tls

由于最近在学习Docker，在这里把有关Docker的命令做一个集合，方便后面查看： 1 # docker --help 2 Usage: docker [OPTIONS] COMMAND [arg...] 3 docker daemon [ --help | ... ] 4 docker [ -h | --help | -v | --version ] 5 6 A self-sufficient runtime for containers. 7 8 Options: 9 10 --config=~/.docker Location of client config files 11 -D, --debug=false Enable debug mode 12 -H, --host=[] Daemon socket(s) to connect to 13 -h, --help=false Print usage 14 -l, --log-level=info Set the logging level 15 --tls=false Use TLS; implied by --tlsverify 16 --tlscacert=~/.docker/ca.pem Trust certs signed only by this CA 17 --tlscert=~/.docker/cert

一：首先为什么要改为TLS1.2 因为各大浏览器相继发布声明将停止支持 TLS 1.0 和 TLS 1.1 https://www.cnblogs.com/jpush88/p/9846047.html 二：下载windows服务器安全管理工具 IISCrypto 链接: https://pan.baidu.com/s/1cWiRKpMsRfJ07nHVhhcXdw 提取码: rc8f 其实TLS1.0和TLS1.1勾选不去掉也行，会优先使用TLS1.2，但是不去掉你的服务器还是支持这两种加密方式。 Apply后会自动重启服务器的，完结撒花*★,°*:.☆(￣▽￣)/$:*.°★* 。 来源： https://www.cnblogs.com/baocaige/p/11346616.html

https://segmentfault.com/a/1190000009002353 TLS 协议可用于保护正常运行于 TCP 之上的任何应用协议的通信,如 HTTP、 FTP 、SMTP 或 Telnet 等高层的应用协议的通信,最常见的是用 TLS 来保护 HTTP 的通信。 TLS 协议的优点在于它是与应用层协议无关的 。 高层的应用协议能透明地建立于 TLS协议之上 。 SSL/TLS及证书概述 每次配置HTTPS或者SSL时，都需要指定一些cacert，cert，key之类的东西，他们的具体作用是什么呢？为什么配置了他们之后通信就安全了呢？怎么用openssl命令来生成它们呢？程序中应该如何使用这些文件呢？ 本篇以TLS 1.2作为参考，只介绍原理，不深入算法的细节 SSL和TLS的关系 SSL(Secure Sockets Layer)和TLS(Transport Layer Security)的关系就像windows XP和windows 7的关系，升级后改了个名字而已。下面这张表格列出了它们的历史： 协议 创建时间 创建者 RFC 注释 SSL1.0 n/a Netscape n/a 由于有很多安全问题，所以网景公司没有将它公之于众 SSL2.0 1995 Netscape n/a 这是第一个被公众所了解的SSL版本 SSL3.0 1996 Netscape

　　Bearer Token ( RFC 6750 ) 用于OAuth 2.0授权访问资源，任何Bearer持有者都可以无差别地用它来访问相关的资源，而无需证明持有加密key。一个Bearer代表授权范围、有效期，以及其他授权事项；一个Bearer在存储和传输过程中应当防止泄露，需实现Transport Layer Security (TLS)；一个Bearer有效期不能过长，过期后可用Refresh Token申请更新。 一. 资源请求 　　 Bearer实现 资源请求有三种方式：Authorization Header、Form-Encoded Body Parameter、URI Query Parameter，这三种方式优先级依次递减 Authorization Header ：该头部定义与Basic方案类似 GET /resource HTTP/1.1 Host: server.example.com Authorization: Bearer mF_9.B5f-4.1JqM Form-Encoded Body Parameter ： 下面是用法实例 POST /resource HTTP/1.1 Host: server.example.com Content-Type: application/x-www-form-urlencoded access_token=mF

背景 原来申请的正式域名备案通过，TLS证书也申请了。之前使用的临时域名和证书作为测试环境使用。于是要在单个ECS主机上配置nginx多个证书和多个域名。 实践 nginx部署多个TLS证书很简单，在不同的virtual host分别配置证书就搞定了。比如我有 a.com 和 b.com 两个域名，在 nginx.conf 分别配置2个server就可以了 123456789101112131415161718192021 server { listen 443 ssl http2; server_tokens off; server_name a.com; ssl_certificate cert/a.com.pem; #将domain name.pem替换成您证书的文件名。 ssl_certificate_key cert/a.com.key; #将domain name.key替换成您证书的密钥文件名。 # more config}server { listen 443 ssl http2; server_tokens off; server_name b.com; ssl_certificate cert/b.com.pem; #将domain name.pem替换成您证书的文件名。 ssl_certificate_key cert/b.com.key; #将domain

原文地址： TLS etcd支持用于客户端到服务器以及对等方（服务器到服务器/集群）通信的自动TLS以及通过客户端证书的身份验证. 要启动并运行，首先要获得一个成员的CA证书和签名密钥对。 建议为集群中的每个成员创建并签名一个新的密钥对。 为了方便起见， cfssl 工具提供了一个简单的接口来生成证书，我们在 此处 提供了使用该工具的示例。 或者，尝试使用本指南 生成自签名密钥对 。 基本设置 etcd通过命令行参数或环境变量采用了几种与证书相关的配置选项： 客户端到服务器的通信： --cert-file=<path> :用于SSL/TLS 与 etcd的连接的证书。设置此选项后，advertise-client-urls可以使用HTTPS模式。 --key-file=<path> :证书的密钥。 必须未加密。 --client-cert-auth :设置此选项后，etcd将检查所有传入的HTTPS请求以查找由受信任CA签名的客户端证书，不提供有效客户端证书的请求将失败。 如果启用了身份验证，则证书将为“公用名”字段指定的用户名提供凭据。 --trusted-ca-file=<path> :受信任的证书颁发机构。 --auto-tls :使用自动生成的自签名证书进行与客户端的TLS连接。 对等节点(服务器到服务器/集群)间的通信： 对等节点选项的工作方式与客户端到服务器的选项相同：

