SSL伪指令

最新推荐文章于 2024-09-10 14:03:26 发布
原创 最新推荐文章于 2024-09-10 14:03:26 发布 · 341 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#虚拟机 #AIX #Windows #IBM #浏览器

本文深入探讨了Apache HTTP Server的配置参数,包括密钥文件、日志级别、SSL加速器禁用等关键设置,提供了详细的说明和用法示例。

原:[http://huihai.zjuyc.com/manual/ibm/index.html]

Keyfile

 

  • 描述 - 设置要使用的密钥文件。
  • 作用域 - 全局基本和虚拟主机
  • 用法 - Keyfile /密钥文件的路径/keyfile.kdb
  • - 密钥文件的文件名

LogLevel

 

  • 描述 - 调整记录在出错日志中的冗余消息。当指定特定级别时,同时报告来自所有其它更高重要性级别的消息。例如,当指定 LogLevel info 时,同时也报告 noticewarn 日志级别的消息。我们建议至少指定 crit 级
  • 配置文件中的多个实例 - 允许。首选项顺序自顶向下,从头至尾。如果客户机不支持密码规范,则关闭连接。
  • 作用域 - 服务器配置,虚拟主机
  • 用法 - LogLevel 级别
  • - 下列级别可用,以重要性降序排列:

     

    级别描述示例
    emerg紧急情况 - 系统不可用。“子无法打开锁文件。退出”
    alert 必须立即执行操作。“getpwuid:无法根据用户标识确定用户名”
    crit临界条件。“套接字:获取套接字失败,退出子”
    error错误条件。“脚本头过早结束”
    warn警告条件。“子进程 1234 未退出,发送另一个 SIGHUP 命令”
    notice正常但是重要条件。“httpd:捕捉 SIGBUS,试图将核心转储到 ...”
    info信息。“服务器正忙,(您可能需要增加 StartServers 或 Min/MaxSpareServers)...”
    debug 调试级消息。“打开配置文件 ...”
  • - 如果未指定,缺省为 LogLevel error

SSLAcceleratorDisable

将此伪指令放在配置文件内的任何位置(包括在虚拟主机内)。在初始化期间,如果确定机器上已安装加速器设备,则该加速器用于执行安全事务。如果您要禁用加速器设备,使用 SSLAcceleratorDisable。

 

 

  适用于 UNIX 系统

 

 

SSLCacheDisable(在 Windows NT 上无效)

 

 

 

 

 

 

 

  • 描述 - 禁用外部 SSL 会话标识高速缓存
  • 配置文件中的多个实例 - 不允许
  • 作用域 - 每个物理 Apache 服务器实例有一个
    (仅在虚拟主机节之外才允许)
  • 用法 - SSLCacheDisable
  • - 无
  • - 仅在 UNIX 上有效

 

 

  适用于 UNIX 系统

 

 

SSLCacheEnable(在 Windows NT 上无效)

 

 

 

 

 

 

 

  • 描述 - 启用外部 SSL 会话标识高速缓存
  • 配置文件中的多个实例 - 不允许
  • 作用域 - 每个物理 Apache 服务器实例有一个
    (仅在虚拟主机节之外才允许)
  • 用法 - SSLCacheEnable
  • - 无
  • - 仅在 UNIX 上有效

 

 

  适用于 UNIX 系统

 

 

SSLCacheErrorLog(在 Windows NT 上无效)

 

 

 

 

 

 

 

  • 描述 - 设置用于会话标识高速缓存出错日志的文件名
  • 作用域 - 每个物理服务器实例有一个
    (仅在虚拟主机节之外才允许)
  • 用法 - SSLCacheErrorLog /usr/HTTPServer/log/sidd_log
  • - 有效文件名
  • - 在 Windows NT 上无效

 

 

 

  适用于 UNIX 系统

 

 

SSLCachePath(在 Windows NT 上无效)

 

 

 

 

 

 

 

  • 描述 - 指定会话标识高速缓存守护进程可执行文件的路径。
  • 示例 - SSLCachePath /usr/HTTPServer/bin/sidd
  • 作用域 - 每个物理 IBM HTTP 服务器有一个
  • - 有效路径名。
  • - 在 Windows NT 上无效

 

 

  适用于 UNIX 系统

 

 

SSLCachePortFilename(在 Windows NT 上无效)

 

 

 

 

 

 

