Https:创建部署SSL证书进行双向认证怒吼的萝卜

642 625

建立客户端与服务器的Https的连接需要证书进行双向验证后,才可访问。

不同数字证书部署在服务器上后,用户浏览器访问网站时,展示如下:

1、无证书时

显示不安全标识。

2、域名型(DV)SSL

可以显示安全连接标识,证书无法显示组织信息。

3、企业型(OV)SSL

可以显示安全连接标识,证书详细内显示组织信息。

4、增强型(EV)SSL

地址栏绿色,可以显示安全连接标识,地址栏直接显示组织信息。

证书的创建与作用

生成环境:

Linux:CentOS_7(及以上)

Tomcat:ApacheTomcat_8.5.42(及以上)

#解压tar包tar-xzvfopenssl-1.1.0c.tar.gz#进入加压后的文件夹内cdopenssl-1.1.0c#安装openssl到/usr/local/openssl目录,安装之后,编译;这个时候执行需要有耐心,可以查看命令行一直在滚屏,等到滚屏结束,安装编译完成./config--prefix=/usr/local/openssl&&make&&makeinstall#重命名mv/usr/bin/openssl/usr/bin/openssl.orimv/usr/include/openssl/usr/include/openssl.ori#将安装好的openssl命令软连到对应位置ln-s/usr/local/ssl/bin/openssl/usr/bin/opensslln-s/usr/local/openssl/include/openssl/usr/include/openssl#在/etc/ld.so.conf文件中写入openssl库文件的搜索路径echo/usr/local/openssl/lib>>/etc/ld.so.confldconfig-vopensslversion-a

2.1创建根证书密钥文件(自己做CA)root.key

#生成命令opensslgenrsa-des3-outroot.key2048#输出日志GeneratingRSAprivatekey,2048bitlongmodulus.....................................................................................................................+++..........................+++eis65537(0x010001)Enterpassphraseforroot.key:←#在这输入一个新密码Verifying–Enterpassphraseforroot.key:←在这重新输入一遍密码

2.2创建根证书的申请文件root.csr

2.3创建一个自当前日期起为期十年的根证书root.crt

#生成命令opensslx509-req-days3650-sha256-extfile/usr/local/openssl/ssl/openssl.cnf-extensionsv3_ca-signkeyroot.key-inroot.csr-outroot.crt#输出日志Signatureoksubject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompanyCorp./emailAddress=admin@mycompany.comGettingPrivatekeyEnterpassphraseforroot.key:←在这输入前面创建的密码

2.4根据CA证书生成truststoreJKS文件root.truststore

这一步只针对双向认证,单向不需要

#生成命令keytool-keystoreroot.truststore-keypass123456-storepass123456-aliasca-import-trustcacerts-file/tmp/ca/root.crt#键入回车后,提示是否信任此证书,输入yes,则生成truststore成功

1.创建服务器证书密钥server.key

#生成命令opensslgenrsa-des3-outserver.key2048#输出内容为:GeneratingRSAprivatekey,2048bitlongmodulus...........................+++...............+++eis65537(0x010001)Enterpassphraseforserver.key:←在这输入前面创建的密码Verifying-Enterpassphraseforserver.key:←在这重新输入一遍密码#运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令(密码).如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!#去除口令的命令opensslrsa-inserver.key-outserver.key

2.创建服务器证书的申请文件server.csr

3.创建自当前日期起有效期为期十年的服务器证书server.crt

#生成命令opensslx509-req-days3650-sha256-extfile/usr/local/openssl/ssl/openssl.cnf-extensionsv3_req-CAroot.crt-CAkeyroot.key-CAcreateserial-inserver.csr-outserver.crt#输出内容为:Signatureoksubject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompanyCorp./CN=www.mycompany.com/emailAddress=admin@mycompany.comGettingCAPrivateKeyEnterpassphraseforroot.key:←输入前面创建的密码

