ssl安全证书

【案例分析】如何实现企业SSL证书有效管理和监控?

做~自己de王妃 提交于 2020-03-23 18:37:11
3 月,跳不动了?>>> 2020年3月20日晚间,许多苹果用户看到系统不断地弹窗无法验证服务器身份,包括iOS、iPadOS以及 macOS系统全部如此。 在弹窗中苹果标注不能验证「appleimap.163.com」的身份,简单来说就是这个域名的 HTTPS 证书无法被信任。 至于不能被信任的原因非常简单,网易邮箱忘记给服务器更换新证书,导致原证书到期后无法进行验证。 运维又成了 背锅侠 ,原因很简单,因为运维人员没有在用户之前发现证书过期并及时更换。 值得庆幸的是,该事件在接到用户反馈之后及时更换了服务器证书,未酿成重大信息安全攻击事件,若是对网易用户引起信息泄密事件,运维人员也将沦落“跑路”的下场。 关于数字证书 其实像这类忘记续期和更换数据证书的错误,在很多企业里面都是可能会发生。因为企业内部的应用中,运维面向各式各样的应用系统,这类证书基本都是2年才更换一次。如果没有很好的工具进行检测和通知,则经常被遗忘在运维忙碌的技术支持工作中。 疑惑一: 很多人可能想问,为啥这类情况经常会被忘记,为啥证书有效期不一次性设置100年呢?这样,应用系统可能都下线了,就不再需要考虑证书过期的事情了? 事实上,数字证书一般由第三方的法定数据认证中心机构签发,以数据证书为核心的加密技术对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性

HTTPS协议

江枫思渺然 提交于 2020-03-21 11:44:15
HTTPS协议原理   https协议是http协议的一种升级版,具有一定的安全性。在http协议和TCP协议之间有一层安全协议SSL或者STL。在通信之前通过SSL或者STL协议对数据进行加密,HTTPS协议既具有单向认证功能也具有双向认证功能。 SSL/TLS SSL/TLS协议分为两层协议,一层是记录协议,一层是握手协议。 握手协议步骤如下: 1、客户端发送信息到服务端,信息包含如下内容:协议的版本信息、加密算法、压缩算法、产生的随机数等。 2、服务端在收到信息后,会向客户端发出响应信息,包含:协议的版本信息、加密算法、压缩算法、产生的随机数、数字证书等。 3、客户端在收到信息后对证书进行校验。 4、客户端验证证书合法性后,会对服务端发送经过服务端公钥加密后的预主秘钥, 5、服务端在收到预主秘钥后,通过私钥进行解密,并使用两端的随机数加上预主秘钥来生成主秘钥,然后通过主秘钥生成加密秘钥。 6、客户端也会通过预主秘钥、两端的随机数生成客户端的主秘钥,并通过主秘钥生成加密秘钥。 7、客户端通知服务端未来信息使用加密秘钥加密信息。 8、服务端通知客户端未来信息使用的加密秘钥加密信息。 HTTPS协议实现 HTTPS协议的实现主要分为两步:创建证书和配置nginx。 一、创建证书 配置一个HTTPS服务所需要的证书包括几个部分: Server Key(服务器私钥) CSR

SSL双向认证

旧街凉风 提交于 2020-03-18 11:38:09
某厂面试归来,发现自己落伍了!>>> 之前的方式只是实现1:1的模式,昨天同事继续实现了n:1的模式,这里我再整理记录下。 由于nginx的ssl_client_certificate参数只能指定一个客户端公钥,如果增加一个客户端进行通信就要重新配一个server。 n:1的模式是通过CA的级联证书模式实现的,首先 自己 生成一套CA根级证书,再借助其生成二级证书作为client证书。 此时client私钥签名不仅可以通过对应的client公钥验证,还可通过根证书的公钥进行验证。 看到这里应该豁然开朗了吧,下面简单介绍下具体怎么操作: 1 准备工作 1.1 openssl目录准备 一般情况下openssl的配置文件都在这个目录 /etc/pki/tls ,so: mkdir /etc/pki/ca_linvo cd /etc/pki/ca_linvo mkdir root server client newcerts echo 01 > serial echo 01 > crlnumber touch index.txt 1.2 openssl配置准备 修改openssl配置 vi /etc/pki/tls/openssl.cnf 找到这句注释掉,替换为下面那句 #default_ca = CA_default default_ca = CA_linvo 把 [ CA