 

  • 描述 - 设置 UNIX 域套接字的文件名,此套接字用于在服务器实例和会话标识高速缓存守护进程间进行通信。
  • 作用域 - 每个物理 Apache 服务器实例有一个(仅在虚拟主机节之外才允许)。
  • - 有效文件名。 注:在启动时,Web 服务器删除此文件;不要使用现有文件名。
  • 用法 - SSLCachePortFilename /usr/HTTPServer/logs/siddport
    • 对于 AIX:缺省为 /usr/HTTPServer/logs/siddport
    • 对于 Solaris:缺省为 /opt/IBMHTTPD/logs/siddport

 

 

  适用于 UNIX 系统

 

 

SSLCacheTraceLog(在 Windows NT 上无效)

 

 

 

 

 

 

 

  • 描述 - 指定记录会话标识跟踪消息的跟踪日志。
  • 示例 - SSLCacheTraceLog /usr/HTTPServer/log/sidd-trace.log
  • 作用域 - 每个物理 IBM HTTP 服务器有一个
  • - 有效路径名。
  • - 在 Windows NT 上无效

 

SSLCipherBan

 

SSLCipherRequire

 

 

SSLCipherSpec

 

  • 描述 - 指定用于安全事务的密码规范
  • 配置文件中的多个实例 - 允许。首选项顺序自顶向下,从头至尾。如果客户机不支持密码规范,则关闭连接。
  • 作用域 - 虚拟主机
  • 用法 - SSLCipherSpec 短名
    SSLCipherSpec 长名
  • - 请参阅 SSL 版本 2 密码规范SSL 版本 3 和 TLS 版本 1 密码规范
  • - 如果未指定,服务器使用所有可用于已安装的 GSK 库的密码规范

 

版本 2 密码规范
短名长名描述
27SSL_DES_192_EDE3_CBC_WITH_MD5Triple-DES(168 位)
21SSL_RC4_128_WITH_MD5RC4(128 位)
23SSL_RC2_CBC_128_CBC_WITH_MD5RC2(128 位)
26SSL_DES_64_CBC_WITH_MD5DES(56 位)
22SSL_RC4_128_EXPORT40_WITH_MD5RC4(40 位)
24SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5RC2(40 位)

 

SSL 版本 3 和 TLS 版本 1 密码规范
短名长名描述
3ASSL_RSA_WITH_3DES_EDE_CBC_SHATriple-DES SHA(168 位)
33SSL_RSA_EXPORT_WITH_RC4_40_MD5RC4 SHA(40 位)
34SSL_RSA_WITH_RC4_128_MD5RC4 MD5(128 位)
39SSL_RSA_WITH_DES_CBC_SHADES SHA(56 位)
35SSL_RSA_WITH_RC4_128_SHARC4 SHA(128 位)
36(请参阅注 1。)SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5RC2 MD5(40 位)
32SSL_RSA_WITH_NULL_SHA 
31SSL_RSA_WITH_NULL_MD5 
30SSL_NULL_WITH_NULL_NULL 
62TLS_RSA_EXPORT1024_WITH_RC4_56_SHARC4 SHA Export 1024(56 位)
64TLS_RSA_EXPORT1024_WITH_DES_CBC_SHADES SHA Export 1024(56 位)

 

注 1:密码规范 36 要求 Netscape Navigator 4.07;使用 Netscape 浏览器的早期版本将无法工作。

 

SSLClientAuth

 

  • 描述 - 设置所使用的客户机认证方式(none (0)、optional (1) 或 required (2))。
  • 作用域 - 虚拟主机
  • 用法 - SSLClientAuth <要求的级别> [crl]
    • 0/None:无需请求客户机证书
    • 1/Optional:请求客户机证书,但非必需。
    • 2/Required:有效客户机证书是必需的
    • CRL:在 SSL 虚拟主机内打开或关闭 crl。如果使用证书撤销列表 (CRL),则需要将 "CRL" 指定为 SSLClientAuth 的第二个自变量。例如:SSLClientAuth 2 crl。如果不指定 "crl",则不能在 SSL 虚拟主机中执行 CRL。
  • -
    • 如果未指定,缺省为 SSLClientAuth none。
    • 如果指定值 0/None,则不能使用 CRL 选项

SSLClientAuthGroup

 