4.导出.p12文件server.p12

#生成命令opensslpkcs12-export-in/tmp/ca/server.crt-inkey/tmp/ca/server.key-out/tmp/ca/server.p12-name"server"根据命令提示,输入server.key密码,创建p12密码。

5.将.p12文件导入到keystoreJKS文件server.keystore

#生成命令keytool-importkeystore-v-srckeystore/tmp/ca/server.p12-srcstoretypepkcs12-srcstorepass123456-destkeystore/tmp/ca/server.keystore-deststoretypejks-deststorepass123456这里srcstorepass后面的123456为server.p12的密码deststorepass后的123456为keyStore的密码

1.创建客户端证书密钥文件client.key

#生成命令opensslgenrsa-des3-outclient.key2048#输出内容为:GeneratingRSAprivatekey,2048bitlongmodulus...............................+++.........................+++eis65537(0x010001)Enterpassphraseforclient.key:←输入新密码Verifying–Enterpassphraseforclient.key:←重新输入一遍密码

2.创建客户端证书的申请文件client.csr

3.创建一个自当前日期起有效期为十年的客户端证书client.crt

#生成命令opensslx509-req-days3650-sha256-extfile/usr/local/openssl/ssl/openssl.cnf-extensionsv3_req-CAroot.crt-CAkeyroot.key-CAcreateserial-inclient.csr-outclient.crt#输出内容为:Signatureoksubject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompanyCorp./CN=www.mycompany.com/emailAddress=admin@mycompany.comGettingCAPrivateKeyEnterpassphraseforroot.key:←输入上面创建的密码

4.导出.p12文件client.p12

#生成命令opensslpkcs12-export-in/tmp/ca/client.crt-inkey/tmp/ca/client.key-out/tmp/ca/client.p12-name"client"根据命令提示,输入client.key密码,创建p12密码。

1.关闭tomcat

tomcat的bin目录下执行

shutdown.sh

2.将证书放入web服务器

#将keystore文件(server.keystore)放在web服务器上cp/tmp/ca/server.keystore/你的tomcat根目录/conf#将truststore文件(root.truststore)放在web服务器上cp/tmp/ca/root.truststore/你的tomcat根目录/conf

