ssl安全证书

目的：在阿里云ESC的apache服务器上部署申请的证书实现HTTPS访问 步骤： 1，申请证书（为阿里云自动配发的证书） 2，在apache上部署 2.1，vim /usr/local/apache/conf/httpd.conf 查看模块项是否有并将其前面的#去掉 LoadModule ssl_module modules/mod_ssl.so 改为 LoadModule ssl_module modules/mod_ssl.so 将# Secure (SSL/TLS) connections #Include conf/extra/httpd-ssl.conf 改为 Secure (SSL/TLS) connections Include conf/extra/httpd-ssl.conf 2.2，vim /usr/local/apache/conf/extra/httpd-ssl.conf 增加如下项: SSLHonorCipherOrder on #<VirtualHost default :443> <VirtualHost wxjy.peigubao.com:443> General setup for the virtual host DocumentRoot "/data/www/default" ServerName wxjy.aaa.com

什么是 SSL SSL (Secure Sockets Layer) 是一种在应用层和传输层之间的协议，对传输层（TCP）到应用层（HTTP）的数据进行加密，主要是为了保证 Internet 上数据传输的安全性，确保数据在传输过程中不被截取或监听 SSL 在技术上位与应用层，但从开发者的角度来看，它是一个提供 TCP 服务的传输层协议 TLS（Transport Layer Security）是 SSL 的继任者，在很多场合还是用 SSL 来指代 SSL/TLS 基本大部分支持 SSL 加密数据的服务器，都是采用 OpenSSL 库来实现的 OpenSSL是一个强大的安全套接字层密码库，Apache使用它加密HTTPS，OpenSSH使用它加密SSH，它还是一个多用途的、跨平台的密码工具 SSL 协议的安全机制 SSL 通过以下三种机制，实现了网络通信的安全性 1. 数据传输的机密性 通过对称/非对称加密算法，在通信双方之间建立加密通道，保证数据传输的机密性 2. 身份验证机制 使用数字签名来验证通信对端的身份 3. 消息完整性验证 基于 md5/sha 等 hash 算法来保证消息的完整性，避免网络中传输的数据被非法篡改 SSL 的工作原理 简单了解下网络通信加密的发展过程，假设 A 和 B 之间需要网络通信 远古 远古时期民风淳朴，路不拾遗、夜不闭户，A 要发数据给 B

一、什么是 SSL 证书，什么是 HTTPS SSL 证书是一种数字证书，它使用 Secure Socket Layer 协议在浏览器和 Web 服务器之间建立一条安全通道，从而实现： 1、数据信息在客户端和服务器之间的加密传输，保证双方传递信息的安全性，不可被第三方窃听； 2、用户可以通过服务器证书验证他所访问的网站是否真实可靠。 HTTPS 是以安全为目标的 HTTP 通道，即 HTTP 下加入 SSL 加密层。HTTPS 不同于 HTTP 的端口，HTTP默认端口为80，HTTPS默认端口为443。 推荐阅读： 基于OpenSSL实现C/S 架构 中的HTTPS会话 http://www.linuxidc.com/Linux/2013-05/84477.htm RHEL6.3下配置简单Apache HTTPS http://www.linuxidc.com/Linux/2013-02/78874.htm Nginx搭建HTTPS服务器 http://www.linuxidc.com/Linux/2013-01/78263.htm Linux实现HTTPS方式访问站点 http://www.linuxidc.com/Linux/2012-08/69429.htm 二、什么网站需要使用SSL证书 1、购物交易类网站 不用多说，网上银行、支付宝

0x01 SSL3.0简介 我们知道最开始HTTP协议传输数据的时候，数据是不加密的，不安全的，网景公司针对此，推出了SSL(secure socket layer)安全套接层。SSL3.0时，IETF对其标准化，将其更名为TLS1.0(transport layer security)，安全传输层协议。 简单介绍这么多，详细了解SSL可以参考以下几个链接，写的很详细。 https://blog.csdn.net/enweitech/article/details/81781405 0x02 SSL 3.0 POODLE攻击漏洞原理 影响时间:2014年10月 POODLE---英翻为贵宾犬，故此漏洞又被称为贵宾犬漏洞，Padding Oracle On Downgranded Legacy Encryption。 https://blog.csdn.net/zhaihaifei/article/details/47277975 此漏洞可以被攻击者用来窃取采用了SSLv3加密通信过程中的内容。目前调查情况，该漏洞来自于SSLv3本身使用的算法RC4的缺陷，不是实现问题，该漏洞无法修复，只能将SSLv3当作不安全协议禁用，强制使用TLS。 Windows从Windows XP开始，在操作系统层面提供了SSL和TLS支持。使用Windows本身安全服务的软件可以支持TLS，对于浏览器

https详解 目前大部分大型网站已经全部切换到了 https 服务，所以很有必要了解整个 https 的原理， https 是如何保证信息安全的。这里希望大家对以下部分名词有一定的了解： 数字证书 是互联网通信中的身份标识(主要是用户身份信息和公钥)，一般由CA中心颁发，既CA认证中心，或第三方权威机构。数字证书上通常包括：CA的签名，证书所有人的公钥，CA中心的签名算法，指纹以及指纹算法，证书的唯一编号，版本，有效期等。 数字签名、签名算法 对信息的摘要【通过 hash算法 / 摘要算法 / 指纹算法 计算的信息 摘要 / hash值 】使用签名算法进行加密，得到的密文就叫做数字签名 指纹、指纹算法/摘要算法【hash值计算】 对消息使用 hash算法/摘要算法 进行单向处理，获取一个固定长度的信息的 摘要/hash值 。 非对称加密 可以使用公钥、私钥分解进行对应的加密、解密的算法，即加解密使用的是不同的一堆秘钥。 对称加密 使用相同秘钥进行加解密的算法 公钥、私钥 非对称加解密的一对秘钥。 https服务部署过程和原理 了解 https 的原理，最好的方法就是走一遍流程，理论上的流程和原理通过以下几点来解释： 证书申请 证书信任 密文通信 证书的获取 https 的关键之一就是 ssl 证书，为了保证证书的安全有效性，在各类委员会/厂商之间合作

