2. 程式人生 > >建立並使用https證書

建立並使用https證書

阿新 發佈:2021-01-22
[toc] ## 前言 > https要比http更安全些,因此可以配置Nginx伺服器使用證書,客戶端就會去第三方平臺校驗證書。 > 但是我們自己的伺服器和客戶端只是想要加個密而已,也沒必要跑去第三方平臺校驗證書,省錢方便。 > 因此研究了一下生成證書和使用證書的筆記。 ## 產生證書 > 網上很多都是用openssl命令列去產生,有點麻煩,主要是不想記一堆命令,因此找到一個非常簡單的專案。 > 專案地址:,需要環境有`python3、openssl、make`這三個工具。 > 使用方法`cd tls-gen/basic & make CN=www.janbar.com`,這樣客戶端必須用該域名進行訪問,並且要帶上對應證書。 > 最終產生如下三個檔案,`testca/cacert.pem`是客戶端使用,`server/cert.pem,server/key.pem`是伺服器使用。 ```sh testca/ cacert.pem server/ cert.pem key.pem ``` >
記得在`c:\Windows\System32\drivers\etc\hosts`增加`127.0.0.1 www.janbar.com`,準備證書原始碼檔案`cert.go`,內容如下: ```go var ( certPEMBlock = []byte(`-----BEGIN CERTIFICATE----- MIIDfjCCAmagAwIBAgIBATANBgkqhkiG9w0BAQsFADAxMSAwHgYDVQQDDBdUTFNH ZW5TZWxmU2lnbmVkdFJvb3RDQTENMAsGA1UEBwwEJCQkJDAeFw0yMTAxMjExMDEx MjJaFw0zMTAxMTkxMDExMjJaMCoxFzAVBgNVBAMMDnd3dy5qYW5iYXIuY29tMQ8w DQYDVQQKDAZzZXJ2ZXIwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDj pGglwTB/B1N07ZhwaP3erxDZDYhtDqir7fiuZQxgmWzQ5UeU7gp5ntu8bLXpFmVS s7si0WyOKbGoPi8Q/cvkZix3zkClAvS7vM2zW+0qa3Fp4dYRg42cjYAgenfpC0M5 fKHhnBKjzWFOiTOyJIPcNpvhAcV9dvQIdgX64g/+M2J3pMK2+tU5Z49Nc1KqyUS/ /zFo4C+HAk7Wbkc3Kgx8t4OZo0ddTdmLsPfRIU3hxqehRxhk7OccHBBb6JOVSF21 3h6kWwauN9djiOixpsS3jr1SVEGrhZk6zaOtZ+MSOg410pr3u79kdIuCYGNhvdDW soyNBNCFGOP/kj7dO5p/AgMBAAGjgacwgaQwCQYDVR0TBAIwADALBgNVHQ8EBAMC BaAwEwYDVR0lBAwwCgYIKwYBBQUHAwEwNQYDVR0RBC4wLIIOd3d3LmphbmJhci5j b22CD0RFU0tUT1AtQ1YxUUhPRIIJbG9jYWxob3N0MB0GA1UdDgQWBBSUjXz9K9NO tJJs+YXHVBUBG5RPEzAfBgNVHSMEGDAWgBRFxl2tSPMYhPZ+Pf6O1HiZ65yJzzAN BgkqhkiG9w0BAQsFAAOCAQEALxVtveN3LI1vi4uiaId6O87OjirugSD1xSkD7MFj aBb2u0+a/ziiNXeLCtxNxSb7HTknd/6SuTdgHzq1sCczk0BcV3FfEjNw3Y4sz9JO 0CBFnpgIvqFoA+rJEIiUwhyOkCh/aIVT8VMGm3gAHAeMhrYd4iF590+P1vgXTrvr 6T3FKojng3IgXxYzVUcia/UNEfY8U6f6yThC22kcThK/OeywpLB+NCm9/wt7sQUZ T8BEfhz0AKHFIih8wq5DD87Vc6fHkUBX6NBKmstm5X5smQTjJGd985fx1Rdka5ro o0IH6DYd8PjN0asvEb1RG5viSpcpXc5IFh7mNzmxaA7Ygw== -----END CERTIFICATE-----`) keyPEMBlock = []byte(`-----BEGIN PRIVATE KEY----- MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDjpGglwTB/B1N0 7ZhwaP3erxDZDYhtDqir7fiuZQxgmWzQ5UeU7gp5ntu8bLXpFmVSs7si0WyOKbGo Pi8Q/cvkZix3zkClAvS7vM2zW+0qa3Fp4dYRg42cjYAgenfpC0M5fKHhnBKjzWFO iTOyJIPcNpvhAcV9dvQIdgX64g/+M2J3pMK2+tU5Z49Nc1KqyUS//zFo4C+HAk7W bkc3Kgx8t4OZo0ddTdmLsPfRIU3hxqehRxhk7OccHBBb6JOVSF213h6kWwauN9dj iOixpsS3jr1SVEGrhZk6zaOtZ+MSOg410pr3u79kdIuCYGNhvdDWsoyNBNCFGOP/ kj7dO5p/AgMBAAECggEAIG96j3aZbGAk2hJImCu9kI8tPWAaQj/GdMjxmBe5zcHO qW0h5+yK/Y1PDegHe3C/eys0zN8+MntqXuiNWERxWtfcGi3/NAPZzy41uQquHk80 17tf/xrZgKcAzJ/mmgQKzhQeFMFiPoizBrex7/4X87asO0E/XIMoflQiwf6X/MYc w/2ExWGoSxucsZs1J7HuBWp10G26t7yZEEFy+IjS8aleNnBm0vBgSZ2R/cqIpqTD hvfnM/Xv8ERVMlj+pzac+qzAyRJHgEkYdOzwy9+7v9bT3fv99I+jHJjo5qMu4/vM s2QMypO2ams4ClbB6bgcq1Bt8/WATXoS4hbyCNDNYQKBgQDzBnJKQ3Iqc7rqYHDY romxqwyeHsi5sCXCsA806drQBIX+n3MhJ5UcveDNW6QtNPX8/v8JWLU+yR64zatf Qz5YFBLcF2NYvkO3z5vrvCmRYZaAbmMv1I+RKTWL2UDi1JBTteTG5g9BLIPMGIuz WNVnrAG61IsHLnBzUvMuLxJn6QKBgQDvy7aW22yocsZBUlZ0bDxY7OieEQbCuafx ncbGlSRfqCkwU1MKifZHFbLlxlklr+bQJRDlN2RYtLBSKeU65PK2zm7G6hgRcBMG 52SiW59QoGmiP5DmZj4ILAV9/SmlTRsnB6q2OXdkAZ06vNI2oPMznSUiFyB2MJiH lrG0MGnWJwKBgQDt5oKdNjcdXZs9ctklFH8QYIyCgUonlErysdzBBKhB+BufrUFL 1G7A6xOUlEA8TNr9JjZNVPxgEQu1BwjawX3XRRdNQsvrBJ5P4rkU5GagvbJR2T3Z hbBg/sE/PJarNkBu4eGp325Rc501f1XKZIzL5vLujL/ocMp96lbKACR5eQKBgDTF 2WYz3iLoN3dyvnIay+EqKjt3Ncyu/SXweimD8yBWKtJm1BSyrg+Q1/E3iLEBmENg lOpNGXloMpGyhK9EaaIPplOCe0+DIbzYOc59aX9d/kFlyebaw3Ya8g57I6osYPhi +I/n772DmW2u1niNTVijkeOBwXQhV8AnSu6D5RbrAoGBAOycwo6VQGUNkwQW6e02 32TdC9C66Ky8tB/SWusu6fGD6hpHBA15T/saOuZ6WE0ir7VGyAr1P04mYebcZ31P B14WxQ1BhT6MGdd6DK+kG+gIfT38sSwy/sHIpbM+KcijmX2jJ1qf1O8TJHlvXMdx fuPIaJgJmNZtnQtAo2f+XVWp -----END PRIVATE KEY-----`) rootPEM = []byte(`-----BEGIN CERTIFICATE----- MIIDUDCCAjigAwIBAgIUI8rwLlo1JMFnSeuNOdR7qf1vkU4wDQYJKoZIhvcNAQEL BQAwMTEgMB4GA1UEAwwXVExTR2VuU2VsZlNpZ25lZHRSb290Q0ExDTALBgNVBAcM BCQkJCQwHhcNMjEwMTIxMTAxMTIyWhcNMzEwMTE5MTAxMTIyWjAxMSAwHgYDVQQD DBdUTFNHZW5TZWxmU2lnbmVkdFJvb3RDQTENMAsGA1UEBwwEJCQkJDCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAM6NWvQP5lDgIDh5IC/BDHm1egEP3BG1 Mqu0rO0505Vp5Y1/oc3OGqi3cJLcJ0JOjq4Y6pjTmqlf0zLG1LgRw96bJid0LI2O iCDHCkdu3efU3aWxXgGxRBLPe8g7JHUSoIGsERrjqxsplQ38z6n+Yzbndjixz11r MCeQXS+FZeHFdkqEiy7DDrDa1OxthH8lFjPqcxBC5Dz4OO7eNhwLtru9sMSYYvOL jO6TmpHsd6OHUDVFFfaXSxHGeRFKDm9cYqKmO4oexm4QFAtoDaWCDXcAnS8hi7ze wAGhVPTRZp/lXuCqwsAAjU40vb8Pqq5zuY05eCYINwPYY5S1OMNTfJMCAwEAAaNg MF4wCwYDVR0PBAQDAgEGMB0GA1UdDgQWBBRFxl2tSPMYhPZ+Pf6O1HiZ65yJzzAf BgNVHSMEGDAWgBRFxl2tSPMYhPZ+Pf6O1HiZ65yJzzAPBgNVHRMBAf8EBTADAQH/ MA0GCSqGSIb3DQEBCwUAA4IBAQA03g3/AC3ylUjATzhxyglarRNrneZKM96KFm3c z99HzxBxX71hKBF6kV6GKdKQkl4Ocx6HLiHiIWviTFr0qNVNcafrdDwWa9dRg5da xKOOE9XoLYHWDmDaKgAIz4x5tDUDhAT4u7hkHQACz4TMlQG6L2uXPI0IiTv5185w vgNNpx2V3d9rlvq6AOWjhSrZ9rfuSnt3UbRjKmbZAGcaFb3Gqr7MdIZuYOB9CN7H o0wKNxKk00o7jav298tHinDdKvwYdAf8IgkEaHgBeFsPfNy8VGe4XWNdVT7HkzpO PHM7SBK+cEpKnylKkEdKb9ubSCe8NA4RpuKbeo36IS6Bcfmr -----END CERTIFICATE-----`) ) ``` ## 測試https伺服器 >
