1 不安全的TCP通信 普通的TCP通信数据是明文传输的,所以存在数据泄露和被篡改的风险,我们可以写一段测试代码试验一下,NODE.JS代码: TCP Server: const net=require('net'); const server=net.createServer(); const serverHost='127.0.0.1'; const serverPort=8888; server.on('connection',(clientSocket)=>{ clientSocket.…
Chrome下自签名证书提示无效的问题 发现chrome验证证书很严格,必须带有Subject Alternative Name.签发csr时,修改openssl.cnf : vi /etc/ssl/openssl.cnf (windows  所在目录 :\OpenSSL\bin\cnf\openssl.cnf )在[ req ]节添加req_extetions = v3_req 生成 CSR 文件时读取名叫 v3_req 的节的配置,[ v3_req ] # Extensions to add…
一. 申请证书1. 到受信任的机构申请 略 2. 到自建的证书服务器申请 a. 安装证书服务 通过控制面板中的“添加/删除程序”,选择“添加/删除Windows组件”.在Windows组件向导中找到“证书服务”,安装即可,基本都是下一步(需要系统盘或者指定系统镜像的I386文件夹). 如果觉得这期间设置有问题,删除此组件重新安装即可(此过程中重新设置). 安装的过程中会提示需要IIS及ASP,单击“是”即可. 安装完毕,申请证书的地址就是http://你的证书服务器IP/certsrv/ b. …
在 SSLSocket实现服务端和客户端双向认证的例子 文章中最后提到使用keytool.exe的自签证书实现双向认证可以,但是使用ejbca生成证书实现SLL Socket的双向认证是服务端老是报错提示 null cert chain的错误. 当时花了一整天的时间研究都没有眉目,今天突然想到,cert chain,证书链,查看客户端或服务证书库中的证书,含有除了自身的私匙外还有一个CA的公匙,如下图所示: 终于明白了,原来要实现双向认证,使用keytool.exe工具的-export命令除需要…
互联网安全形势日趋严峻,企业重视自身互联网安全已成必然,SSL认证成大势所趋.要部署SSL证书最首先就是选好CA机构!其次选择适合自己的SSL证书!今天就来介绍一下如何选择CA机构及SSL证书! 首先我们应该如何选择ca机构呢? CA机构是什么? CA机构是什么?CA机构就是SSL证书审核签发机构,电子商务交易中备受信任的第三方,承担检验公钥体系合法性的责任.那该如何选择CA机构呢? 以下几点小小建议: (1)全球可信,最好是已经通过WebTrust国际认证.目前通过WebTrust国际认证国内…
SSL证书机构即CA机构的全称为Certificate Authority证书认证中心,只有通过WebTrust国际安全审计认证,根证书才能预装到主流浏览器,成为全球可信的ssl证书颁发机构. HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 .HTTPS 在HTTP 的基础下加入SSL 层,HTTPS 的安全基础是 SS…
nginx配置https双向验证 服务端验证(ca机构证书) 客户端验证(服务器自签证书) 本文用的阿里云签发的免费证书实验,下载nginx安装ssl,文件夹有两个文件 这两个文件用于做服务器https验证 配置如下: 自签证书步骤如下: ca根证书生成 创建ca私钥 openssl genrsa -out ca.key 生成ca证书 openssl req -new -x509 -days -key ca.key -out ca.crt 客户端证书生成 创建客户端私钥 openssl genr…
一.理解什么是数字证书   http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html    理解数字证书等概念,无数次想好好看看数字证书,CA什么的,都没看懂,直到昨天看到了这篇博文,基本上是理解了   二.阿里云证书的CA证书使用情况   比如我在阿里云申请了一个域名lile.capatain.com,然后我要实现对这个域名能实现https,那么该怎么办呢?   阿里云的文档 1)首先去阿里云购买一个证书(在云盾那里),…
说到https,我们就不得不说tls/ssl,那说到tls/ssl,我们就不得不说证书机构(CA).证书.数字签名.私钥.公钥.对称加密.非对称加密.这些到底有什么用呢,正所谓存在即合理,这篇文章我就带你们捋一捋这其中的关系. 对称加密 对称加密是指双方持有相同的密钥进行通信,加密速度快,但是有一个安全问题,双方怎样获得相同的密钥?你总不能总是拿着U盘把密钥拷贝给对方吧. 常见的对称加密算法有DES.3DES.AES等 非对称加密 非对称加密,又称为公开密钥加密,是为了解决对称加密中的安全问题而…
WPF发布程序后未授予信任的解决办法 基于浏览器的WPF应用程序由于需要比较高的操作权限,所以在项目的安全性属性中选择了“这是完全可信的应用程序”选项.可是,在发布部署后,在其他电脑上打开xbap文件的时候,提示“未授予信任无法部署该应用,因为它不受信任并且可能不安全.”的错误.打开log文件发现在下载程序时候触发了TrustNotGrantedException异常. 解决办法: 大步骤分为3步:制作特定域名访问的证书:使用该证书为程序集签名:把该证书导入到客户端的证书管理器中. 详细步骤如下…
