tls

什么是加密套件？ 　　加密套件是用于在SSL / TLS握手期间协商安全设置的算法的组合。在ClientHello和ServerHello消息交换之后，客户端发送优先级列表的密码支持套件。然后，服务器使用从列表中选择的密码套件进行响应。 TLS算法组合： 在TLS中，5类算法组合在一起，称为一个CipherSuite： 认证算法 加密算法 消息认证码算法 简称MAC 密钥交换算法 密钥衍生算法 比较常见的算法组合是 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 和 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256， 都是ECDHE 做密钥交换，使用RSA做认证，SHA256做PRF算法。 一个使用AES128-CBC做加密算法，用HMAC做MAC。 一个使用AES128-GCM做加密算法，MAC由于GCM作为一种AEAD模式并不需要。 这里是一个加密套件的例子： TLS _ECDHE_ RSA _ WITH_AES_128_GCM _ SHA256 　　TLS是协议。从ECDHE开始，在握手期间，密钥将通过临时ECDHE进行交换。RSA是认证算法。AES_128_GCM是批量加密算法。SHA-256是散列算法。 　　大多数浏览器和服务器都有各自支持的密码套件列表，两者将在握手过程中进行优先顺序比较，以确定使用的安全设置。 　

修改 Makefile Mac 下： # https : turn on TLS_MODULE to add https support TLS_MODULE=ltls TLS_LIB="$(shell brew --prefix openssl)/lib" TLS_INC="$(shell brew --prefix openssl)/include" Linux 下： # https : turn on TLS_MODULE to add https support TLS_MODULE=ltls TLS_LIB= TLS_INC= 前提是都安装了 openssl 然后在 config 里设置 certfile = "./host.cert" keyfile = "./host.key" 用 simpleweb.lua 测试，记得先把 http 改成 https 来源： https://www.cnblogs.com/hangj/p/12293241.html

更新注册表 调整tls支持 1.1 1.2 版本 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client] "Enabled"=dword:00000000 "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server] "Enabled"

生成密钥： openssl genrsa -out privkey.pem 2048 生成csr申请文件： openssl req -sha256 -new -key privkey.pem -out pubkey.pem 生成自签名证书： openssl x509 -req -days 365 -in my.csr -signkey my.key -out my.crt 转换为pfx格式： openssl pkcs12 -export -out my.pfx -inkey my.key -in my.pem PKCS7 转 PEM: openssl pkcs7 -print_certs -in my.cer -out my.pem JKS 转 PKCS12: keytool -importkeystore -srckeystore my.jks -destkeystore my.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass passwordText -deststorepass passwordText -srcalias aliasText -destalias aliasText -srckeypass passwordText -destkeypass passwordText -noprompt

网络探测：Blackbox Exporter 什么是 blackbox exporter? Blackbox Exporter 是 Prometheus 社区提供的 官方黑盒监控解决方案,其允许用户通过: http\HTTPS\DNS\TCP\ICMP 的方式对网络进行探测. 以 docker 方式运行 blackbox exporter 拉取镜像 docker pull prom/blackbox-exporter 查看 dockerfile(这是一个好习惯) $ cat check_docker_file.sh #!/bin/bash export PATH=$PATH if [ $# -eq 1 ];then docker history --format {{.CreatedBy}} --no-trunc=true $1 |sed "s/\/bin\/sh\ -c\ \#(nop)\ //g"|sed "s/\/bin\/sh\ -c/RUN/g" | tac else echo "sh Obtain_dockerfile.sh $DOCKER_IMAGE" fi $ sh check_docker_file.sh prom/blackbox-exporter:latest ADD file

https=http+ssl 顾名思义，https是在http的基础上加上了SSL保护壳，信息的加密过程就是在SSL中完成的 SSL证书的定义：SSL证书是由专门的权威的数字证书颁发机构在验证一个域名的信息之后所发行的数字网络证书，它可以很好地维护网络信息的安全，防止这些信息被第三方所截取或是窃听。 ssl认证指的是客户端到服务器端的认证，它主要是提供对用户以及服务器的认证，对传送的数据进行加密和隐藏，它能够确保数据在传送过程当中不被改变，对于数据的加密性、数据的完整性有一定保障。 https ssl证书颁发后都有一个有效期。有时证书没过期都会出现无效的情况，那可能是电脑系统的时间不对会导致证书过期，因为https ssl证书颁发都有颁发日期和截止日期的。电脑系统当中的时间在证书有效时间之外，就有可能导致浏览器提示网站安全证书过期。 关于SSL证书原理，其实在一个网站部署了SSL证书之后，就相当于为这个网址配置两把密钥，一把叫做公钥，另一把叫做私钥。公钥的作用就是在用户将自己的信息留在这个网站时为这些信息加锁的钥匙，加了锁之后，这些信息就不能被轻易的读取，除非有专门的钥匙打开。而这把打开这个锁的钥匙，就是另一把密钥，也就是私钥。只有这把对应的私钥才可以打开公钥部下的锁，因此在这两把密钥的作用下，可以使客户的信息数据在网站中安全的传入并安全的浏览，不会被他人截取。 一、作用