  • 描述 - 允许将客户机证书属性的组组合在一起,以用于 SSLClientAuthRequire 伪指令。
  • 作用域 - 虚拟主机
  • 用法 - <SSLClientAuthGroup 组名> <逻辑字符串>

有效逻辑表达式的描述

例如:

SSLClientAuthGroup (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBM

这意味着无法为对象提供服务,除非客户机证书包含公共名称 "Fred Smith" 或 "John Deere",而组织为 "IBM"。对于属性检查,唯一有效的比较是等于和不等于(= 和 !=)。每个属性检查可由 AND、OR 或 NOT(也可以是 &&、|| 和 !)来链接. 括号用于将比较分组。如果属性值包含非字母数字字符,则必须使用引号对该值进行定界。

有效属性为:

  • CommonName
  • Country
  • Email
  • Group
  • IssuerCommonName
  • IssuerCountry
  • IssuerEmail
  • IssuerLocality
  • IssuerOrg
  • IssuerOrgUnit
  • IssuerStateOrProvince
  • Locality
  • Org
  • OrgUnit
  • StateOrProvince

下列短名也是有效的: 

     CN, C, E, G, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST

注意,每个对象允许多个 SSLClientAuthRequire 伪指令;最终效果是使用 "AND" 将这些伪指令连接在一起。

 

SSLClientAuthRequire

 

  • 描述 - 允许在为对象提供服务之前进行广泛的客户机证书信息确认
  • 作用域 - 目录
  • 用法 - SSLClientAuthRequire CommonName = Richard
  • - 由用 AND、OR、NOT 和括号链接的属性检查组成的逻辑表达式

有效逻辑表达式的描述

例如:

SSLClientAuthRequire (CommonName = "Fred Smith" OR CommonName = "John Deere") AND Org = IBM

这意味着无法为对象提供服务,除非客户机证书包含公共名称 "Fred Smith" 或 "John Deere",而组织为 "IBM"。对于属性检查,唯一有效的比较是等于和不等于(= 和 !=)。每个属性检查可由 AND、OR 或 NOT(也可以是 &&、|| 和 !)来链接. 括号用于将比较分组。如果属性值包含非字母数字字符,则必须使用引号对该值进行定界。

有效属性为:

  • CommonName
  • Country
  • Email
  • IssuerCommonName
  • IssuerCountry
  • IssuerEmail
  • IssuerLocality
  • IssuerOrg
  • IssuerOrgUnit
  • IssuerStateOrProvince
  • Locality
  • Org
  • OrgUnit
  • StateOrProvince

下列短名也是有效的: 

     CN, C, E, ICN, IC, IE, IL, IO, IOU, IST, L, O, OU, ST

注意,每个对象允许多个 SSLClientAuthRequire 伪指令;最终效果是使用 "AND" 将这些伪指令连接在一起。

 

SSLCRLHostname

 

  • 描述 - CRL 数据库驻留的 LDAP 服务器的 TCP/IP 名称或地址。
  • 作用域 - 全局服务器或虚拟主机
  • 用法 - SSLCRLHostname <TCP/IP 名称或地址>
  • - LDAP 服务器的 TCP/IP 名称或地址
  • - 缺省情况下,禁用 SSL。

SSLCRLPort

 

  • 描述 - CRL 数据库驻留的 LDAP 服务器的端口。
  • 作用域 - 全局服务器或虚拟主机
  • 用法 - SSLCRLPort <端口号>
  • - LDAP 服务器的端口;缺省=389
  • - 缺省情况下,禁用 SSL。

SSLCRLUserID

 

  • 描述 - 发送到 CRL 数据库驻留的 LDAP 服务器的用户标识。
  • 作用域 - 全局服务器或虚拟主机
  • 用法 - SSLCRLUserID <用户标识>
  • - LDAP 服务器的用户标识
  • - 如果未指定绑定,缺省为 anonymous。

SSLDisable

 

  • 描述 - 禁用此虚拟主机的 SSL。
  • 作用域 - 全局服务器或虚拟主机
  • 用法 - SSLDisable
  • - 无
  • - 缺省情况下,禁用 SSL。

SSLEnable

 

  • 描述 - 启用此虚拟主机的 SSL。
  • 作用域 - 全局服务器或虚拟主机
  • 用法 - SSLEnable
  • - 无
  • - 缺省情况下,禁用 SSL。

 

SSLFakeBasicAuth

 

