努金网(nujin.com)

 找回密码
 立即注册

微信登录,快人一步

查看: 291|回复: 50

https 内网如何使用自签 https 证书

[复制链接]

221

主题

221

帖子

26

积分

穷困潦岛

Rank: 1

积分
26
发表于 2020-9-17 10:02:13 | 显示全部楼层 |阅读模式
1.https 内乱网怎样利用?HTTPS 区分于 HTTP,它多了减稀(encryption),认证(verification),审定(identification)。它的宁静源自非对称减稀和第三圆的 CA 认证。https 运做流程的减稀1. 客户端天生一个随机数 random-client,传到效劳器端(Say Hello)
2. 效劳器端天生一个随机数 random-server,战着公钥,一同回馈给客户端(I got it)
3. 客户端支到的工具一成不变,减上 premaster secret(经由过程 random-client、random-server 颠末必然    算法天生的工具),再一次收给效劳器端,此次传已往的工具会利用公钥减稀定算法天生的工具),再    一次收给效劳器端,此次传已往的工具会利用公钥减稀算法天生的工具),再一次收给效劳器端,    此次传已往的工具会利用公钥减稀定算法天生的工具),再一次收给效劳器端,此次传已往的工具会利用公钥减稀

4. 效劳器端先利用公钥解稀,拿到 premaster secret,此时客户端战效劳器端皆具有了三
5. 个要素:random-client、random-server 战 premaster secret个要素:random-client、random-server     战 premaster secret此时宁静通讲曾经成立,当前的交换城市校检上里的三个要素经由过程算法算出的 session key
https 运做流程的认证

问: 光减稀不可,怎样确保出有中心人?客户端会见的必然便是目的网站?

证书,威望机构颁布的证书,中心人是出有目的网站的证书的。以是证书需求威望机构颁布,普通阅读器撑持年夜大都威望机构
  • 问: CA 证书包罗甚么内乱容?


数字署名(Signature Algorithm)有用工夫(Validity)主体(Issuer)公钥(Public Key)X509v3 扩大,证书格局
  • 问: 好一面的证书支付费高贵,免费的证书也有限定,假如是内乱网用(出用公网域名或只要内乱网IP),能够不成利用 https 呢?


谜底:能够。正在内乱网,我们能够自建 ROO CA,充任威望认证机构利用openSSL创立效劳端公钥战稀钥,并利用 CA 签收,将签收后的公钥(pem)战公钥文件(key)设置到效劳器网站中(也能够天生jks文件,一个 jks 能够包罗多个公钥战公钥)
  • 问: 内乱网客户端会见设置胜利的https后会提醒网站没有受信赖,是甚么缘故原由?怎样处置?



任何个别/构造皆能够饰演 CA 的脚色,只不外易以获得客户真个信赖,可以受阅读器默许信赖的 CA 年夜厂商有许多,此中 TOP5 是 Symantec、Comodo、Godaddy、GolbalSign 战 Digicert,固然是没有信赖自建CA的,以是会提醒用户网站没有受信赖。以是客户端阅读器会见自建 https 网站时需求装置 ROOT CA 证书,暗示信赖该自建CA
  • https 其他常识


  • https 的传输接纳的长短对称减稀,一组非对称减稀稀钥包罗公钥战公钥,经由过程公钥减稀的内乱容只要公钥可以解稀
  • CA 认证分为三类:DV ( domain validation),OV ( organization validation),EV ( extended validation),证书申请易度畴前今后递删,貌似 EV 这类不单单是有钱就能够申请的
  • HTTPS普通利用的减稀取HASH算法以下:
    非对称减稀算法:RSA,DSA/DSS
    对称减稀算法:AES,RC4,3DES
    HASH算法:MD5,SHA1,SHA256
    此中非对称减稀算法用于正在握脚过程当中减稀天生的暗码,对称减稀算法用于对实正传输的数据停止减稀,而HASH算法用于考证数据的完好性。因为阅读器天生的暗码是全部数据减稀的枢纽,因而正在传输的时分利用了非对称减稀算法对其减稀。非对称减稀算法会天生公钥战公钥,公钥只能用于减稀数据,因而能够随便传输,而网站的公钥用于对数据停止解稀,以是网站城市十分当心的保管本人的公钥,避免走漏。





2.用 openssl 战 keytool 为 weblogic 天生自签证书,并让阅读器信赖:


绝接上一篇 https 和内乱网怎样利用 的实际常识,此次去做个理论,用 openssl 战 keytool 为 weblogic 天生自签证书,并让阅读器信赖。

假如利用了背载平衡(nginx或apache),则更加简朴,只需求正在背载平衡中设置证书便完成了,没有需求以下步调,利用 apache 做为背载平衡可参考 apache 设置 https

布景常识
  • 甚么是单背认证:只需求客户端认证效劳端能否准确;
  • 甚么是单背认证:需求客户端战效劳器端相互认证,正在单背认证的根底上,效劳器也需求认证客户端。正在天生证书那一步也需求为客户端天生证书。




由于年夜部门状况下(除比力宁静的使用如触及到付出、银止U盾等)没有需求单背认证,以是那里只做单背认证就能够了。

阐明
  • 理论中我利用的是cygwin自带的 openssl,假如出有可自止下载
    OpenSSL,解压后用 cmd 进进该目次;
  • 正在当前目次下创立 ca 文件夹,用去存储天生的 CA 证书;
  • 操纵过程当中触及到的暗码均为123456,证书称号为example,可自止交换;
  • 示例签证的工夫是3650天,即10年;
  • 示例顶用到的 ip 自止交换。




