SSL证书实践

最新推荐文章于 2025-12-09 05:45:01 发布
原创 最新推荐文章于 2025-12-09 05:45:01 发布 · 1.3k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssl #网络协议 #网络

文章目录

概要

现在web系统基本上时HTTPS,并且连接安全的,才会被用户认为是可安全访问的。
下面介绍一种免费证书的导入方式。

整体架构流程

  1. 证书生成
  2. 证书验证
  3. 定期更新有效期

技术名词解释

SSL(Secure Sockets Layer)

SSL是一种加密协议,用于在互联网上建立安全的通信通道。它通过加密数据传输(如登录凭证、支付信息等)防止第三方窃取或篡改数据。SSL现已被更先进的TLS(Transport Layer Security)协议取代,但“SSL”仍被广泛用作通用术语。

HTTPS(HyperText Transfer Protocol Secure)

HTTPS是HTTP的安全版本,通过SSL/TLS协议对数据进行加密传输。它在HTTP基础上增加了身份验证和数据完整性保护,确保用户与网站间的通信不被监听或伪造。HTTPS的URL以https://开头,浏览器通常会显示锁形图标标识安全性。

关键组件

证书(Certificate)
由受信任的证书颁发机构(CA)签发,用于验证网站身份。包含域名、公钥、有效期等信息。

公钥/私钥(Public/Private Key)
非对称加密的核心。公钥用于加密数据,私钥用于解密,确保只有目标服务器能读取信息。

握手协议(Handshake)
建立安全连接的过程,包括协商加密算法、交换密钥、验证证书等步骤。

工作原理

  1. 客户端向服务器发起HTTPS请求。
  2. 服务器返回SSL证书和公钥。
  3. 客户端验证证书有效性(如域名匹配、CA可信)。
  4. 双方协商生成会话密钥,用于对称加密后续通信。

示例代码(验证证书的Python片段)

import requests
response = requests.get("https://example.com", verify=True)  # 启用证书验证
print(response.status_code)

数学公式(密钥交换简化模型)

客户端生成随机数a,服务器生成随机数b,通过迪菲-赫尔曼算法计算共享密钥:
\( K = g^{ab} \mod p \)
其中g为生成元,p为大质数。

技术细节

证书生成

  1. 通过let encry生成的证书,转成tomcat证书
  • 从https://github.com/xdtianyu/scripts/blob/master/lets-encrypt/README-CN.md 下载letsencrypt.sh 和letsencrypt.conf
  • letsencrypt.sh内容如下
#!/bin/bash

# Usage: /etc/nginx/certs/letsencrypt.sh /etc/nginx/certs/letsencrypt.conf

CONFIG=$1
ACME_TINY="/tmp/acme_tiny.py"
DOMAIN_KEY=""

if [ -f "$CONFIG" ];then
    . "$CONFIG"
    DIRNAME=$(dirname "$CONFIG")
    cd "$DIRNAME" || exit 1
else
    echo "ERROR CONFIG."
    exit 1
fi

KEY_PREFIX="${DOMAIN_KEY%%.*}"
DOMAIN_CRT="$KEY_PREFIX.crt"
DOMAIN_PEM="$KEY_PREFIX.pem"
DOMAIN_CSR="$KEY_PREFIX.csr"
DOMAIN_CHAINED_CRT="$KEY_PREFIX.chained.crt"

if [ ! -f "$ACCOUNT_KEY" ];then
    echo "Generate account key..."
    openssl genrsa 4096 > "$ACCOUNT_KEY"
fi

if [ ! -f "$DOMAIN_KEY" ];then
    echo "Generate domain key..."
    if [ "$ECC" = "TRUE" ];then
        openssl ecparam -genkey -name secp256r1 | openssl ec -out "$DOMAIN_KEY"
    else
        openssl genrsa 2048 > "$DOMAIN_KEY"
    fi
fi

echo "Generate CSR...$DOMAIN_CSR"

