能是绑定证书持有者的身份和相关的密钥对（通过为公钥及相关的用户身份信息签发数字证书），为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径，并利用数字证书及相关的各种服务（证书发布，黑名单发布，时间戳服务等）实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。 数字证书分类 一、 什么是PKI？ 官方定义：PKI是Public Key Infrastructure的首字母缩写，翻译过来就是公钥基础设施；PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI技术是一种遵循既定标准的密钥管理平台，它的基础是加密技术，核心是证书服务，支持集中自动的密钥管理和密钥分配，能够为所有的网络应用提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。 通俗理解：PKI就是利用公开密钥理论和技术建立提供安全服务的、具有通用性的基础设施，是创建、颁发、管理、注销公钥证书所涉及的所有软件、硬件集合体，PKI可以用来建立不同实体间的"信任"关系，它是目前网络安全建设的基础与核心。PKI的主要任务是在开放环境中为开放性业务提供基于非对称密钥密码技术的一系列安全服务，包括身份证书和密钥管理、机密性

kubernetes v1.14.0高可用master集群部署（使用kubeadm，离线安装） https://www.jianshu.com/p/a55e7d95a875 好像都需要使用HAproxy和keepalived 改天学习一下. hnbcao 关注 0.0962019.04.09 19:30:14字数 1,284阅读 1,583 集群方案： 发行版：CentOS 7 容器运行时 内核： 4.18.12-1.el7.elrepo.x86_64 版本：Kubernetes: 1.14.0 网络方案: Calico kube-proxy mode: IPVS master高可用方案：HAProxy keepalived LVS DNS插件: CoreDNS metrics插件：metrics-server 界面：kubernetes-dashboard Kubernetes集群搭建 Host Name Role IP master1 master1 192.168.56.103 master2 master2 192.168.56.104 master3 master3 192.168.56.105 node1 node1 192.168.56.106 node2 node2 192.168.56.107 node3 node3 192.168.56.108 1

先普及下基本知识，都是从网上搜到的，感谢原作者的辛勤付出！ 原文链接 http://m.blog.csdn.net/blog/bytxl/8586830 x509是数字证书的规范，P7和P12是两种封装形式。比如说同样的电影，有的是avi格式，有的是mpg，大概就这个意思。 P7一般是把证书分成两个文件，一个公钥一个私钥，有PEM和DER两种编码方式。PEM比较多见，就是纯文本的，P7一般是分发公钥用，看到的就是一串可见字符串，扩展名经常是.crt,.cer,.key等。DER是二进制编码。 P12是把证书压成一个文件，.pfx 。主要是考虑分发证书，私钥是要绝对保密的，不能随便以文本方式散播。所以P7格式不适合分发。.pfx中可以加密码保护，所以相对安全些。 在实践中要中，用户证书都是放在USB Key中分发，服务器证书经常还是以文件方式分发。服务器证书和用户证书，都是X509证书，就是里面的属性有区别。 总的来说，x509是数字证书的规范，P7和P12是两种封装形式。比如说同样的电影，有的是avi格式，有的是mpg。 PKI标准可以分为第一代和第二代标准[12]。 第一代PKI标准主要包括美国RSA公司的公钥加密标准（Public Key Cryptography Standards，PKCS）系列、国际电信联盟的ITU-T X.509、IETF组织的公钥基础设施X.509

一、概述 PKI是“Public Key Infrastructure”的缩写，意为“公钥基础设施”。简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性。目前，公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。 PKI似乎可以解决绝大多数网络安全问题，并初步形成了一套完整的解决方案，它是基于公开密钥理论和技术建立起来的安全体系，是提供信息安全服务的具有普适性的安全基础设施。该体系在统一的安全认证标准和规范基础上提供在线身份认证，是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。作为一种技术体系，PKI可以作为支持认证、完整性、机密性和不可否认性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障。但PKI绝不仅仅涉及到技术层面的问题，还涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题。PKI作为国家信息化的基础设施，是相关技术、应用、组织、规范和法律法规的总和，是一个宏观体系，其本身就体现了强大的国家实力。PKI的核心是要解决信息网络空间中的信任问题

k8s dashboard认证及分级授权 Dashboard官方地址： https://github.com/kubernetes/dashboard dashbord是作为一个pod来运行，需要serviceaccount账号来登录。 先给dashboad创建一个专用的认证信息。 先建立私钥： 1 2 3 4 5 [root@master ~]# cd /etc/kubernetes/pki/ [root@master pki]# (umask 077 ; openssl genrsa -out dashboard.key 2048 ) Generating RSA private key, 2048 bit long modulus .............................................................................................................................+++ .................................+++ 建立一个证书签署请求： 1 [root@master pki]# openssl req -new -key dashboard.key -out dashboard.csr -subj "/O=zhixin/CN