配置Tomcat使用https协议(配置SSL协议)

耗尽温柔 提交于 2020-03-17 16:43:45
   内容概览: 如果希望 Tomcat 支持 Https,主要的工作是配置 SSL 协议 1.生成安全证书 2.配置tomcat --------------------------------------------------------------------------------------------------------------------------- 预备知识: sso cas ssl https ca --------------------------------------------------------------------------------------------------------------------------- 环境: 1.java 1.6 2.tomcat 6_0_26 --------------------------------------------------------------------------------------------------------------------------- 生成安全证书: 1.java环境:因为SUN公司提供了制作证书的工具keytool。 在JDK 1.4以后的版本中都包含了这一工具,它的位置为<JAVA_HOME>\bin\keytool.exe。 2

TLS/SSL 梳理

情到浓时终转凉″ 提交于 2020-03-16 03:16:16
数据加密通篇都是为了防止第三方的劫持伪造,保证连接安全, 毫无遮掩的明文传输只有民风淳朴的时候才是安全的。 先是一些基础的内容: 对称加密 最开始为了对数据进行加密,使用的是对称加密算法,即双方协商好一个密钥,传输的时候使用这个密钥对数据进行加密和解密,但是这个密钥当然不能使用网络传输,不然同样被第三方劫持就没有意义了,所以只能私下协商交换密钥。 最开始的DES(Data Encryption Standard)对称加密算法使用的是56bit的密钥,这个密钥稍微有点短,在后来完全可以暴力破解加密信息,对于56位的密码,只需要2的56次方就可以暴力穷举。 然后又有了新的算法,triple—DES也交3DES,三重加密算法,最高168位密钥,还有AES,以前搭梯子的时候经常能见到,最高256bit密钥,安全性和速度都很出色。 但是,和谁通信都私下传密钥明显不现实,于是就有了 非对称加密 各自有个私钥,使用公钥传输,全程只暴露公钥,具体过程: A先用自己的私钥加密数据,然后传递公钥和密文给B,B可以用自己的私钥解密 (在一篇文章中提到,使用私钥加密的是hash值,而数据本身是明文的,因为使用密钥加密任意的数据内容存在风险,比如可以刻意的上传一些特定的数据在下载下来,从而破解得到密钥(如RSA),对数据只是payload,所以文章中的逻辑是这样的:A用自己的私钥加密hash

网站安装ssl证书的重要性

丶灬走出姿态 提交于 2020-03-14 16:42:40
随着网络的普及,网络安全环境对ssl证书的需求日益加大,目前世界500强企业中84%的公司和世界100家最大的银行中88%的银行以及全球50家大型电子商务网站中的46个网站都安装了ssl证书。企业只有部署了ssl证书,才真正给了网民一个放心的交易平台。 SSL证书通过在客户端浏览器和web服务器之间建立一条ssl安全通道,以ssl安全协议来提供对用户和服务器的认证;对传送的数据进行加密和隐藏,确保数据在传送中不被改变,以及保障数据的完整性。 由于ssl技术建立到所有主要的浏览器和web服务器程序中,因此只需安装服务器证书就可以激活该功能了。即通过它可以激活ssl协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。 其次,ssl证书技术通过加密信息和提供鉴权,不仅可以显示网站的真实性,还可以在网站用户输入密码与用户名时对这些信息进行加密。 来源: 51CTO 作者: 米老鼠吖 链接: https://blog.51cto.com/14377747/2415230

ssl证书介绍

你。 提交于 2020-03-14 16:09:26
SSL证书又称“服务器证书,https证书,CA证书,网站安全证书”等,是数字证书的一种 SSL证书产品如下: 单域名DV版(保护一个具体域名) 多域名OV版(可以将多个域名放在一张证书里面) 通配符EV版(保护一个域名级其所有下一级的子域名) 多域名通配符(功能类似将多个通配符证书合在一起) 入门型SS证书(简称DVSSL) 价格经济 几分钟就可颁发 常用于个人站点 ,IOS下载等 企业型SSL证书(简称OVSSL) 需要3-5个工作日审核 增强型SSL证书(EVSSL) 浏览器地址直接显示公司名称,常用于P2P 企业官网 电商等 公司IP专用SSL(SSL For IP) 用于给公司IP实现https加密 来源: 51CTO 作者: 米老鼠吖 链接: https://blog.51cto.com/14377747/2422876

