linux ssl

最新推荐文章于 2024-12-02 22:01:54 发布
最新推荐文章于 2024-12-02 22:01:54 发布
阅读量617 收藏
点赞数
分类专栏: swoole
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/terry198608/article/details/84667151
版权

证书制作

本章将详细讲解如何制作证书以及如何开启Https的单向、双向认证。

准备工作

选择任意路径,执行如下命令创建文件夹结构

 
  1. mkdir ca
  2. cd ca
  3. mkdir private
  4. mkdir server
  5. mkdir newcerts

在ca目录下创建openssl.conf文件,文件内容如下

 
  1. [ ca ]
  2. default_ca = foo # The default ca section
  3.  
  4. [ foo ]
  5. dir = /path/to/ca # top dir
  6. database = /path/to/ca/index.txt # index file.
  7. new_certs_dir = /path/to/ca/newcerts # new certs dir
  8.  
  9. certificate = /path/to/ca/private/ca.crt # The CA cert
  10. serial = /path/to/ca/serial # serial no file
  11. private_key = /path/to/ca/private/ca.key # CA private key
  12. RANDFILE = /path/to/ca/private/.rand # random number file
  13.  
  14. default_days = 365 # how long to certify for
  15. default_crl_days= 30 # how long before next CRL
  16. default_md = md5 # message digest method to use
  17. unique_subject = no # Set to 'no' to allow creation of
  18. # several ctificates with same subject.
  19. policy = policy_any # default policy
  20.  
  21. [ policy_any ]
  22. countryName = match
  23. stateOrProvinceName = match
  24. organizationName = match
  25. organizationalUnitName = match
  26. localityName = optional
  27. commonName = optional
  28. emailAddress = optional

其中,/path/to/ca/是ca目录的绝对路径。

创建ca证书

在ca目录下创建一个shell脚本,命名为new_ca.sh。文件内容如下:

 
  1. #!/bin/sh
  2. openssl genrsa -out private/ca.key
  3. openssl req -new -key private/ca.key -out private/ca.csr
  4. openssl x509 -req -days 365 -in private/ca.csr -signkey private/ca.key -out private/ca.crt
  5. echo FACE > serial
  6. touch index.txt
  7. openssl ca -gencrl -out private/ca.crl -crldays 7 -config "./openssl.conf"

执行sh new_ca.sh命令,创建ca证书。生成的证书存放于private目录中。

注意
在创建ca证书的过程中,需要输入一些信息。其中,countryName、stateOrProvinceName、organizationName、organizationalUnitName这四个选项的内容必须要填写,并且需要记住。在生成后续的证书过程中,要保证这四个选项的内容一致。

创建服务端证书

在ca目录下创建一个shell脚本,命名为new_server.sh。文件内容如下:

 
  1. #!/bin/sh
  2. openssl genrsa -out server/server.key
  3. openssl req -new -key server/server.key -out server/server.csr
  4. openssl ca -in server/server.csr -cert private/ca.crt -keyfile private/ca.key -out server/server.crt -config "./openssl.conf"

执行sh new_server.sh命令,创建ca证书。生成的证书存放于server目录中。

创建客户端证书

在ca目录下创建一个shell脚本,命名为new_client.sh。文件内容如下:

 
  1. #!/bin/sh
  2.  
  3. base="./"
  4. mkdir -p $base/users/
  5. openssl genrsa -des3 -out $base/users/client.key 1024
  6. openssl req -new -key $base/users/client.key -out $base/users/client.csr
  7. openssl ca -in $base/users/client.csr -cert $base/private/ca.crt -keyfile $base/private/ca.key -out $base/users/client.crt -config "./openssl.conf"
  8. openssl pkcs12 -export -clcerts -in $base/users/client.crt -inkey $base/users/client.key -out $base/users/client.p12

执行sh new_client.sh命令,创建ca证书。生成的证书存放于users目录中。
进入users目录,可以看到有一个client.p12文件,这个就是客户端可用的证书了,但是这个证书是不能在php中使用的,因此需要做一次转换。命令如下:

 
  1. openssl pkcs12 -clcerts -nokeys -out cer.pem -in client.p12
  2. openssl pkcs12 -nocerts -out key.pem -in client.p12

以上两个命令会生成cer.pem和key.pem两个文件。其中,生成key.pem时会要求设置密码,这里记为client_pwd

注意
如果在创建客户端证书时,就已经给client.p12设置了密码,那么在转换格式的时候,需要输入密码进行转换

最终结果

以上步骤执行结束后,会得到不少文件,其中需要用的文件如下表所示:

文件名路径说明
ca.crtca/private/ca证书
server.crtca/server/服务器端证书
server.keyca/server/服务器端秘钥
cer.pemca/client/客户端证书
key.pemca/client/客户端秘钥

SSL单向认证

Swoole开启SSL

Swoole开启SSL功能需要如下参数:

 
  1. $server = new swoole_server("127.0.0.1", "9501" , SWOOLE_PROCESS, SWOOLE_SOCK_TCP | SWOOLE_SSL );
  2. $server = new swoole_http_server("127.0.0.1", "9501" , SWOOLE_PROCESS, SWOOLE_SOCK_TCP | SWOOLE_SSL );

并在swoole的配置选项中增加如下两个选项:

 
  1. $server->set(array(
  2. 'ssl_cert_file' => '/path/to/server.crt',
  3. 'ssl_key_file' => '/path/to/server.key',
  4. ));

这时,swoole服务器就已经开启了单向SSL认证,可以通过https://127.0.0.1:9501/进行访问。

SSL双向认证

服务器端设置

双向认证指服务器也要对发起请求的客户端进行认证,只有通过认证的客户端才能进行访问。
为了开启SSL双向认证,swoole需要额外的配置参数如下:

 
  1. $server->set(array(
  2. 'ssl_cert_file' => '/path/to/server.crt',
  3. 'ssl_key_file' => '/path/to/server.key',
  4. 'ssl_client_cert_file' => '/path/to/ca.crt',
  5. 'ssl_verify_depth' => 10,
  6. ));

客户端设置

这里我们使用CURL进行https请求的发起。
首先,需要配置php.ini,增加如下配置:

 
  1. curl.cainfo=/path/to/ca.crt

发起curl请求时,增加如下配置项:

 
  1. $ch = curl_init();
  2.  
  3. curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, '2');
  4. curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, true); // 只信任CA颁布的证书
  5. curl_setopt($ch, CURLOPT_SSLCERT, "/path/to/cer.pem");
  6. curl_setopt($ch, CURLOPT_SSLKEY, "/path/to/key.pem");
  7. curl_setopt($ch, CURLOPT_SSLCERTTYPE, 'PEM');
  8. curl_setopt($ch, CURLOPT_SSLCERTPASSWD, '******'); // 创建客户端证书时标记的client_pwd密码