学习CA证书认证网络,记录个流水账以便日后可用 我文中使用的域名是内部的,你也可以自己搭建一个网络,使用一样的域名. 注意:三端在生成证书的时候填写的国家,省,市,组织名 这些信息要一致!除了web服务端填写的域名 终端表 终端名称 IP地址 简介 根CA 10.35.176.1 一个CA证书网络的中心,所有证书的最终信用保证 子CA 10.35.176.8 该终端需要向根CA获取一个子CA证书,该终端的主要职责是签发SSL服务端证书给数据服务端.不一定要有这个终端. web服务端 10.35.176.6(域名:linzopi.vpn) 向子CA领取一个web服务端证书.用于加密数据发给最终用户终端. 最终用户终端 10.35.176.5 数据的最终接收者,该设备向CA查询证书是否为真,以确保数据是由真正的数据服务端发出. 根CA配置 创建目录结构 mkdir /etc/pki mkdir /etc/pki/tls mkdir /etc/pki/CA mkdir /etc/pki/CA/private mkdir /etc/pki/CA/newcerts touch /etc/pki/CA/index.txt #生成证书索引数据库文件 echo 01 > /etc/pki/CA/serial #指定第一个颁发证书的序列号 写配置文件 vim /usr/lib/ssl/openssl

20189221 2018-2019-2 《密码与安全新技术专题》第五周作业 课程：《密码与安全新技术专题》 班级： 201892 姓名： 郭开世 学号：20189221 上课教师：谢四江 上课日期：2019年4月23日 必修/选修： 选修 1.本次讲座的学习总结 讲座主题：区块链技术 比特币 比特币（BitCoin）是一种由开源的P2P软件产生的电子币，数字币，是一种网络虚拟资产。比特币也被意为“比特金”。比特币基于一套密码编码、通过复杂算法产生，这一规则不受任何个人或组织干扰，去中心化；任何人都可以下载并运行比特币客户端而参与制造比特币；比特币利用电子签名的方式来实现流通，通过P2P分布式网络来核查重复消费。每一块比特币的产生、消费都会通过P2P分布式网络记录并告知全网，不存在伪造的可能。 比特币的特点： ​ 1.数字货币 ​ 2.不依托于任何国家或组织而利用计算机技术独立发行。 ​ 3.通过P2P分布式技术实现，无中心点。 ​ 4.所有人均可自由的参与。 ​ 5.总量有限，不可再生。 ​ 6.本身机制开源，可以被山寨。 面临的一些疑问： ​ 1.较大的政策风险，国家组织是否会承认？ ​ 目前德国是唯一承认比特币具有合法货币地位的国家。 ​ 中国明令禁止 ​ 2.安全性如何得到保证，被盗了谁来给你找回？ ​ 11年MyBitcion遭遇黑客攻击，7.8万比特币至今下落不明。 ​

PKI（Public Key Infrastucture）介绍 根据Wikipedia PKI词条整理。 PKI（Public Key Infrastucture）是一系列的规则、策略以及过程，可以用来创建、管理、分发、使用、存储、移除数字证书以及管理公钥加密。PKI是用来实现信息的安全传输，在包括电子贸易、网上银行、保密电邮等网络活动中。在一些活动中，简单的密码验证已经不再适用，需要更加严格的验证来确认信息交互参与者的身份并验证正在传输的信息。 在密码学中，PKI是一种将实体的标识（identity）与公钥绑定在一起的组织结构。这种绑定是通过 Certificate Authority(CA)注册和颁发证书的过程建立的。根据绑定的保证级别，这可以通过自动化过程或在人工监督下进行。 PKI中实现有效正确的注册的角色称之为Registration Authority（RA），RA负责接受对数字证书的请求，并对发出请求的实体进行身份验证。 一个实体必须根据该实体的信息在每个CA域中惟一地标识。第三方验证机构(VA)可以代表CA提供此实体信息。 公钥加密技术可以在不可靠的公共网络中实现安全通讯，并通过数字签名技术来验证实体的身份。PKI是这样一个系统，用来创建、存储、分发数字签名，这些数字签名用来验证一个特定的公钥属于某个特定实体。PKI创建数字签名，这些数字签名将公钥map到实体上