  • 描述 - 启用伪基本认证支持。 允许客户机证书的专有名称成为用户/密码基本认证对的用户部分。密码是 "password"。
  • 作用域 - 在目录节中,与 AuthName、AuthType 和需要的伪指令一起使用。
  • 用法 - SSLFakeBasicAuth
  • - 无

 

SSLPKCSDriver

 

  • 描述 - 标识用于访问 PKCS11 设备的模块的全限定路径
  • 作用域 - 全局服务器或虚拟主机
  • 用法 - <用于访问 PKCS11 设备的模块的路径>;如果模块在用户的路径中,则仅指定模块的名称。

 

 

  涉及 AIX涉及 HPUX涉及 Solaris涉及 Windows NT

 

 

下列是每个 PKCS11 设备的模块的缺省位置:

Ncipher

  • AIX/opt/nfast/xlc_r/lib/libcknfast.so
  • HPUX/opt/nfast/ansic/lib/libcknfast.sl
  • SUN/opt/nfast/swspro/lib/libcknfast.so
  • Windows NTc:\nfast\bin\cknfast.dll

 

 

 

 

 

 

 

IBM4758

 

  涉及 AIX涉及 Windows NT

 

 

  • AIX/usr/lib/pkcs11/PKCS11_API.so
  • Windows NTc:\pkcs\bin\nt\cryptoki.dll

 

 

 

 

 

   

SSLServerCert

 

  • 描述 - 设置用于此虚拟主机的服务器证书
  • 作用域 - 基于 IP 的虚拟主机
  • 用法 - SSLServerCert my_certificate_label;在 PKCS11 设备上 - SSLServerCert mytokenlabel:mykeylabel
  • - 证书标签
  • - 证书标签不使用定界符。
    确保标签包含在一行中。
    忽略开始处和结尾处的空白。

 

SSLStashfile

 

  • 描述 - 文件的路径及文件名,包含用于打开 PKCS11 设备的加密密码。
  • 作用域 - 虚拟主机
  • 用法 - SSLStashfile "c:/usr/HTTPServer/IBM HTTP Server/conf/pkcs11.passwd"
  • - 路径及文件名
  • - IHS 的 bin 中应有一个 sslstash 命令。此命令用于存储 PKCS11 设备的密码。使用 sslstash 命令后创建的存储文件可保持两个不同的密码,用于两个不同的功能:crl 和密码术。

    sslstash 的语法是:sslstash [-c] <文件> <功能> <密码>,其中:

    • -c = 创建新的存储文件。如果未指定,则更新现有存储文件
    • 文件 = 要创建或更新的文件的全限定名称
    • 功能 = 使用密码的功能。有效值为 crlcrypto
    • 密码 = 要存储的密码
    • 用法 - sslstash -c conf\pkcs11.passwd crypto pkcs11

 

SSLVersion

 

  • 描述 - 如果客户机尝试与不同于指定版本的 SSL 协议相连接,则允许对象访问拒绝。
  • 作用域 - 每个目录节有一个
  • 用法 - SSLVersion ALL
  • - SSLV2|SSLV3|TLSV1|ALL

SSLV2Timeout

 

  • 描述 - 设置 SSL 版本 2 会话标识的超时
  • 作用域 - 全局基本和虚拟主机
  • 用法 - SSLV2Timeout 60
  • - 0 至 100 秒
  • - 缺省值为 40

 

SSLV3Timeout

 