第1步:生成私钥 有密码:openssl genrsa -des3 -out private.key 1024无密码:openssl genrsa -out private.key 1024 说明:生成rsa私钥,des3算法,2048位强度,server.key是秘钥文件名. 注意:生成私钥,需要提供一个至少4位的密码. 1024位RSA非对称密钥对已经变得不安全了,所以,美国国家标准技术研究院( NIST )要求停止使用不安全的1024位非对称加密算法.微软已经要求所有受信任的根证书颁发机构…
vhosts添加https证书两步: 1:生成证书: sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt 关于参数: openssl: 基本命令行工具,用于创建并管理OpenSSL证书.密钥与其它文件. req: 此子命令指定我们希望使用X.509证书签名请求…
iOS开发HTTPS实现之信任SSL证书和自签名证书 转自:http://www.jianshu.com/p/6b9c8bd5005a/comments/5539345 (收录一下供自己学习用的) 字数1566 阅读5025 评论76 喜欢30 首先来分析一下什么是HTTPS以及了解HTTPS对于iOS开发者的意义 HTTPS 以及SSL/TSL 什么是SSL? SSL(Secure Sockets Layer, 安全套接字层),因为原先互联网上使用的 HTTP 协议是明文的,存在很多缺点,比如…
自签名的证书无法被吊销,CA签名的证书可以被吊销 能不能吊销证书的区别在于,如果你的私钥被黑客获取,如果证书不能被吊销,则黑客可以伪装成你与用户进行通信   如果你的规划需要创建多个证书,那么使用私有CA的方法比较合适,因为只要给所有的客户端都安装了CA的证书,那么以该证书签名过的证书,客户端都是信任的,也就是安装一次就够了 如果你直接用自签名证书,你需要给所有的客户端安装该证书才会被信任,如果你需要第二个证书,则还的挨个给所有的客户端安装证书2才会被信任.       证书类型: x509的证…
CA证书顾名思义就是由CA(Certification Authority)机构发布的数字证书.要对CA证书完全理解及其作用,首先要理解SSL.SSL(security sockets layer,安全套接层)是为网络通信提供安全及数据完整性的一种安全协议.SSL3.0版本以后又被称为TLS.SSL位于TCP与各应用层之间,是操作系统向外提供的API.SSL如何保证网络通信的安全和数据的完整性呢?就是采用了两种手段:身份认证和数据加密.首先身份认证就需要用到CA证书了.先了解CA证书具体包括哪些…
从2016年的11月份开始,firefox \  chrome \ apple 等陆续不再信任  StartSSL 的证书,导致一些使用  StartSSL 的证书的网站访问遇到了麻烦, firefox V50.以后访问 StartSSL 的证书网站会提示 " 对等端的证书已被废除. (错误代码:sec_error_revoked_certificate)." 就是按下面的方法重新配置服务端也未必见效, 删除FIREFOX的 STARTSSL证书后从新安装还行 .    所以有必要更换…
前段时间制作证书时把以前钥匙串中的证书全删除了,然后在制作新证书的时候就出现了"此证书由未知颁发机构签名"的红色警告,通过查找资料发现出现此问题的原因是:我把钥匙串中的此证书给删除了,它是iPhone Developer证书的签发者,如果它被删除就会导致iPhone Developer证书被识别为未知颁发机构签名,然后xcode中真机调试就会出现上面的错误. 解决办法:重新把AppleWWDRCA放回去:从Apple官网(http://www.apple.com/certificate…
转自:http://blog.sina.com.cn/s/blog_cfee55a70102wn3h.html 1 公钥密码体系(Public-key Cryptography) 公钥密码体系,又称非对称密码体系.它使用二个密钥,一个用于加密信息,另一个用于解密信息. 这二个密钥间满足一定数学关系,以至用二个密钥中的任何一个加密的数据,只能用另外一个进行数据解密.每个用户拥有二个密钥,一个被称之为公钥,另一个被称之为私钥,并将公钥分发给其它用户.由于这二个密钥间的数学关系, 任何收到该用户公钥的…
certmgr.exe -add "证书.cer" -s -r localMachine Disallowed 导入授信机构 certmgr -add "证书.cer" -s -r currentUser root 其中: 证书.cer是证书文件: localMachine是指本地计算机(相对的是当前用户): Disallowed是证书存储分区——不信任的证书.其他的存储分区对应的名称可以到注册表HKLM\software\Microsoft\systemcerti…
