https自建证书访问

最新推荐文章于 2025-11-04 14:41:54 发布
原创 最新推荐文章于 2025-11-04 14:41:54 发布 · 489 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器

这里所采用的是tomcat本地免安装服务器、浏览器,android进行访问https。
1.服务器端的配置
在tomcat根目录下conf目录下server.xml 找到以下标识的取消注释进行修改

<!--Define a SSL HTTP/1.1 Connector on port 8443 注释的内容 

  <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               connectionTimeout="20000" 
               redirectPort="8443" 
               keystoreFile="D:/ssl/xxx.jks"
               keystorePass="123456"
               truststoreFile="D:/ssl/xxx.jks"
               truststorePass="123456"
               clientAuth="false" sslProtocol="TLS" />

参数说明

connectionTimeout  :添加超时时间
keystoreFile :签名文件
truststoreFile :信任文件
clientAuth: 是否开启双向验证

2.签名、证书的生成
服务器签名文件

keytool -genkey -alias server -keyalg RSA -keystore server.jks -validity 3600 -keypass 123456 -storepass 123456 -ext san=ip:192.168.18.171

客户端签名文件

keytool -genkeypair -alias client -keyalg RSA -validity 1000 -keypass 123456 -storepass 123456 -keystore client.jks

导出自建证书
服务端

keytool -export -alias server -file server.cer -keystore server.jks -storepass 123456

客户端

keytool -export -alias client -file client.cer -keystore client.jks -storepass 123456

证书交换:

(将客户端证书导入服务端keystore中,再将服务端证书导入客户端keystore中, 一个keystore可以导入多个证书,生成证书列表)
生成客户端信任证书库(由服务器端证书生成的证书库):

keytool -import -v -alias server -file D:\ssl\server.cer -keystore D:\ssl\truststore.jks -storepass 123456

将客户端证书导入到服务器证书库(使得服务器信任客户端证书):

keytool -import -v -alias client -file D:\ssl\client.cer -keystore D:\ssl\server.jks -storepass 123456

查看证书库中全部证书:

查看证书库中全部证书:
keytool -list -keystore D:\ssl\server.jks -storepass 123456

在android 客户端中jks不能使用只能使用bks文件,需要借助工具进行转换。
运用Portecle工具进行转换证书(将client.jks和truststore.jks转换为bks文件):