  • 描述 - 设置 SSL 版本 3 会话标识的超时
  • 作用域 - 全局基本和虚拟主机
  • 用法 - SSLV3Timeout 1000
  • - 0 至 86400 秒
  • - 缺省为 120
23、Apache/SSL:保障网络通信安全的关键技术
mars5的博客
07-22 60
本文详细探讨了Apache与SSL在保障网络通信安全中的关键作用。内容涵盖SSL的基本原理、安全性挑战、随机数生成的重要性,以及mod_ssl模块的安装与配置方法。同时,还介绍了证书颁发机构(CA)的角色、商业SSL软件包以及SSL的未来发展趋势,为读者提供全面的网络安全知识体系,并帮助其更好地保障网络通信安全。
简单地配置nginx+PHP 伪静态ssl和80
s峰
05-06 394
server { listen 80; server_name _default_; root /home/wwwroot/public; #你的根目录 location / { index index.html index.htm index.php; if (!-e $request_filename) {...
【学习笔记】SSL证书密码套件之Authentication
Taki_UP的博客
09-10 850
本篇介绍了密码套件中Authentication常用的协议,包括:ECDSA、RSA、DSS和PSK。在RSA和DSA之间,我们选择RSA;在RSA和ECDSA中,如果客户端支持,那么选择ECDSA
ssl未选择证书处理
swit1983的专栏
09-24 1325
 Ø 问题回顾:用户如果没有选择证书,或者用户没有选定证书,会直接跳转到失败页面,还在思考如何以及在哪里怎样判断用户输入为空。Ø 问题解决方案:将clientAuth选项该为want。即server.xml配置为:clientAuth="want" sslProtocol="TLS".具体见附件server.xml。Ø 问题分析:clientAuth选项有三个值:① tru
通过伪造CA证书,实现SSL中间人攻击
明明
04-10 2万+
最近在网络上查找SSL中间人攻击相关的文章,发现大多都是同一篇文章的转载,原创的很少,而这篇文章中又缺少很多细节。所以我在ubuntu10.04下使用openssl进行了一次SSL中间人攻击实验,并将实验过程记录下来,希望能对别人有所帮助。本人初次接触SSL中间人攻击,文章中可能有错误的地方,希望大家多多批评指正。 如若转载请注明出处,谢谢。 通过伪造CA证书,实现
Nginx服务器SSL的安全配置及CVE-2016-2183漏洞处理
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
03-05 1万+
概要 OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 本文主要阐述如何在nginx的web服务器上设置更强的SSL。不使用在SSL/TLS协议中易受攻击的SSLv3以及以下版本并且设置一个更强的密码套件,同时启用HSTS和HPKP,为在可能的情况下能够实现Forward Secrecy。 配置文件及对应安全选项说明 1)配置文件位置,默认ssl端口采用443,实际中可按需修改: Ubuntu/Debia
【Linux学习】SSL证书及openssl常用命令
午后阳光
12-08 1186
是由中国及中国以外地域多家数字证书颁发机构( CA,Certificate Authority)。SSL证书服务将服务从HTTP转换成HTTPS,实现网站或移动应用的身份验证和数据加密传输。将已签发的证书安装到Web服务器后,则Web服务将会通过HTTPS加密协议来传输数据。
OpenSSL创建SSL证书
悦分享
06-03 5675
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名,证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
抖音最新版抓包方案,修改so绕过ssl
l331258747的专栏
12-08 1万+
x音修改so,绕过ssl
SSL与TLS的区别以及介绍
聪明的狐狸
01-14 3162
SSL与TLS的区别以及介绍       SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。   TLS:(Transport Layer Secur
半小时 宝塔搭建一个部署SSL证书 配置伪静态实现301跳转HTTPS的网站
guozhaohui628
01-21 3298
这篇接30分钟阿里云ECS云服务器安装宝塔 图文跳坑指南,一直拖了这么久。上面只是给云服务器安装宝塔环境。本篇将实现搭建网站、添加证书、自动301跳转顶级域名、配置伪静态。感谢上篇朋友评论中指出的问题,因为平时用国外服务器较多,“其他”在我印象是指那些服务器。 视频教程https://www.youtube.com/watch?v=Y4gQhXgCHiY 宝塔一键部署源码 因...
WebSphere 中的 SSL/TLS:用法、配置和性能
zgqtxwd的专栏
04-25 2134
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
SSL协议和几种常见加密算法
jazywoo_在路上
03-21 6980
SSL协议的工作流程:       服务器认证阶段:       1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;       2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;       3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
ssl开启客户端认证配置
xiejx618的专栏
06-14 8544