原文地址： Configuration flags etcd通过配置文件，多命令行参数和环境变量进行配置， 可重用的配置文件是YAML文件，其名称和值由一个或多个下面描述的命令行标志组成。为了使用此文件，请将文件路径指定为 --config-file 标志或 ETCD_CONFIG_FILE 环境变量的值。如果需要的话 配置文件示例 可以作为入口点创建新的配置文件。 在命令行上设置的选项优先于环境中的选项。 如果提供了配置文件，则其他命令行标志和环境变量将被忽略。例如， etcd --config-file etcd.conf.yml.sample --data-dir /tmp 将会忽略 --data-dir 参数。 参数 --my-flag 的环境变量的格式为 ETCD_MY_FLAG .它适用于所有参数。 客户端请求 官方的etcd端口 为2379,2380是节点通信端口。可以将etcd端口设置为接受TLS流量，非TLS流量，或同时接受TLS和非TLS流量。 要在Linux启动时使用自定义设置自动启动etcd，强烈建议使用 systemd 单元。 成员标记 --name 人类可读的该成员的名字 默认值："default" 环境变量：ETCD_DATA_DIR 该值被该节点吃的 --initial-cluster 参数引用(例如 default=http://localhost

原文地址: cluster on multiple machines 总览 启动一个集群静态的要求是每一个集群中的成员需要知道其他成员的位置。在许多情况下，集群成员的IP可能无法提前知道。在这种情况下，etcd集群可以在发现服务的帮助下进行启动。 一旦etcd集群已经启动，添加或移除成员可以通过 运行时重新配置 。在运行时重新配置之前，为了更好地理解设计，我们建议读 运行时重新配置设计文档 。 这篇引导etcd集群的启动将包括以下机制： 静态 etcd发现 DNS发现 每种引导机制都将用于创建具有以下详细信息的三台计算机etcd集群： Name Address Hostname infra0 10.0.1.10 infra0.example.com infra1 10.0.1.11 infra1.example.com infra2 10.0.1.12 infra2.example.com 静态 集群的成员，在启动之前它们的地址和集群的大小，我们可以通过设置 initial-cluster 参数使用离线的启动配置。每一个机器将会通过以下的环境变量或命令行获得配置信息： ETCD_INITIAL_CLUSTER="infra0=http://10.0.1.10:2380,infra1=http://10.0.1.11:2380,infra2=http://10.0.1.12:2380

不兼容 SNI 的现象 众所周知，伟大的 Windows XP 对 Server Name Indication 的支持不好。表现为打不开某些 https 网页。 为了兼容性，需要关闭SNI以保证IE6能正常访问。这样的代价就是：需要更多的服务器资源（IP不可复用，资源不易复用）。 某些云厂商，开启SNI选项的情况下价格会更优惠、关闭SNI会有 额外收费 。 故障现象 Windows XP + IE6 无法打开 https 网页： 实际上缓解的办法在上图中已显示： 请单击工具菜单，然后单击 Internet 选项。在“高级”选项卡上，滚动到“安全”部分，复选 SSL 2.0、SSL 3.0、TLS 1.0、PCT 1.0 设置。 开启IE6的TLS支持后，重启浏览器。确认安全警告后，能正常打开如下： 但拿到的证书都是被第1个加载的证书，欣慰的时访问到的内容（vhost）是正确的： 测试方法 安装Nginx 以 Nginx 为例，测试 https 证书与 IE6 的兼容性 apt-get -y install nginx # yum -y install nginx 自制证书 SNI 允许一个 IP 指向多个证书，那么我们做两个域名使用两个证书。简要如下： openssl genrsa -des3 -out /etc/nginx/conf.d/s1.key 1024 openssl

1.什么是协议？ 网络协议是计算机之间为了实现网络通信而达成的一种“约定”或者”规则“，有了这种”约定“，不同厂商的生产设备，以及不同操作系统组成的计算机之间，就可以实现通信。 2.HTTP协议是什么？ HTTP协议是 超文本传输协议 的缩写，英文是Hyper Text Transfer Protocol。它是从WEB服务器传输超文本标记语言(HTML)到本地浏览器的传送协议。 设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。 HTPP有多个版本，目前广泛使用的是HTTP/1.1版本。 3.HTTP原理 HTTP是一个基于TCP/IP通信协议来传递数据的协议，传输的数据类型为HTML 文件,、图片文件, 查询结果等。 HTTP协议一般用于B/S架构（）。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。 我们以访问百度为例： 4.HTTP特点 http协议支持客户端/服务端模式，也是一种请求/响应模式的协议。 简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。 灵活：HTTP允许传输任意类型的数据对象。传输的类型由Content-Type加以标记。 无连接：限制每次连接只处理一个请求。服务器处理完请求，并收到客户的应答后，即断开连接，但是却不利于客户端与服务器保持会话连接