科普-- 白话HTTPS

会有一股神秘感。 提交于 2020-03-10 05:59:06
HTTPS是传输协议 吗? HTTPS与HTTP有什么关系? HTTPS为什么会安全? 闲扯一下 Mac笔记本、Windows台式机、Linux主机。像这三种类型,它们硬件不同,系统不同,服务端处理的编程语言不同。它们之间却可以在网络的世界了自由联通。靠的是什么呢? 靠的是它们遵守相同的规则(如:HTTP)。应用层用什么格式(语言编码,报文字段)封装报文、传输层如何将大量的数据分段,并给每帧数据添加编号和端口信息、网络层如何给没帧数据添加IP地址,目标MAC地址、数据链路层如何将数字信息通过网卡发出去。 HTTPS是传输协议吗? 目前常见的应用层协议 ​ 好像没有看到HTTPS啊? 没错,HTTPS并非TCP/IP协议族中的一员,它其实是HTTP协议+SSL协议的组合体,是披着SSL外衣的HTTP。 HTTPS与HTTP有什么关系? HTTP实现的功能 :一种机制简单(这也是从早期众多传输协议中走出来的原因)的超文本传输协议,为客户端和服务器通信服务,是处在TCP/IP协议族中的应用层协议。 HTTP在发送请求时,采用四层架构。 应用层:提供多种应用服务,如:HTTP FTP DNS等,可以直接提供给开发者使用。 传输层:网络间数据的传输,如: TCP TDP,报文 数据分割打包成帧 网络层:处理网络中流动的数据包,在复杂的网络段中选择一条传输路线,将数据包送到目的地

Let&apos;s encrypt吊销300万张证书,免费SSL证书真的免费吗?

隐身守侯 提交于 2020-03-09 15:13:06
由于CAA代码中存在Bug,免费证书颁发机构 Let’s encrypt 决定吊销300 多万张客户证书 。由于事发突然,Let’s encrypt仅对有联系方式的用户进行了邮件通知,且从通知到吊销留给用户的更新时间不足24小时,可能造成大量用户无法及时更新证书,出现网站业务中断,造成直接经济损失。 Let’s encrypt名为Boulder的CA软件中出现CAA代码Bug,导致Let’s encrypt在没有遵循规范正确检查CAA记录的情况下签发了大量SSL证书,这批问题证书需要强制吊销并于美国东部时间3月4日晚上9点(约为北京时间3月5日上午10点)开始执行。根据Let’s encrypt官网用户评论显示,很多用户没有及时收到通知,且在短时间内完成证书更新也存在困难。免费证书颁发机构在人员配置、服务响应、技术支持等方面资源有限,受影响的300多万用户可能无法及时得到证书服务和技术支持。沃通CA配备专业客服团队和技术支持团队,提供全天候客户服务、一对一技术指导,以及 DV (域名验证型)、OV (企业验证型)、EV (扩展验证型) 等全线 SSL证书产品 ,可以为受影响的用户提供及时的帮助支持,快速完成SSL证书替换部署。 从此次事件来看,对于企业用户而言,在企业网站、业务平台、信息系统等Web站点上 部署免费 SSL 证书,可能并不意味着真正免费 。免费SSL证书缺失了

说一下关于阿里云服务器SSL证书过期,重新安装不生效的问题。

不羁岁月 提交于 2020-03-07 05:16:00
第一步 按照官网的步骤申请-下载-安装证书。我是部署在tomcat--webapp下面,所以选择tomcat的证书.pfx格式的,这里注意每次下载,密码都不一样。重启tomcat。访问https://你的网址,看看是否有安全提示。 这就是没成功。成功就不显了。 第二部 访问网站如果不成功,控制台- 负载均衡 --看到列表 点击检测 如果测试结果 有异常。 如证书状态失效。 那么在返回负载均衡列表,点击 有异常的 端口 比如443 ,然后在操作选择管理证书--重新选择新申请的证书。然后点击确定。再访问刷新网站地址,清空一下浏览器缓存就可以了。 来源: CSDN 作者: somdip 链接: https://blog.csdn.net/somdip/article/details/104694304