OPENSSL_CONF="/etc/ssl/openssl.cnf"

if [ ! -f "$OPENSSL_CONF" ];then
    OPENSSL_CONF="/etc/pki/tls/openssl.cnf"
    if [ ! -f "$OPENSSL_CONF" ];then
        echo "Error, file openssl.cnf not found."
        exit 1
    fi
fi

openssl req -new -sha256 -key "$DOMAIN_KEY" -subj "/" -reqexts SAN -config <(cat $OPENSSL_CONF <(printf "[SAN]\nsubjectAltName=%s" "$DOMAINS")) > "$DOMAIN_CSR"

wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py --no-check-certificate -O $ACME_TINY -o /dev/null

if [ -f "$DOMAIN_CRT" ];then
    mv "$DOMAIN_CRT" "$DOMAIN_CRT-OLD-$(date +%y%m%d-%H%M%S)"
fi

DOMAIN_DIR="$DOMAIN_DIR/.well-known/acme-challenge/"
mkdir -p "$DOMAIN_DIR"

python $ACME_TINY --account-key "$ACCOUNT_KEY" --csr "$DOMAIN_CSR" --acme-dir "$DOMAIN_DIR" > "$DOMAIN_CRT"

if [ "$?" != 0 ];then
    exit 1
fi

if [ ! -f "lets-encrypt-x3-cross-signed.pem" ];then
    wget https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem --no-check-certificate -o /dev/null
fi

cat "$DOMAIN_CRT" lets-encrypt-x3-cross-signed.pem > "$DOMAIN_CHAINED_CRT"

if [ "$LIGHTTPD" = "TRUE" ];then
    cat "$DOMAIN_KEY" "$DOMAIN_CRT" > "$DOMAIN_PEM"
    echo -e "\e[01;32mNew pem: $DOMAIN_PEM has been generated\e[0m"
fi

echo -e "\e[01;32mNew cert: $DOMAIN_CHAINED_CRT has been generated\e[0m"

#service nginx reload
  • letsencrypt.conf 内容如下
# only modify the values, key files will be generated automaticly.
ACCOUNT_KEY="letsencrypt-account.key"
DOMAIN_KEY="你的域名.key"
DOMAIN_DIR="/usr/local/nginx/html"
DOMAINS="DNS:你的域名"
#ECC=TRUE
#LIGHTTPD=TRUE
  • 先安装一个nginx,并映射端口80,同时配置nginx.conf文件 这步很关键,下面脚本执行会通过域名+80端口+文件路径访问一个文件确定域名有效性,才会生成证书。
    nginx.conf修改部分
server {
        listen       80;
        server_name  localhost;
        # 这里可能不需要配置
        ssl_certificate     /ssl/域名第一个词.chained.crt;
        ssl_certificate_key /ssl/域名.key;
        location / {
            root   html;
            index  index.html index.htm;
        }
        #一键申请SSL证书验证目录相关设置
        location ~ \.well-known{
                allow all;
        }
}
  • 执行如下脚本,生成key,如果不成功,查看日志/var/log/lets-encrypt.log分析
letsencrypt.sh letsencrypt.conf >> /var/log/lets-encrypt.log 2>&1
  • 执行后生成一堆文件
-rw-r--r--. 1 root root 5254 Sep 12 09:31 域名第一个词.chained.crt
-rw-r--r--. 1 root root 3607 Sep 12 09:31 域名第一个词.crt
-rw-r--r--. 1 root root  936 Sep 12 09:31 域名第一个词.csr
-rw-r--r--. 1 root root 1679 Mar 21 15:49 域名.key
-rw-r--r--. 1 root root 3243 Mar 21 15:49 letsencrypt-account.key
-rw-r--r--. 1 root root  242 Mar 21 16:02 letsencrypt.conf
-rwxr-xr-x. 1 root root 2170 Mar 21 15:45 letsencrypt.sh
-rw-r--r--. 1 root root 1647 Mar 21 16:03 lets-encrypt-x3-cross-signed.pem
  • 我用的是tomcat9,需要把证书转为p12格式,password.txt里面是密码,tomcat9配置文件会用到
openssl pkcs12 -export -inkey 你的域名.key -in 域名第一个词.chained.crt -out tomcat9_keystore.p12 -name tomcat9_ssl -caname root -passout file:./password.txt
  • 拷贝tomcat9_keystore.p12到tomcat9安装目录下,比如tomcat/conf
  • 编辑server.xml,配置文件路径和密码
<!-- 找到8443 或者 443 位置 -->
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true">
      <SSLHostConfig>
        <Certificate certificateKeystoreFile="tomcat/conf/tomcat9_keystore.p12"
                    certificateKeystorePassword="12345678"
                    certificateKeystoreType="PKCS12"
                    type="RSA" />
      </SSLHostConfig>
    </Connector>