转换tools--change keystore type--bks

tomcat SSL证书安装:
数安时代 tomcat SSL配置

数安时代 在线生成CSR

HTTPS-自己生成数字证书
无风听海
11-16 4836
一、获取证书的途径 自签名证书,适用于开发者测试HTTPS,最快速的途径就是生成自签名证书,非常方便。 Let’s Encrypt证书,可以使用免费CA机构签发的证书。 使用收费CA机构签发的证书,如果对证书安全性、兼容性、功能有特殊需求,可以向CA机构申请证书。 二、自签名证书 自签名证书是我们自己签发的,浏览器不会集成私有的CA机构的根证书,所以打开页面的时候会进行提示,用户选择信任证书之后,后续的通信就会进行加密保护的。 自签名证书的用途还是很广泛的,对于一些企业内部系统,由于购买证书需要成本,可
ios自己搭建服务器证书,iOS一步一步实现Https自建证书校验
weixin_42462382的博客
07-31 1058
oooO ↘┏━┓ ↙ Oooo( 踩)→┃你┃ ←(死 )\ ( →┃√┃ ← ) /_)↗┗━┛ ↖(_/我觉得https是iOS开发者要踩的最大的一个坑了,每每看他人写的博客都是只讲理论贴代码,却没有一篇是教你一步一步实现,是不是很头大呢。今天来一步一步实现https的正确验证,后面再讲不正确的验证。步骤:1.生成私钥 > 生成签名 > 生成证书(服务器端) > 生成证书(...
HTTPS自建证书
zxtc19920的博客
12-14 1259
apple就强制HTTPS了。写在前面的提醒 ① 还没到2017,苹果还没确切的说明对HTTPS的要求,所以目前还不确定自建证书到底可不可以通过审核。 ② 网上很多人说自建证书必须禁掉ATS才能正常访问(App Transport Security Settings -> Allow Arbitrary Loads -> YES)
自建HTTPS证书
jj1245_的博客
11-04 939
生成过程相同,唯一的区别在于填写证书信息时,将Common Name (CN) 设置为您的域名而非IP地址。自签名证书适用于测试环境或内部网络,但在生产环境中,建议使用受信任的CA签发的证书。对于域名SSL证书配置:如果您是为域名(而不是IP地址)配置SSL证书,则Common Name (CN) 应填写为您的完整域名,例如。注意:由于使用的是自签名证书,浏览器会显示安全警告,这是正常现象,点击继续访问即可。重要:证书的CN必须与访问时使用的地址完全匹配,否则浏览器将显示证书错误警告。
自建https证书
am540的博客
04-02 854
CA服务器的建立 只有先有CA服务器才能对后续自建的网站证书进行颁发和签署 生成CA私钥文件caPrivate.key openssl genrsa -des3 -out caPrivate.key 2048 #为了防止私钥文件被篡改,所以一般都会对其进行权限的限制,要么事先umask要么事后chmod umask 077 chmod 400 caPrivate.key 指令说明openssl genrsa -help genrsa:用于生成RSA密钥对的OpenSSL命令 -des3:用des3加密
自建ssl证书进行https访问
u014761412的博客
01-04 5177
生成自建证书 生成私钥文件 openssl genrsa -out private.key 1024 # -out 参数指定密钥文件存放的位置和名字,1024是指密钥文件的长度,一般为1024或者2048 生成一个证书请求 openssl req -new -key private.key -out cert_req.csr # 指定密钥密钥文件来生成一个ca请求 # 这个步骤会要求填入...
Harbor自建证书实现Https访问
Governing的博客
03-26 1650
主机名:harbor250.lyx.com IP:10.0.0.250。#在windows上做hosts解析。
Harbor基于自建证书https之安装包
最新发布
11-19
在Harbor的安装过程中,配置自建证书用于HTTPS是确保Harbor通信安全的重要环节。自建证书可以提高系统的安全性,保证数据在传输过程中的加密,避免数据被截获或篡改。安装Harbor时,需要事先准备好相关的SSL证书文件...
自建CA签证书签发https证书
****的博客
08-06 1507
1.简介 自建CA,利自建CA签发https证书。(不用购买证书、使用https传输、解决信任问题,可以在内网中使用) openssl可以做到,但是命令太繁琐,可以使用工具进行操作。 将证书封装exe文件,双击自动静默安装根CA证书 2.创建CA 以管理员的身份运行程序 CA创建完成 3.创建web服务器证书 利用上一步的CA签发证书,以管理员的身份运行程序。 4.服务器配置 根据导出来的证书,在web服务器上进行配置。例在Nginx上配置*.crt、*.key文件,crt为证书的一种格
Windows教程:如何在Windows环境下生成localhost_ssl自建证书进行https方式访问
wfeil211的博客
03-13 5146
Windows教程:如何在Windows环境下生成localhost_ssl自建证书
https——自建证书验证
Sunshine