THE END

网站开启https教程调用服务器ssl

如何配置Web服务器以支持HTTPS和SSL证书?新闻中心

Https:创建部署SSL证书进行双向认证怒吼的萝卜

WindowsServer2008上使用IIS搭建WEB服务器CA数字证书应用图解全

WAS7(WebsphereApplicationServer)SSL证书HTTPS证书申请与安装

WindowsServer2019搭建IISweb服务器教程https域名访问windows系统建站

如何使用https访问vue项目?Worktile社区

androidHTTP访问协议转换成HTTPS个人文章

详细指南丨HTTPS证书的申请与部署

HTTP与HTTPS的区别菜鸟教程

Tomcat配置SSL证书实现HTTPS访问FineReport帮助文档报表开发报表使用学习教程

1.为网站配置https证书网站证书13 14 15 16 再次重启nginx,这时请求https://dashen.tech就可以跳转到https://www.dashen.tech 但因为网站下有部分资源使用了http,所以浏览器依然没有变为安全锁, 可参考Hexo启用https加密连接, 也可右键查看哪些请求使用了http,将其修改为https即可~https://blog.csdn.net/techdashen/article/details/139889172
2.HTTPShttps证书详细解释腾讯云开发者社区HTTPS证书,通常指的是SSL证书,是一种数字证书。它用于验证网站的身份并确保数据传输的安全。当网站部署了HTTPS证书后,其URL将以"https:/“开头,而不是"http:/”, 这表明网站启用了SSL/TLS加密层,能够对客户端与服务器之间的通信进行加密,防止数据在传输过程中被窃听、篡改或伪造。 https://cloud.tencent.com/developer/article/2401432
3.浏览器的https证书是什么?如何添加?可以使用各种工具或在线服务对网站进行测试,验证https连接是否成功建立,并且证书是否有效。 浏览器的https证书是保护网站和用户数据安全的重要步骤。通过选择合适的证书提供商,生成和验证证书请求,并配置到服务器上,可以为网站提供更安全的通信环境。在添加证书过程中,还需注意保护好私钥,定期更新证书。https://www.anxinssl.com/15982.html
4.程序员创业必备:如何让Web服务支持https,有哪些免费CA机构把CRT证书文件部署到web服务器有很多种方法,操作不大相同,这里介绍:1)如何把CRT部署到Nginx上;2)把CRT整合到Spring Boot项目中。这两个方法应该满足大多数项目的需要了。另外,独立部署的tomcat服务器应该也支持配置CRT证书,可以自行搜索资料学习。 1)CRT部署到Nginx服务器 https://maimai.cn/article/detail?fid=1739579735&efid=Ahjzl0u1axDtCycCpwzvhQ
5.数字证书管理服务(原SSL证书)SSL数字证书HTTPS加密服务器证书数字证书管理服务集云上SSL证书生命周期管理和数字证书应用为一体的SAAS服务。该服务具备签发、管理服务器证书和各类终端证书的能力,同时提供云上证书自动化应用部署的解决方案,便于客户轻松实现数据传输加密和信源加密,保障数据安全。 多云部署能力发布:支持腾讯云 及 AWS多款云产品部署任务,点击查看详情 https://www.aliyun.com/product/cas
6.谷歌云服务器怎么申请ssl证书安装SSL证书非常简单。您只需要将证书文件和私钥文件上传到您的服务器上,并更新您的Web服务器配置文件。 第一步:将证书文件和私钥文件上传到服务器 您可以使用SCP或SFTP等工具将证书文件和私钥文件上传到您的服务器。请注意,您需要将证书文件和私钥文件保存在安全的位置。 https://app.applebyme.cn/cloud/https/3415.html
7.HTTPS权威指南:在服务器和Web应用上部署SSL/TLS和PKI对大多数证书来说,我们在与服务器通信的时候,对于服务器身份正确与否,证书其实只提供了有限的保证。只有EV证书会和线下身份进行绑定,但这里面依旧有很多其他因素,所以EV证书也并不意味着更加安全。 在PKI里面,信任只是技术层面上的概念,它仅仅意味着证书可以通过处于可信证书库中的某个CA的验证,但这并不意味着我们可https://www.ituring.com.cn/book/tupubarticle/11136
8.华为云SSL证书服务https证书申请免费的ssl证书申请华为云https证书申请是在成功购买证书后,需要为证书绑定域名、填写证书申请人的详细信息并提交审核。CA机构审核通过后,将签发证书。证书签发后便立即生效,即可一键部署证书到华为云其他云产品或下载证书并部署到服务器上进行使用。https://www.huaweicloud.com/special/ssl-zssq.html