建造CA根证书
  • 创立公钥 openssl genrsa -out ca/ca-key.pem 1024

    自签 https 证书

    自签 https 证书
  • 创立证书恳求 openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem -config openssl.cnf

    自签 https 证书

    自签 https 证书
  • 天生CA自署名证书 openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650

    自签 https 证书

    自签 https 证书





建造效劳器证书
  • 用 java 自带的 keytool东西天生稀钥 keytool -genkey -alias example -validity 365 -keyalg RSA -keysize 1024 -keypass 123456 -storepass 123456 -keystore example.jks

    自签 https 证书

    自签 https 证书
  • 用keytool东西天生证书恳求 keytool -certreq -alias example -sigalg MD5withRSA -file example.csr -keypass 123456 -keystore example.jks -storepass 123456

    自签 https 证书

    自签 https 证书
  • 按照证书恳求,用CA签证,天生效劳器证书openssl x509 -req -in example.csr -out example.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -days 365 -set_serial 1

    自签 https 证书

    自签 https 证书





背 keystore 稀钥库中导进证书
  • 导进CA证书 keytool -import -v -trustcacerts -keypass 123456 -storepass 123456 -alias root -file ca/ca-cert.pem -keystore example.jks

    自签 https 证书

    自签 https 证书
  • 导进效劳器证书 keytool -import -v -trustcacerts -storepass 123456 -alias example -file example.pem -keystore example.jks

    自签 https 证书

    自签 https 证书
  • 零丁导出 CA 做为信赖证书 keytool -import -alias example-ca -trustcacerts -file ca/ca-cert.pem -keystore exampletrust.jks

    自签 https 证书

    自签 https 证书





至此会天生 example.jks 战 exampletrust.jks 两个文件,将其复造到 webloigc 域的根目次下,启用 weblogic 的 ssl 功用并援用证书设置。

客户端装置CA证书(处理阅读器端没法辨认证书的成绩)
  • 天生阅读器证书openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12

    自签 https 证书

    自签 https 证书
  • 单击ca.p12装置证书为受信赖的根证书颁布机构
  • 翻开ie阅读器,正在 internet 选项``内乱容中肃清ssl形态,重启阅读器再从头会见,便没有会再有没有信赖的提醒。




apache 设置 https 参考 apache 设置 https



[url=http://drjhalpern.com/UserProfile/tabid/57/UserID/600362/Default.aspx]oleje
回复

使用道具 举报

408

主题

7万

帖子

3292

积分

白领

Rank: 4

积分
3292
发表于 2020-9-17 10:02:14 | 显示全部楼层
好朋友里面,一定要培养出一个知己,不要以为你有多么八面玲珑,到处是朋友,最后真心对你的,只有一个,相信我。
回复 支持 反对

使用道具 举报

429

主题

7万

帖子

3295

积分

白领

Rank: 4

积分
3295
发表于 2020-9-17 10:02:18 | 显示全部楼层
我怎么就踩不死你呢??
回复 支持 反对

使用道具 举报

408

主题

7万

帖子

3292

积分

白领

Rank: 4

积分
3292
发表于 2020-9-17 10:02:22 | 显示全部楼层
几头雾水.......................
回复 支持 反对

使用道具 举报

454

主题

7万

帖子

3318

积分

白领

Rank: 4

积分
3318
发表于 2020-9-17 10:02:22 | 显示全部楼层
我一个不久前结婚的男同学叫——常在厨房混,那能不切手
回复 支持 反对

使用道具 举报

425

主题

7万

帖子

3318

积分

白领

Rank: 4

积分
3318
发表于 2020-9-17 10:02:22 | 显示全部楼层
“别问我是谁请与我相恋”我最受不了的就是这句话了。。
回复 支持 反对

使用道具 举报

425

主题

7万

帖子

3318

积分

白领

Rank: 4

积分
3318
发表于 2020-9-17 10:02:22 | 显示全部楼层
正好你开咯这样的帖
回复 支持 反对

使用道具 举报

695

主题

7万

帖子

3343

积分

白领

Rank: 4

积分
3343
发表于 2020-9-17 10:02:22 | 显示全部楼层
再加上千斤顶
回复 支持 反对

使用道具 举报

425

主题

7万

帖子

3318

积分

白领

Rank: 4

积分
3318
发表于 2020-9-17 10:02:22 | 显示全部楼层
衣着尽量和她的品位搭调,即使你要提升品质,请带上她一起。
回复 支持 反对

使用道具 举报

737

主题

7万

帖子

3329

积分

白领

Rank: 4

积分
3329
发表于 2020-9-17 10:02:22 | 显示全部楼层
去年花下客,今似蝶分飞。
回复 支持 反对

使用道具 举报

 
在线客服
点击这里给我发消息
售前咨询热线
微信:gwailee
QQ:395508196

微信扫一扫,私享最新原创实用干货

QQ|Archiver|手机版|小黑屋|搜索管理|游戏管理|努金网(nujin.com) ( 沪ICP备20013403号 )

GMT+8, 2020-10-30 06:02 , Processed in 0.924995 second(s), 57 queries .

Powered by Nujin X3.4

© 2001-2017 Nujin Inc.

快速回复 返回顶部 返回列表