http://www.cnblogs.com/smyhvae/p/3881477.html  找了个连接 问题描述:最近在学习Android SQLite中的SQLiteOpenHelper,使用SQLiteOpenHelper创建数据库和表后,想查看一下自己创建的数据库以及表文件,默认情况下数据库位于根目录下的data文件夹下面的data子文件夹下.选择FileExplorer,打开data文件夹,发现无法查看.  解决办法:要想查看data文件首先要获取手机root权限,成功root后,修改…
本文借助实验环境下创建的root CA私钥和证书进一步创建中间CA.为了便于区分,我们将创建中间CA(intermediate CA)的CA称为根CA(root CA). 关于如何使用OpenSSL创建root CA. 中间CA是root CA的代理,其证书由root CA签发,同时中间CA能够代表根CA签发用户证书,由此建立起信任链. 创建中间CA的好处是即使中间CA的私钥泄露,造成的影响也是可控的,我们只需要使用root CA撤销对应中间CA的证书即可.此外root CA的私钥可以脱机妥善保…
查看win激活状态的命令  1.键盘按下win+R 运行输入如下命令即可. 2.Win+R===>输入 slmgr.vbs -dlv   显示:最为详尽的激活信息,包括:激活ID.安装ID.激活截止日期 3.Win+R===>输入 slmgr.vbs -dli 显示:操作系统版本.部分产品密钥.许可证状态 4.Win+R===>输入 slmgr.vbs -xpr   显示:是否彻底激活 5.Win+R===>输入 Winver 6.slmgr -ipk Key    安装产品密钥 …
iOS 中可用的受信任根证书列表 iOS 受信任证书存储区中包含随 iOS 一并预装的受信任根证书. 关于信任和证书 以下所列的各个 iOS 受信任证书存储区均包含三类证书: “可信”的证书用于建立信任链,以验证由受信任根证书签署的其他证书:例如,与网页服务器建立安全连接.IT 管理员在创建 iOS 配置描述文件时,无需提供这些受信任的根证书. “始终询问”的证书不受信任,但不会被阻止.使用其中任一证书时,系统将提示您选择是不是信任这个证书. “已阻止”的证书视为已被盗用,将永远不再受信任. h…
iOS 受信任证书存储区包含随 iOS 预安装的可信根证书.  https://support.apple.com/zh-cn/HT205205 关于信任和证书 iOS 9 受信任证书存储区包含三类证书: 可信的根证书用于建立信任链,以验证由可信的根签署的其他证书,例如,与 Web 服务器建立安全连接.当 IT 管理员创建 iPhone.iPad 或 iPod touch 的配置描述文件时,无需提供这些可信的根证书. 始终询问的证书不受信任,但不受阻止.使用其中一个证书时,系统将提示您选择是否信…
在使用 HttpClient 工具调用第三方 Http 接口时报错 javax.net.ssl.SSLException:Unrecognized SSL message,plaintext connection? 这个错误意思是说,无法识别 SSL 信息,明文连接? 看这个意思是说在使用 https 协议访问网络资源时无法识别 SSL 信息. SSL(Secure Socket Layer 安全套接层)是基于HTTPS下的一个协议加密层,最初是由网景公司(Netscape)研发,后被IETF(…
接理解加密算法(一)--加密算法分类.理解加密算法(二)--TLS/SSL 1 不安全的TCP通信 普通的TCP通信数据是明文传输的,所以存在数据泄露和被篡改的风险,我们可以写一段测试代码试验一下. TCP Server: const net=require('net'); const server=net.createServer(); const serverHost='127.0.0.1'; const serverPort=8888; server.on('connection',(cl…
弄了几天,网上搜了个遍,愣是解决不了,绝望的时候闭着眼睛胡搞,居然解决了,哈哈.... 开发环境:visual studio 2008 项目位置:局域网其他电脑内 出现问题: 1.弹出“”的对话框,如果强行跳过则会引发问题2. 2.会出现各种安全性异常的黄页. 解决办法: 1.下载 Microsoft .NET Framework 2.0 软件开发工具包 并安装 2.打开 "SDK 命令提示" 并输入 "mscorcfg.msc" 回车启动 ".NET F…
这里记录一下我监控某组进程的解决办法. 1.首先要获取要监控的进程的进程id,如果你要勇ps grep 那你就out了,强大的linux系统有一个pidof命令,用来查找相关进程的进程id,其实还有一个命令可以做到这个. 比如:pidof php-fpm [work@zhz jiehun]$ pidof 'php-fpm' 2333 2162 2155 1659 [work@zhz jiehun]$ preg php-fpm [work@zhz jiehun]$ pidof 'php-fpm'…
#关闭防火墙 chkconfig iptables off service iptables stop #关闭SELINUX sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config setenforce #上传openresty_auto_install到 /usr/local/software mkdir /usr/local/software cd /usr/local/software/openresty_aut…