一、HTTP和HTTPS之间的区别 HTTP是一种协议，全称叫作：超文本传输协议（HTTP，HyperText Transfer Protocol)，是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。 同样HTTPS也是一种超文本传送协议，（HTTPS，Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。用于安全的HTTP数据传输。 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。 为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。 HTTPS和HTTP的区别主要为以下四点： https协议需要到ca申请证书，目前市面上的免费证书也不少，收费的也都比较贵。

目录 一、安装依赖 二、自建CA 2.1 生成根密钥 2.2 生成根CA证书 三、颁发证书 3.1 创建证书请求 3.2 附加用途 3.3 签发证书 四、问题排查 在网上经常看到自建CA和自签证书文档，但是发现自己生成之后，将ca证书导入客户端之后，Chrome访问网站总是会出现如下错误: NET::ERR_CERT_COMMON_NAME_INVALID 此服务器无法证实它就是 domain.com - 它的安全证书没有指定主题备用名称。这可能是因为某项配置有误或某个攻击者拦截了您的连接。一直以为是Chrome浏览器安全强度太高导致的，因为发现Firefox和IE没有这个问题，但是后来才发现自签证书有缺陷。 一、安装依赖 利用 OpenSSL 签发自然是需要 OpenSSL 软件及库，一般情况下 CentOS、Ubuntu 等系统均已内置，可执行 openssl 确认，如果出现 oepnssl: command not found 说明没有内置，需要手动安装，以 CentOS 为例，安装命令如下： [root@CA ~]# yum install openssl openssl-devel -y 修改openssl.cnf配置文件 [root@CA ~]# vim /etc/pki/tls/openssl.cnf dir=/etc/pki/CA 创建相关的文件 [root@CA

一、认证域名与SSL证书的区别 SSL 证书使访问者的 Web 浏览器和网站的服务器之间的安全、 加密连接，并确保交易的安全从篡改和拦截。认证域名向网站访客的注册和控制该网站的域名已验证。认证域名并 不 建立一个安全连接，这同样 不 提供的信用卡交易处理。SSL 证书和认证域名包括验证您的申请人的联系信息和域名注册控制。 二、SSL证书从这里开始，还要年注册服务费，价格不菲 三、域名认证是添加域名解析 域名解析需要添加两条： 域名授权验证类型 DNS 记录类型 TXT 主机记录 _dnsauth.m 记录值 2019．．．．．．．．．．．．．．．．．．．．．．．．．．．．xpfjn 文欢: 域名授权验证类型 DNS 记录类型 TXT 主机记录 _dnsauth 记录值 20191120．．．．．．．．．．．．．．．．．．．．．．．．．z3ux 作者：一策书(湘岳阳万江波) 来源： https://www.cnblogs.com/vanjob/p/11906529.html

Tomcat既可以作为独立的Servlet容器，也可以作为其他HTTP服务器附加的Servlet容器。如果Tomcat在非独立模式下工作，通常不必配置SSL，由它从属的HTTP服务器来实现和客户的SSL通信。Tomcat和HTTP服务器之间的通信无须采用加密机制，HTTP服务器将解密后的数据传给Tomcat，并把Tomcat发来的数据加密后传给客户。 如果Tomcat作为独立的Java Web服务器，则可以根据安全需要，为Tomcat配置SSL，它包含以下两个步骤： （1） 准备安全证书。 （2） 配置Tomcat的SSL连接器（Connector）。 一、准备安全证书 我在前面的 《SSL简介》 一文中讲过，获得安全证书有两种方式：一种方式是到权威机构购买，还有一种方式是创建自我签名的证书。这里就介绍第二种获取证书的方式，毕竟免费的嘛！ SUN公司提供了制作证书的工具keytool。在JDK 1.4以后的版本中都包含了这一工具，它的位置为<JAVA_HOME>\bin\keytool.exe。此外，也可以到SUN的网站上下载，下载地址如下： http://java.sun.com/j2se/1.5.0/docs/tooldocs/#security 通过keytool工具创建证书的命令为： keytool -genkeypair -alias "tomcat" -keyalg

https协议是具有安全特性的http协议，它能够加密由http传输的数据，确保在计算机和服务器之间通过互联网传输的所有数据都是安全的。相比http协议，https多了一个SSL套接层协议。当计算机连接到使用SSL的网站时，我们计算机的网页浏览器就会要求网站确认自己身份，服务器就会向我们的计算机发送SSL证书的副本，这个作用是让我们计算机能够知道我们所访问的网站是可信的。在我们接收到这个证书后，浏览器会对它进行检查，如果可信就会向网页服务器发送消息，服务器再发回一个确认作为响应，这样SSL回话就可以继续了。 SSL通过加密算法去打乱传输的数据，这样键入内容的所有数据都不再以明文发送，也就是实现了数据不可读，保证了数据的安全性。 在谷歌浏览器上，如果一个网站它没有SSL保护的话，谷歌会将它们标记为不安全，进而在他们的搜索排名中惩罚该网站，所以现在如果我们访问任何一个主要的网站，它都会使用的是https而不是标准http。 来源： https://www.cnblogs.com/simpleyou/p/11874957.html