安装Fabirc-CA-Client 获取fabric-ca源码 go get github.com/hyperledger/fabric-ca 切换到v1.4.0分支 git checkout v1.4.0 编译安装client cd cmd/fabric-ca-client go install 注意：需要将GOPATH/bin 添加到环境变量 Fabric-CA交互原理 启用TLS 这里说的tls是指fabric-ca-server和fabric-ca-client之间加密通信 先看下fabric-ca-server例子： 要启用tls，需要配置环境变量FABRIC_CA_SERVER_TLS_ENABLED=true version : '2' networks : fabric-ca : driver : bridge services : rca-org1 : container_name : rca - org1 image : hyperledger/fabric - ca : 1.4.0 command : sh - c 'fabric - ca - server start - d - b rca - org1 - admin : rca - org1 - adminpw - - port 7054' environment : - FABRIC_CA

HTTPS 详解一：附带最精美详尽的 HTTPS 原理图 HTTPS详解二：SSL / TLS 工作原理和详细握手过程 在上篇文章 HTTPS详解一 中，我已经为大家介绍了 HTTPS 的详细原理和通信流程，但总感觉少了点什么，应该是少了对安全层的针对性介绍，那么这篇文章就算是对 HTTPS 详解一 的补充吧。还记得这张图吧。 HTTPS 和 HTTP的区别 显然，HTTPS 相比 HTTP最大的不同就是多了一层 SSL (Secure Sockets Layer 安全套接层)或 TLS (Transport Layer Security 安全传输层协议)。有了这个安全层，就确保了互联网上通信双方的通信安全，那么这个安全层是怎么工作的，SSL / TLS 握手过程又是怎样的呢？本文将对这些问题一一解答。 1、SSL / TLS 以及 SSL / TLS 握手的概念 SSL 和 TLS 协议可以为通信双方提供识别和认证通道，从而保证通信的机密性和数据完整性。TLS 协议是从Netscape SSL 3.0协议演变而来的，不过这两种协议并不兼容，SSL 已经被 TLS 取代，所以下文就以 SSL 指代安全层。 TLS 握手是启动 HTTPS 通信的过程，类似于 TCP 建立连接时的三次握手。 在 TLS 握手的过程中，通信双方交换消息以相互验证，相互确认

1. 理解Registry 一个registry是一个存储和内容交付系统，其中维护着若干命名的Docker镜像，这些镜像有不同的标记版本。（例如：有一个镜像名字叫 hello/world，它有两个tags分别是2.0和2.1） 用户通过使用 docker push 和 docker pull 命令与 registry 进行交互。（例如：docker pull registry-1.docker.io/hello/world:2.1） A registry is a storage and content delivery system, holding named Docker images, available in different tagged versions.Users interact with a registry by using docker push and pull commands. 前面说了，registry是一个存储系统，它存储的是Docker镜像。那么，镜像到底存到哪里呢？存储本身委托给驱动程序。默认的存储驱动程序是本地posix文件系统，还支持其它基于云的存储驱动程序，例如 Aliyun OSS 由于保护对托管映像的访问至关重要，因此Registry本身支持TLS和基本身份验证。 1.1. 理解镜像命名 docker pull ubuntu

由于工作需要和知识储备，重新系统地学习网络方面的知识，先从《TCP/IP详解卷一》开始，对看书的大体内容进行简单整理，在这里进行记录。记录只是对知识的整理过程，并不追求面面俱到。 概念 EAP：可拓展身份认证协议，在链路层上保护一跳通信中的数据；它可与多种链路层技术一同使用，并提供多种方法来实现身份验证、授权以及计费（AAA）。 ESP：封装安全负载，IPsec中最流行的协议； 主要内容 补充内容 TCP/IP安全协议分层 与网络协议一样，安全协议也存在于协议栈的多个不同层次。链路层的安全服务致力于保护一跳通信中的信息；网络层的安全致力于保护两个主机之间传输的信息；传输层的安全服务致力于保护进程与进程之间的通信；应用层的安全服务致力于保护应用程序操纵的信息。常见的安全协议与分层如图所示。 IPsec IPsechi一个集合了许多标准的体系结构，它们在网络层为提供数据源认证、完整性、机密性以及访问控制。IPsec的操作分为建立阶段与数据交换阶段。建立阶段负责交换密钥材料并建立安全关联（SA）；数据交换阶段会使用不同类型的封装架构，成为认证头（AH）和封装安全负载（ESP）。IPsec可用于不同模式，如隧道模式或传输模式，以保护IP数据报流。以安全网关为例，IPsec的简要过程如图所示。 TLS TLS用于保证Web通信以及其他流行协议的安全。由于TLS能在应用程序或底部实现