9.教程:使用TLS/SSL证书保护Web服务器现在可以打开 Web 浏览器,并在地址栏中输入 https://<publicIpAddress>。在 VM 创建过程中提供自己的公共 IP 地址。 若使用自签名的证书,请接受安全警告:随即显示受保护的 NGINX 站点,如下例所示:后续步骤本教程已介绍如何使用 Azure Key Vault 中存储的 TLS/SSL 证书保护 NGINX Web 服务器。 你已了解如何https://docs.microsoft.com/zh-cn/azure/virtual-machines/linux/tutorial-secure-web-server
10.梦飞云:在Linux服务器上设置HTTPS(SSL/TLS)加密的步骤首先,我们将了解HTTPS的重要性和工作原理,然后逐步介绍如何生成SSL/TLS证书、安装和配置Web服务器以使用HTTPS。这些步骤将有助于保护您的服务器免受数据窃取和篡改等安全威胁。接下来,我们将详细介绍在Linux服务器上设置HTTPS(SSL/TLS)加密的步骤: 1、了解HTTPS的重要性: HTTPS是一种通过SSL/TLS加密传输数据的协议,https://blog.itpub.net/70038681/viewspace-3016169/
11.无需花一分钱:轻松获取SSL证书的三种方法由于其广泛的应用和强大的功能,OpenSSL已经成为许多软件和系统中不可或缺的组件,被广泛应用于网络安全领域、Web服务器、虚拟私有网络(VPN)、电子商务等各种场景中。 下面就详细分享一下如何使用 OpenSSL 生成 SSL 数字证书: 生成私钥(Key) 使用以下命令生成一个 RSA 私钥文件,私钥文件名字叫 my-key.pem: https://www.51cto.com/article/785034.html
12.SSL证书Nginx服务器SSL证书安装部署SSL证书最佳实践本章节介绍如何将下载的证书安装到Nginx服务器上。安装好证书后,您的Web服务器将能支持HTTPS协议通信,从而保证您Web服务器的通信安全。 说明 如果证书安装过程中遇到问题,移动云提供SSL证书配置安装技术支持,请联系 021-36393201,应急电话 15721508646。 安装部署条件 https://ecloud.10086.cn/op-help-center/doc/article/59858
13.ssl服务器答:SSL证书,又称SSL服务器证书,是一种遵守SSL协议的数字证书,由全球信任的证书颁发机构颁发(CA)验证服务器身份后,在网站服务器上安装SSL证书,激活挂锁和https协议。SSL证书解决了网民登录网站的信任问题,网民可以轻松识别网站是否受到保护和安全。安装在Web服务器上的SSL证书可提供两个功能:1、验证网站的身份(这样可以https://www.ihuyi.com/pd/ssl/sslfuwuqi.html
14.HTTPS证书校验客户端和服务器用session key做对称加密通信。 整个流程可以这样抽象,但是实际上session key的生成是需要多次协商的结果(文章后面会讲到),我们暂且这样简单的理解。整个流程会有一个问题,第2步中WEB服务器发给客户端的公钥,万一被中间人修改了呢,换句话说,客户端怎么验证公钥的正确性呢?那就需要SSL证书。 https://www.jianshu.com/p/167b44ad20c0
15.证书安装和免配置启动YakProgramLanguageCRT格式通常用于安装数字证书到Web服务器或其他应用程序中。在实践中,PEM格式比CRT格式更为常见,因为PEM格式的文件可以轻松地通过文本编辑器进行查看和编辑,并且PEM格式也可以包含多种类型的加密和公钥证书。不过,在某些情况下,例如在安装数字证书到Web服务器上时,CRT格式可能更为方便。https://www.yaklang.com/products/expert-mode/mitm/hijack-configuration/
16.举例:通过HTTPS登录Web界面(指定证书)获取向设备颁发证书的CA服务器的CA证书并导入到管理员PC(客户端)的浏览器。 不将CA证书导入浏览器,客户端仍可通过HTTPS访问设备,此时客户端无法验证设备证书的合法性,容易受到攻击。 配置客户端通过HTTPS登录设备时,设备向客户端发送的证书。 <HUAWEI>system-view[HUAWEI]sysnameDeviceA[DeviceA]web-manager securityhttps://support.huawei.com/enterprise/zh/doc/EDOC1100334273/bbbd4a76
17.HTTP和HTTPS的区别客户端在使用 HTTPS 方式与 Web 服务器通信时有以下几个步骤,如图所示。 1.客户使用 HTTPS 的 URL 访问 Web 服务器,要求与 Web 服务器建立 SSL 连接。 2.Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。 3.客户端的浏览器与 Web 服务器开始协商 SSL 连接的安全等级,也https://nic.hnuu.edu.cn/10043/2023/0029653.html
18.SSL证书HTTPS加密国密SSL数字证书沃通WoTrus SSL证书「新产品全球信任」,支持所有浏览器和操作系统,支持所有移动终端,「30天无条件退款」,「7x24x365全天候」技术支持和优质服务.http://www.wosign.net/