证书验证

  • 启动tomcat,注意控制台,看是否有加载ssl正确的info记录
29-Jul-2025 08:16:49.488 INFO [main] org.apache.coyote.AbstractProtocol.init Initializing ProtocolHandler ["https-jsse-nio-8443"]
29-Jul-2025 08:16:49.778 INFO [main] org.apache.tomcat.util.net.AbstractEndpoint.logCertificate Connector [https-jsse-nio-8443], TLS virtual host [_default_], certificate type [RSA] configured from keystore [tomcat/conf/tomcat9_keystore.p12] using alias [tomcat] with trust store [null]
  • 若无问题,说明配置正确,访问域名,点开会看到链接是安全的,并且3个月有效期。
    点开
    证书安全

定期更新有效期

  • 上步可以看到,证书是免费,需要脚本定期更新
    下面写一下基本思路
Y
N
p12证书是否超过3个月
启动nginx
结束
执行脚本生成证书
拷贝证书到指定目录
重启tomcat
停止nginx
Nginx 配置SSL证书
峰迹的博客
04-18 811
通过以上步骤,您已经成功地在Nginx上配置了SSL证书,并实现了从HTTP到HTTPS的无缝重定向。这不仅提高了网站的安全性,也有助于提升用户的信任度和搜索引擎的排名。
记录Nginx安装SSL证书
我有一根魔法棒的博客
06-23 212
Nginx配置SSL
Tomcat9 配置SSL证书实践
soso1968的博客
12-09 1081
开始配置之前您需要找到位于客户机的 Tomcat 的 /tomcat/conf 文件夹。(linux系统由于个人的喜好安装目录不同,若无法找到,请输入 find -name server.xml命令,查看路径)使用集成环境的控制面板或命令行重启 Tomcat,配置完成。您的网站已经开启 SSL 功能!“Tomcat 9.0confdomain.jks” 为证书的路径。这里需要注意的是配置完成证书后,务必修改其它文件。“port=”443″” 是HTTPS访问的端口。“domain.com” 为证书的名称。
经验笔记:SSL证书
qq_45831414的博客
09-05 2002
SSL(Secure Sockets Layer)证书是一种数字证书,用于在客户端(如浏览器)和服务器之间建立加密连接,以确保数据传输的安全性。随着互联网的发展,HTTPS(即HTTP加上SSL/TLS)已成为保护在线通信的标准协议。在生产环境中,强烈建议使用由受信任的CA签发的SSL证书。尽管自签名证书可以在特定场景下提供加密功能,但由于缺乏信任基础,它们不适合用于面向公众的服务。通过选择合适的SSL证书,并遵循上述最佳实践,可以显著提升网站的安全性和用户体验。
实践笔记-nginx配置ssl证书
无为萌新
09-23 475
mkdir cert。
SSL证书 证书链 与 兼容性
ZZ2693360220的博客
04-21 583
SSL证书证书链 与 兼容性
Nginx配置SSL证书
CarpeDiem
09-19 1317
本文讲解如何使用SSL证书保护我们的应用,并在 Nginx 配置 HTTP 跳转到 HTTPS
Zabbix实践教程: ssl证书有效期监控
乐维社区的博客
03-26 865
背景: 某项目,需要监控所有证书,过期前7天进行提示。Zabbix 版本: 6.0.6Zabbix 部署路径: /usr/local/zabbix。
Android SSL证书验证:原理与实践
weixin_42453228的博客
05-04 1466
SSL证书,全称安全套接层证书,是一种数字证书。它是用来对网站服务器进行身份验证,并为客户端和服务器之间的通信加密,以确保数据传输的安全性。SSL证书在保护敏感数据(如个人信息、支付信息等)方面发挥着至关重要的作用,是构建用户信任、提升网站安全等级不可或缺的工具。在安全敏感的应用中,预设的信任管理器可能无法满足特定的需求。比如,一个企业可能需要限制应用程序只能与特定的证书颁发机构(CA)通信,或者需要根据时间动态调整信任的证书列表。
精选资源
OpenSSL生成的ssl证书
01-11
