HD243608836的博客

学习使用 OpenSSL。由于电脑较卡只能在win上进行演示。方法一、openssl x509-req -days365incrt365是自签名证书 的天数完成：cmd在哪里运行的，生成的证书会在什么目录下；方法二、完整代码http {defaulttypesendfileon;65;127.0.0.1;

今天做这么一个事，centos服务器，tomcat8+nginx1.6，现在要在上面运行cas4.0。所以需要配ssl，然后找教程，了解到，需要把tomcat和nginx的ssl都配置好。到这里就晕了，tomcat配ssl需要一个.keystore文件，nginx则需要配一个.crt和一个.key的文件。按照教程使用keytool生成了.keystore文件，然后我需要通过.keystore导出一个.crt文件，但是找了好多教程只是导出.cer文件。

前言无论是单、双向加密的方式，对文件的加密最根源都是用的“对称密钥”加密（即一个“密码”）因为"对称密钥"加密解密的速度、性能、资源损耗都是优于“非对称加密”的。而“非对称密钥”主要是用于验证身份。一、单向加密流程说明：A：先使用“对称密钥”加密“原文”（得到“密文”），然后使用“公钥”加密“对称密钥”（得到“数字信封”）传输B：先使用“私钥”解密“数字信封”（得到“对称密钥”），然后使用“对称密钥”解密“密文”（得到“原文”）缺点：“B公钥”（B提

背景今天尝试用Java去访问一个https接口，但抛出下面的异常：javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure解决过程（个人发现）建议如果是ssl双向认证的，先看看是不是客户端证书文件路径获取有问题（debug一下，看看是不是null），导致没携带证书访问https服务器，也会报这个handshake_failure错误。遇到问题首先去Google，然后在 javax.n.

1、HTTPS介绍 由于HTTP是明文传输，会造成安全隐患，所以在一些特定场景中，必须使用HTTPS协议，简单来说HTTPS=HTTP+SSL/TLS。服务端和客户端的信息传输都是通过TLS进行加密。这样就能在一定程度上避免敏感信息被截取。在通信过程中，请求方称为客户端，响应方称为服务端。HTTPS请求流程如图：1、客户端向服务端发送加密版本、加密算法种类、随机数信息等。2、服务端返回客户端发送的信息并带上服务端证书（公钥证书）。3、客户端效验服务端证书的合法性。4、...

本文的相关源码位于https://github.com/dreamingodd/CA-generation-demo0.Nginx配置Https双向认证首先配置Https双向认证的服务器资源。可以参考：http://www.cnblogs.com/dreamingodd/p/7357029.html完成之后如下效果：1.导入cacerts进行访问首先将服务器证书导入keystore cacerts，默认密码为changeit，如果需要修改密码就改一下。keytoo..

一、基础概念注：以下概念除专业名词外，均为个人理解，不具备权威性。1、什么是系统安全管理置于公网的系统，通常都需要一定的安全管理，据我个人理解，这里的安全管理主要分三个方面：一是应用内的权限控制，比如具体应用的用户名、密码等；二是应用数据传输过程中的安全机制，例如各种报文的加解密方案；三是数据传输前的通讯安全机制，保证通讯双方都是可靠可信任的，PKI就是其中一个解决方案。2、什么是PKIPKI是 Public Key Infrastructure的简称，意思是公钥基础设施。公钥基

安装证书。一、下载证书第一步是要下载证书去你程序要访问的网站，点击那个锁按钮，并点击查看详情（chrome浏览器）点击View certificate点击详细信息复制到文件下一步选择格式生成的名称，最后保存这里我保存在的D盘根目录下叫abc.cer二、导入证书切换到jre的/lib/security/下执行如下命令keytool -import -alias abc -keystore cacerts -file

我的项目是服务器与服务器之间调接口，调用是需要ssl证书双向认证的。yml中配置：## 证书双向认证配置（本系统作为客户端）client: ssl: abs: # jks与pkcs12（即pfx）都可以。type不区分大小写 # path: ssl/abs/abs@aaa.abc.com.jks # type: JKS path: ssl/abs/abs@aaa.abc.com.pfx type: PKCS

公司有一些标准的对外https服务，内部调用也需要走https的方式，但是可以用内部IP，这个时候就会遇到证书校验域名不通过的问题，需要忽略。本文分别介绍curl，wget和okhttp中忽略域名校验的方法curl错误内容curl: (51) Unable to communicate securely with peer: requested domain name does not match the server's certificate.忽略方式 一种是添加临时域名解析缓存.

最近要做客户端和服务器端的双向认证，在客户端向服务器端发送带证书的请求这里有一点问题，网上的例子大多都不太好使，于是找了github上httpclient源代码中的例子改造了一下，终于弄明白了github上我参考的例子在：https://github.com/apache/httpclient/blob/4.5.x/httpclient/src/examples/org/apache/http/examples/client/ClientCustomSSL.java下面先贴上我自己的代码(需要导入.

单向认证我们在通常访问一个网站，例如https://www.baidu.com，这是一个单向的TLS认证，具体的过程为：服务器发送证书给客户端，客户端校验证书。验证证书有效之后，客户端和服务器协商出一个对称加密密钥由服务端的私钥加密，客户端收到之后再用公钥解密这个对称密钥，然后就开始了传输层加密之旅。这种时候，服务端并不校验客户端的合法性，来者不拒，绝大部分的网站都是这种类型。例如查看百度：[root@iZbp1g905y8l5pclnbxvfxZ ~]# curl https://www.b

用法： openssls_client[-connecthost:port>;][-verifydepth][-certfilename][-keyfilename][-CApathdirectory][-CAfilefilename][-reconnect][-pause][-showcerts][-debug][-nbio_test][-state][-nbio][-crlf]...

配置SSL双向认证的CA证书链时，其中最关键的两步骤：ssl_client_certificateca.crt;#包含证书链的ca.crt ssl_verify_depth 2;# 指定双向认证客户端证书到根证书的深度，默认是1配置如下：# HTTPS server#server { listen 443 ssl; listen 8110 ssl; server_name aaa.abc.com; ssl on; ssl_certif...

该文章配置很全面但是有些地方有冗余的配置，我只归纳提取了简化了本文的ssl双向认证时CA为证书链的相关配置，链接为：原文如下：~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~生成私钥与自签根证书(这次使用aes256加密,密码是redhat)# 进行简单处理[root@www ~]# cd /usr/local/openssl/[root@www openssl]# mkdir root-CA sub-CA[root@www openssl]# cp -r

https://blog.youkuaiyun.com/pashanhu6402/article/details/96428887

作者：动力节点up小助理https://www.bilibili.com/read/cv10555171出处： bilibili