参考: 1.http://tomcat.apache.org/tomcat-8.0-doc/ssl-howto.html 2.http://www.eclipse.org/jetty/documentation/current/configuring-ssl.html 3.http://www.eclipse.org/jetty/documentation/9.3.0.v20150612/je
实现https双向认证,并去除commonName的校验
vince's blog JAVA学习总结
12-03 4172
最近在做一个https双向认证的工作,领导先让我实现,我之前写了一篇文章,把tomcat的生成证书和配置的实现写了出来。 现在领导给了我服务器的CA证书的客户端证书和私钥,服务端信任证书,分别是crt和pem格式的文件, 试了很多方法,才把这个搞通,由于不同的平台,证书格式和版本差异很大,包括文本证书和二进制证书文件。 通过openSSL 很容易把证书转换出来,现有L
SSL的初步理解
双手成就你的梦想
11-04 661
  那么首先我们会问,什么是SSLSSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。 SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL...
SSL证书详细介绍
迷思
02-18 5900
SSL证书详细介绍 背景介绍 每个人都有自己的身份证,身份证都是由警局进行办理,有身份证可以证明你是合法公民,没有身份证说明这个人很可能有问题。 回到正题,今天介绍的是SSL证书,那么SSL证书实际上充当上述的身份证,是一种类似于驾驶证、身份证的电子副本,不同的是,SSL证书配置在服务器上,是服务器的身份证,它是由一些合法权威的CA机构进行颁发,CA机构就类似于上述的警局,那么警局是否一定权威或者...
SSL详解
热门推荐
shipfsh_sh的博客
05-23 4万+
SSL介绍:安全套接字(Secure Socket Layer,SSL)协议是Web浏览器与Web服务器之间安全交换信息的协议,提供两个基本的安全服务:鉴别与保密。SSL是Netscape于1994年开发的,后来成为了世界上最著名的web安全机制,所有主要的浏览器都支持SSL协议目前有三个版本:2、3、3.1,最常用的是第3版,是1995年发布的。SSL协议的三个特性① 保密:在握手协议中定义了会...
qt ssl mysql
最新发布
03-02
### 如何在 Qt 中使用 SSL 连接 MySQL 数据库 当尝试通过 SSL 建立安全连接时遇到错误 `SSL connection error: unknown error number` 表明存在配置上的问题[^1]。一种解决方法是在 Windows 上通过服务管理器 (`services.msc`) 找到并重启 MySQL80 服务来关闭 SSL 功能,这使得应用程序能够成功建立非加密连接[^2]。 然而,如果目标是启用而不是禁用 SSL,则需确保正确设置了必要的参数: #### 设置 MySQL 的 SSL 参数 为了使 Qt 应用程序能利用 SSL 加密通信,在创建数据库连接对象时应指定特定选项。这些设置通常涉及提供证书路径和其他验证材料的位置。以下是 Pythonic 方式的伪代码表示法用于说明目的;实际应用中应当转换成 C++ 或者其他支持的语言版本: ```cpp QSqlDatabase db = QSqlDatabase::addDatabase("QMYSQL"); db.setHostName("your_host_name"); db.setDatabaseName("database_name"); db.setUserName("username"); db.setPassword("password"); // Enable SSL mode and specify the paths of CA file, client certificate, key files. QStringList sslOptions; sslOptions << "CLIENT_SSL"; sslOptions << QString("DEFAULT_GROUP=%1").arg("client"); sslOptions << QString("TLS_VERSION=TLSv1.2,TLSv1.3"); sslOptions << QString("CA_FILE=C:\\path\\to\\ca-cert.pem"); sslOptions << QString("KEY_FILE=C:\\path\\to\\client-key.pem"); sslOptions << QString("CERT_FILE=C:\\path\\to\\client-cert.pem"); db.setConnectOptions(sslOptions.join(";")); if (!db.open()) { qDebug() << "Error:" << db.lastError().text(); } else { qDebug() << "Connected successfully with SSL!"; } ``` 上述代码片段展示了如何向 `setConnectOptions()` 方法传递一系列字符串形式的 SSL 相关指令,从而激活客户端与服务器之间的 TLS/SSL 握手过程[^4]。 另外值得注意的是,除了调整应用程序端口外,还需要保证 MySQL Server 自身已经启用了 SSL 支持,并且防火墙允许 HTTPS 流量传输。对于本地开发环境来说,有时最简单的方法就是暂时停用 SSL 来排除潜在干扰因素。 #### 复制必要文件至 Qt 安装目录 为了让 Qt 正常工作于带有 MySQL 的项目里,还需将某些依赖项复制过来。具体而言,应该把 `libmysql.dll` 和 `libmysql.lib` 文件放置于 Qt 已安装位置下的 bin 子文件夹内[^3]。 #### 配置 MySQL 环境变量 最后一步是为了方便起见而推荐执行的操作——即为系统添加 MySQL 变量。这样做可以让开发者无需每次都指明完整路径就能调用 MySQL CLI 工具或脚本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值