证书

某厂面试归来，发现自己落伍了！>>> x509证书一般会用到三类文，key，csr，crt。 Key 是私用密钥openssl格，通常是rsa算法。 Csr 是证书请求文件，用于申请证书。在制作csr文件的时，必须使用自己的私钥来签署申，还可以设定一个密钥。 crt是CA认证后的证书文，（windows下面的，其实是crt），签署人用自己的key给你签署的凭证。 1.key的生成 openssl genrsa -des3 -out server.key 2048 这样是生成rsa私钥，des3算法，openssl格式，2048位强度。server.key是密钥文件名。为了生成这样的密钥，需要一个至少四位的密码。可以通过以下方法生成没有密码的key: openssl rsa -in server.key -out server.key server.key就是没有密码的版本了。 2. 生成CA的crt openssl req -new -x509 -key server.key -out ca.crt -days 3650 生成的ca.crt文件是用来签署下面的server.csr文件。 3. csr的生成方法 openssl req -new -key server.key -out server.csr 需要依次输入国家，地区，组织，email。最重要的是有一个common

---------------------ssh证书登陆------------------------ 证书登录的步骤 1.客户端生成证书:私钥和公钥，然后私钥放在客户端，妥当保存，一般为了安全，访问有黑客拷贝客户端的私钥，客户端在生成私钥时，会设置一个密码，以后每次登录ssh服务器时，客户端都要输入密码解开私钥(如果工作中，你使用了一个没有密码的私钥，有一天服务器被黑了，你是跳到黄河都洗不清)。 2.服务器添加信用公钥：把客户端生成的公钥，上传到ssh服务器，添加到指定的文件中，这样，就完成ssh证书登录的配置了。 假设客户端想通过私钥要登录其他ssh服务器，同理，可以把公钥上传到其他ssh服务器。 真实的工作中:员工生成好私钥和公钥(千万要记得设置私钥密码)，然后把公钥发给运维人员，运维人员会登记你的公钥，为你开通一台或者多台服务器的权限，然后员工就可以通过一个私钥，登录他有权限的服务器做系统维护等工作，所以，员工是有责任保护他的私钥的，如果被别人恶意拷贝，你又没有设置私钥密码，那么，服务器就全完了，员工也可以放长假了。 客户端建立私钥和公钥 在客户端终端运行命令 ssh-keygen -t rsa rsa是一种密码算法，还有一种是dsa，证书登录常用的是rsa。 假设用户是blue,执行 ssh-keygen 时，才会在我的home目录底下的 .ssh/

系统：CentOS7 32位 目标： 使用OpenSSL生成一个CA根证书，并用这个根证书颁发两个子证书server和client。 先确保系统中安装了OpenSSL，若没安装，可以通过以下命令安装： sudo yum install openssl 修改OpenSSL的配置 安装好之后，定位一下OpenSSL的配置文件openssl.cnf： locate openssl.cnf 如图，我这里的目录是/etc/pki/tls/openssl.cnf。 修改配置文件，修改其中的dir变量，重新设置SSL的工作目录： 由于配置文件中，dir变量下还有几个子文件夹需要用到，因此在自定义的文件夹下面也创建这几个文件夹或文件，它们是： certs——存放已颁发的证书 newcerts——存放CA指令生成的新证书 private——存放私钥 crl——存放已吊销的证书 index.txt——OpenSSL定义的已签发证书的文本数据库文件，这个文件通常在初始化的时候是空的 serial——证书签发时使用的序列号参考文件，该文件的序列号是以16进制格式进行存放的，该文件必须提供并且包含一个有效的序列号 生成证书之前，需要先生成一个随机数： openssl rand -out private/.rand 1000 该命令含义如下： rand——生成随机数 -out——指定输出文件 1000—

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 配置Nginx服务器端认证 配置Nginx客户端认证 配置wordpress后台使用证书免密码登录 配置Nginx服务器端认证 首先申请一个证书（不要玩自签的证书了，不解释），startcom或者wosign都有免费的DV SSL，只验证域名所有权的证书。建议申请wosign的证书，免费的而且会根据你的服务器环境生成相应的crt，按照下面的配置填写好证书路径即可，配置起来相当简单。自己配置过nginx上的证书的可能知道，会碰到chrome、ie上正常，firefox上提示连接不安全的情况，这是证书链的问题，需要你合成crt。wosign会自动生成nginx的配置，省去了很多麻烦。 ssl on; ssl_certificate site_bundle.crt; ssl_certificate_key site.key; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; 配置完reload nginx，使用https打开网址会发现上面有一个小锁，这就表示配置生效了。 配置Nginx客户端认证 首先申请一个email证书或者个人证书（同样不要玩自签的证书，同样不解释），wosign有免费的email证书

keytool是Java的数字证书管理工具，用于数字证书的生成，导入，导出与撤销等操作。它与本地密钥库关联，并可以对本地密钥库进行管理，可以将私钥存放于密钥库中，而公钥使用数字证书进行输出。keytool在jdk安装目录的bin文件夹下： 构建自签名证书 在构建CSR之前，需要先在密钥库中生成本地数字证书，此时需要提供用户的身份、加密算法、有效期等一些数字证书的基本信息： keytool -genkeypair -keyalg RSA -keysize 1024 -sigalg MD5withRSA \ -validity 365 -alias www.mydomain.com -keystore ~/my.keystore 参数介绍： -genkeypair——产生密钥对 -keyalg ——指定加密算法 -keysize ——指定密钥长度 -sigalg ——指定签名算法 -validity ——证书有效期 -alias ——证书别名 -keystore ——指定密钥库的位置 执行结果： 证书导出 执行了上面的命令后，我们已经生成了一个本地数字证书，虽然还没有经过证书认证机构进行认证，但并不影响使用，我们可以使用相应的命令对证书进行导出。 keytool -exportcert -alias \ -keystore ~/my.keystore -file /tmp/my.cer

问题： 项目中Android https或http请求地址重定向为HTTPS的地址，相信很多人都遇到了这个异常(无终端认证)： javax.net.ssl.SSLPeerUnverifiedException: No peer certificate 解决过程： 1.没遇到过的问题，搜索吧，少年 log里出现这个异常，作者第一次遇到，不知道啥意思。看下字面意思，是ssl协议中没有终端认证。SSL? 作者没用到ssl协议呀，只是通过httpClient请求一个重定向https的地址。 好吧，google下，知道了个差不多情况的帖子， http://www.eoeandroid.com/thread-161747-1-1.html 。恩恩，一个不错的帖子，给出了个解决方案。照着来试下。添加个继承SSLSocketFactory的 自定义类。并在初始化httpclient支持https时，注册进去。看下面代码： public class HttpClientHelper { private static HttpClient httpClient; private HttpClientHelper() { } public static synchronized HttpClient getHttpClient() { if (null == httpClient) { // 初始化工作