这时,就可以发起一次https请求,并且被swoole服务器验证通过了。

SSL证书部署(Linux-Nginx)
欢迎订阅我的“JAVA全栈开发笔记(全)”专栏,价格优惠,仅需19.9元。
12-15 229
一、SSL证书的作用 二、前提条件 三、下载证书 四、在Nginx服务器安装证书 五、启动Nginx 六、验证SSL证书是否配置成功
Linux使用openssl生成ssl证书
ithongchou的博客
08-26 909
以上步骤展示了如何使用 OpenSSL 生成 SSL 证书及相关文件。你可以根据实际需要选择自签名证书或申请由认证机构签发的证书
Linux—— 配置ssl安全证书
Xinan_____的博客
08-28 6202
1.配置自签证书,加固安全访问 生成CA根秘钥 生成CA证书 生成服务器秘钥文件 生成服务器证书签名申请文件 生成服务器证书 查看服务器证书文件 三、实验过程整理 修改配置文件 nginx关于ssl 安全加固相关配置说明:Configuring HTTPS servershttps://nginx.org/en/docs/http/configuring_https_servers.html 3.ssl_prot
Linux SSL
雨人的博客
07-27 892
gcc -o ssl_server server.c -Wall -g -lssl -lcrypto http://www.linuxidc.com/Linux/2011-04/34523.htm 服务端#include <stdio.h> #include <stdlib.h> #include <errno.h> #include <string.h> #include <sys/types
Linux安全之SSL基础
mengmeng_921的博客
09-28 1305
SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS 与 SSL 在传输层与应用层之间对网络连接进行加密。Linux安全之SSL基础。
Linux服务器上查看SSL证书详细信息的完全指南
zhlh_xt的专栏
12-02 1818
本文详细介绍了在Linux服务器上查看和管理SSL证书的各种方法和命令。针对系统管理员和IT专业人士,我们提供了使用OpenSSL工具查看本地和远程证书信息、验证证书有效性、检查私钥匹配等操作的具体步骤。本指南旨在帮助新手Linux管理员快速掌握SSL证书管理技能,同时为经验丰富的管理员提供便捷的参考工具。
Linux 开启SSL
u010290539的博客
01-15 4037
Linux 开启SSL
ssl加密协议通信.rar_SSL安全通信_client server_linux c ssl_linux ssl_认证
09-19
Linux系统中,C语言可以用来实现SSL编程,以便创建安全的客户端和服务端应用程序。 首先,SSL协议的工作流程主要包括以下步骤: 1. **握手阶段**:客户端和服务端通过交换SSL版本信息、加密套件选择、随机数等...
linux自动升级ssl&ssh脚本
08-13
linux自动升级ssl&ssh脚本
Linux 网络编程:加密通讯协议 SSL 编程
04-29
Linux环境下,通过SSL编程可以实现服务器端和客户端之间的安全通讯。为了实现这一目标,开发者经常使用OpenSSL库,它是一个开源的加密库,提供了丰富的加密算法以及SSL/TLS协议的实现,支持多种编程语言。本文将...
Linux+SSL安装与配置
07-27
基于LinuxSSL安装与配置详解.含有软件包下载地址说明.
Linux 生成SSL证书 供 nginx使用
09-13
这里说下Linux 系统怎么通过openssl命令生成 证书。 首先执行如下命令生成一个key
linux下用C写的基于SSL 的TCP例子代码!
09-24
linux下用C写的基于SSL 的TCP例子代码!
linux查看ssl版本,如何查看openssl版本
weixin_29252171的博客
04-30 4604
OPENSSL_VERSION_NUMBER: 268435459SSLeay(): 268435459SSLeay_version(SSLEAY_VERSION): OpenSSL 1.0.0-fips 29 Mar 2010SSLeay_version(SSLEAY_CFLAGS): compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THRE...
Linux(Centos7.6)Nginx安装部署并配置SSL证书(简单方便版)
奔跑的菜鸟的Run博客
01-22 4298
Linux(Centos7.6)Nginx安装部署(简单方便版)
Linux服务之---SSL
weixin_43847825的博客
10-21 610
Linux之—SSL SSL:Secure Socket Layer(安全套接字层) linux上不同主机的进程想通信实则是通过套接字文件(socket)来进行的 socket:简单理解就是 IP 和 port 安全的目的:保密性、完整性、可用性 因为SSL是基于一些密码学的知识来进行的,所以先来讲一下基础的密码学 加密算法: 加密算法(只是基于ssl)分为这几种:对称加密、单向加密(完整性)、...
在一台全新的Linux系统的服务器上安装部署SSL证书(使用了nginx)
weixin_65870997的博客
10-16 8661
抛开那些安全性及繁杂的概念等,我们使用SSL证书最主要的原因就是能让你的网站(https)不再被拦截如图:部署证书前:会被一般浏览器这样拦截需点击高级才能继续访问,左上角显示红三角。若是在QQ微信打开会直接报错,无法打开。部署证书后:能直接访问不被拦截,左上角显示小锁。
Linux生成 SSL 证书
Fzuim的博客
03-28 1994
3. 配置 Nginx 使用 SSL:一旦您成功获得了 SSL 证书,则需要配置 Nginx 以使用它。这将启动 Certbot 并自动检测 Nginx 配置文件中的域名,并为它们生成 SSL 证书。5. 重启 Nginx:运行以下命令以使 Nginx 加载新的配置并开始使用 SSL: sudo systemctl restart nginx。现在,您已经成功为您的域名生成 SSL 证书,并使用 Nginx 的 443 端口进行了配置。将 example.com 替换为您的域名。保存更改并退出文件。
Linux下Nginx安装SSL、配置SSL模块,支持https配置
weixin_50003028的博客
11-10 5682
在nginx的安装目录下的./sbin/nginx -V命令,注意是大写V,查看配置是否包含“-with-http_ssl_module”,包含则表示已经配置好SSL,如果不含,需要安装SSL模块。
linux ssl证书
最新发布
01-17
### 如何在 Linux 系统上安装和配置 SSL 证书 #### 使用 Let’s Encrypt 和 Certbot 在 CentOS 上为 Nginx 配置 SSL/TLS 证书 为了确保网站的安全性和可信度,在 CentOS 上为 Nginx 获取免费的 SSL/TLS 证书可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值