**OpenSSL生成的ssl证书** 在互联网安全领域,SSL(Secure Socket Layer)证书是保障网站数据传输安全的重要工具。OpenSSL是一个开源的库,包含了各种加密算法,它提供了生成SSL证书的功能。本教程将详细介绍如何...
android ssl证书验证
11-15
SSL证书是身份验证的一种方式,它确保了用户与服务器之间的连接是安全的,数据传输是加密的。本文将深入探讨Android中的SSL证书验证过程、遇到的问题以及解决方案。 首先,理解SSL证书的基本结构和作用至关重要。...
SSL.gz_ssl_ssl java_ssl证书
09-23
Java SSL证书则是Java平台对SSL协议的支持,允许Java应用程序进行安全的网络通信。 在描述中提到的“简单的SSL实现”,可能是指在Java环境中建立SSL连接的一个简化流程,这通常包括创建SSLContext,初始化...
SSL证书查看工具 ,支持TLS1.2
09-25
7. **安全最佳实践**:使用SSL证书查看工具是确保网站安全的重要步骤,因为它可以帮助管理员识别潜在的安全风险,及时修复,从而提高用户的信任度和网站的整体安全性。 8. **更新和维护**:由于SSL/TLS标准和加密...
openssl自建CA并生成自签名SSL证书
新技术革命
12-04 180
本文介绍了使用OpenSSL工具生成自签名SSL证书的完整流程。主要包括:1)创建带密码保护的CA私钥并转换为无密码格式;2)生成CA自签名根证书;3)创建服务器私钥和证书签名请求(CSR);4)使用CA证书签发服务器SSL证书,并指定IP地址作为主题备用名称(SAN)。生成的证书文件包括CA根证书(ca.crt)、服务器私钥(server.key)和SSL证书(server.crt),可用于配置HTTPS服务。整个过程涵盖了密钥生成、证书申请和签发的关键步骤,适用于搭建测试环境或内部系统的安全通信。
version“openssl_1.0.0”not found 解决办法
绯雨千叶的博客
12-05 236
编译的时候提示缺少openssl1.0.0,记录问题解决办法如果你也遇到这个问题,请注意避雷,大概率缺少的是的库,而不是1.0.0。OpenSSL官方的决定是:“1.0.x 系列直到才并改名为:libssl.so.1.1。
HTTP vs HTTPS vs SSL/TLS:https协议全面解析(附HTTPS部署指南)
最新发布
qq_40448670的博客
12-09 565
本文深入解析HTTP、HTTPS和SSL/TLS协议的核心差异与安全机制。HTTP作为明文传输协议存在三大致命缺陷:数据裸奔、身份认证缺失和完整性风险。HTTPS通过SSL/TLS协议实现加密通信,采用"非对称加密密钥交换+对称加密数据传输"的混合架构,TLS1.3版本显著提升了握手效率。文章详细阐述了HTTPS的部署价值(隐私保护、信任背书、SEO优势及合规要求)及完整通信流程,并提供了Let's Encrypt等工具的实操部署指南,帮助开发者、站长和普通用户构建安全网络环境。
python 使用openssl时,遇到ValueError: unsupported hash type sha1异常等问题
heu123456的博客
12-08 212
摘要:在Python 2.7环境中使用OpenSSL 1.1.1+版本时,出现"unsupported hash type"错误,原因是Python 2.7的_hashlib模块直接调用已被废弃的OpenSSL旧API。解决方法包括安装兼容包:yum install compat-openssl10和yum install ncurses-compat-libs,使系统支持OpenSSL 1.0接口。该问题凸显了Python 2.7已停止支持的技术债务风险。
从0到1玩转MYD-YT113X全志开发板 —— 移植openssl
phmatthaus的专栏
12-08 569
从0到1玩转MYD-YT113X全志开发板 —— 移植openssl
Exchange 2007 SSL证书配置指南
"exchange 2007 设置ssl证书" 在Exchange 2007中设置SSL(Secure Socket Layer)证书是确保服务器与客户端之间通信安全的重要步骤。SSL证书用于加密传输数据,保护邮件、日历和其他敏感信息免受窃听和篡改。以下是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

瑞瑞绮绮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值