12-14 2846
1.通常在info.plist文件中设置的如下两行代码,禁用ATS<key>NSAppTransportSecurity</key> <dict> <key>NSAllowsArbitraryLoads</key> <true/> </dict>2.由于我们测试环境使用的是自建证书,所以NSAllowsArbitraryLoads改为false;使用A
HTTPS证书创建
qq_43268957的博客
06-27 4620
https数字证书申请与自签名证书部署
HTTPS与自制SSL证书
u010148813的专栏
12-15 5795
介绍https基本原理,以及自制ssl证书并安装证书,还介绍了证书格式及格式转换方法。
https】Self-Signed SSL证书创建和使用
dualvencsdn的博客
07-15 5707
一般可用于个人测试使用和非域名https访问,通常CA机构不支持颁发IP证书,只有个别OV机构支持公网IP证书,但只能用于大型机构组织的网站。Whentheserver.keyserver.csrfiles.Theserver.crtserver.key其中server.key为服务端私钥文件,用于后续传输加解密。server.crt为签好名的证书文件,其中包含了服务描述信息和公钥,用于发往客户端进行合法验证,公钥用于后续传输加解密。以最新版本nginx启用ssl配置为例3.重载nginx配置信息。....
Https配置自签名证书教程
九离的博客
08-14 9250
通常我们在开发项目的过程中,一般都是使用的http来进行测试;但当部分项目上线或和其他第三方对接时,需要用到https协议时,此时可能就会有部分和http不同的请求方式,为此我们需要在开发或测试环境部署一个https的协议环境,也就是所谓的给ng加上ssl验证;配置自签名证书通常用于开发、测试或在小型内部网络中部署安全的 HTTPS 服务。以下是如何创建并配置自签名证书的步骤,以便在 Web 服务器(例如 Nginx、Apache)上使用。
https自签名ssl证书生成流程
DavidLiu的博客
05-04 4461
https自签证书生成,适用于电脑和安卓手机
https创建自签证书
weixin_47677347的博客
12-12 1936
# 创建根证书 cat > ca-config.json <<EOF { "signing": { "default": { "expiry": "87600h" }, "profiles": { "server": { "expiry": "87600h", "usages": [ "signing", "key encipherment",
自建CA中心,为公司不同应用签发证书
bglmmz的专栏
02-23 565
制作过程使用 WINDOWS 7, JDK 1.7 首先在生成2个目录,一个存放CA中心根证书,另一个存放CA签发的应用证书 D:\CA D:\CA\appserver 进入D;\CA目录 1. 生成 CA 根证书库 keytool -genkey -alias CA -keypass CA123 -keyalg RSA -validity 36500 -keystore...
harbor进行自建证书 怎么配置
08-02
<think>首先,用户的问题是关于在Harbor中配置自建SSL证书的。我需要基于系统指令和提供的引用内容来构建回答。 关键点: - 使用中文回答。 - 结构清晰,逐步解决问题。 - 确保回答真实可靠,基于提供的引用。 - 在行内数学表达式使用$...$,独立公式用$$...$$,但这里可能没有数学内容,所以可能不需要。 - 生成相关问题。 - 在引用的段落末尾添加引用标识,如[^1]。 提供的引用摘要: - [^1]: 配置Harbor服务器使用自建证书:修改harbor.yml文件,设置hostname、https部分,指定certificate和private_key路径。 - [^2]: 解决SSL证书配置错误:编辑配置文件,设置正确的证书路径。 - [^3]: 配置SSL双向认证:编辑harbor.yml,关闭http,配置https端口和证书。 - [^4]: 添加SSL证书:建议使用https,避免关闭证书校验;自签名证书或公网证书。 用户意图:了解如何在Harbor中配置自建证书。所以,我需要提供一个逐步指南。 回答结构: 1. **介绍**:简要说明配置自建SSL证书的重要性。 2. **步骤**:逐步指导如何配置。 - 准备证书文件。 - 修改Harbor配置文件(harbor.yml)。 - 指定证书路径。 - 重新启动Harbor服务。 3. **验证**:如何验证配置是否成功。 4. **生成相关问题**:在最后添加相关问题。 确保语言清晰、易懂,使用中文。 添加引用:在相关部分末尾添加引用标识。例如,提到修改配置文件时,引用[^1]。 现在,构建回答: - **步骤1:准备证书** - 用户需要生成自建证书,如使用OpenSSL。 - 引用中提到自签名证书或公网证书[^4]。 - **步骤2:修改配置文件** - 编辑harbor.yml文件。 - 设置hostname为Harbor的域名。 - 在https部分,设置certificate和private_key路径。 - 引用[^1]和[^2]。 - **步骤3:重新启动服务** - 运行安装脚本或重启Harbor服务。 - 引用[^2]。 - **步骤4:验证配置** - 访问Harbor UI通过https。 - 检查日志是否有错误。 最后,生成相关问题: 1. 如何为Harbor生成自签名证书? 2. 如何配置Harbor使用公网SSL证书? 3. 如何在Docker客户端信任自签名证书? 确保回答中引用了正确的部分。</think>### 如何在Harbor中配置自建SSL证书 配置自建SSL证书是确保Harbor镜像仓库通信安全的关键步骤,能防止数据劫持和篡改风险。以下是基于最佳实践的逐步指南,操作前请确保已安装Harbor并拥有管理员权限。配置过程涉及修改Harbor配置文件、指定证书路径和重启服务。以下是详细步骤: #### 步骤1: 准备自建证书 - 生成自签名证书或使用公网证书(如Let's Encrypt)。推荐使用OpenSSL工具创建自签名证书: ```bash # 生成私钥 openssl genrsa -out harbor.key 2048 # 生成证书签名请求(CSR) openssl req -new -key harbor.key -out harbor.csr # 生成自签名证书(有效期365天) openssl x509 -req -in harbor.csr -signkey harbor.key -out harbor.crt -days 365 ``` - 将生成的`harbor.crt`(证书文件)和`harbor.key`(私钥文件)保存到Harbor服务器上的安全目录,例如`/opt/harbor/certs/`。确保目录权限正确(如`chmod 600 /opt/harbor/certs/*`)[^4]。 #### 步骤2: 修改Harbor配置文件 - 编辑Harbor的配置文件`harbor.yml`(通常位于Harbor安装目录下,如`/linuxmc/softwares/harbor/`): ```bash vim /path/to/harbor/harbor.yml ``` - 在文件中,更新以下关键部分: - 设置`hostname`为您的Harbor域名(如`harbor.linuxmc.com`)。 - 在`https`部分,指定证书和私钥的绝对路径。 - 关闭HTTP连接以强制使用HTTPS(可选,但推荐)。 - 示例配置: ```yaml hostname: harbor.linuxmc.com https: port: 443 # 默认HTTPS端口,可自定义(如8443) certificate: /opt/harbor/certs/harbor.crt private_key: /opt/harbor/certs/harbor.key http: port: 80 enabled: false # 禁用HTTP,仅使用HTTPS harbor_admin_password: your_secure_password # 确保管理员密码安全 ``` 此配置确保Harbor使用您提供的证书进行加密通信[^1][^2][^3]。 #### 步骤3: 应用配置并重启Harbor服务 - 保存配置文件后,运行Harbor安装脚本以应用更改: ```bash cd /path/to/harbor ./install.sh --with-trivy --with-chartmuseum # 根据您的安装选项调整 ``` 或如果Harbor已运行,重启服务: ```bash docker-compose down -v docker-compose up -d ``` - 检查服务日志确认无错误: ```bash docker-compose logs -f ``` 如果出现类似“SSL certificate configured successfully”的消息,表示配置成功。否则,检查证书路径和文件权限[^2][^3]。 #### 步骤4: 验证配置 - 访问Harbor Web UI:在浏览器中输入`https://harbor.linuxmc.com`(替换为您的域名),应看到安全锁图标(表示HTTPS生效)。 - 测试Docker客户端:确保客户端信任证书。对于自签名证书,需将`harbor.crt`复制到Docker客户端的信任目录(如`/etc/docker/certs.d/harbor.linuxmc.com/`),然后重启Docker服务: ```bash sudo systemctl restart docker docker login harbor.linuxmc.com # 应能成功登录 ``` #### 常见问题解决 - **错误处理**:如果遇到“ERROR:root:Error: The protocol is https but attribute ssl_cert is not set”,请复查`harbor.yml`中的`certificate`和`private_key`路径是否准确,并确保文件存在[^2]。 - **安全建议**:自签名证书适用于测试环境,生产环境建议使用公网证书以避免浏览器警告[^4]。 通过以上步骤,您可顺利完成Harbor的自建SSL证书配置,提升仓库安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值