測試程式碼檔案`test_https.go`如下: ```go package main import ( "crypto/tls" "crypto/x509" "io" "net/http" "os" "time" ) func main() { http.Handle("/", http.FileServer(http.Dir("."))) go func() { cf, err := tls.X509KeyPair(certPEMBlock, keyPEMBlock) if err != nil { panic(err) } err = (&http.Server{TLSConfig: &tls.Config{ Certificates: []tls.Certificate{cf}, }}).ListenAndServeTLS("", "") if err != nil { panic(err) } }() time.Sleep(time.Second) // 上面是http伺服器的執行 // 下面是http客服端訪問 roots := x509.NewCertPool() ok := roots.AppendCertsFromPEM(rootPEM) if !ok { panic("failed to parse root certificate") } client := &http.Client{Transport: &http.Transport{ TLSClientConfig: &tls.Config{RootCAs: roots}, }} req, err := http.NewRequest(http.MethodGet, "https://www.janbar.com", nil) if err != nil { panic(err) } resp, err := client.Do(req) if err != nil { panic(err) } io.Copy(os.Stdout, resp.Body) resp.Body.Close() } ``` >
執行`go run test_https.go cert.go`效果如下,顯示了執行目錄下的檔案列表: ```go 
test.exe
test.go
``` ## 用tls加密tcp連線 > 測試程式碼`test_tcp.go`檔案,原始碼如下: ```go package main import ( "crypto/tls" "crypto/x509" "fmt" "net" "time" ) func main() { addr := "www.janbar.com:8080" go func() { err := tcpServer(addr) if err != nil { panic(err) } }() time.Sleep(time.Second) err := tcpClient(addr) if err != nil { panic(err) } } func tcpServer(addr string) error { cf, err := tls.X509KeyPair(certPEMBlock, keyPEMBlock) if err != nil { return err } s, err := tls.Listen("tcp", addr, &tls.Config{Certificates: []tls.Certificate{cf}}) if err != nil { return err } defer s.Close() client := func(c net.Conn) error { tNow := time.Now().String() buf := make([]byte, len(tNow)) n, err := c.Read(buf) if err != nil { return err } fmt.Printf("server [%s]\n", buf[:n]) _, err = c.Write([]byte(tNow)) return err } for { l, err := s.Accept() if err != nil { return err } go func(c net.Conn) { defer c.Close() if err := client(c); err != nil { fmt.Println(err) } }(l) } } func tcpClient(addr string) error { roots := x509.NewCertPool() ok := roots.AppendCertsFromPEM(rootPEM) if !ok { panic("failed to parse root certificate") } c, err := tls.Dial("tcp", addr, &tls.Config{RootCAs: roots}) if err != nil { return err } defer c.Close() tNow := time.Now().String() c.Write([]byte(tNow)) buf := make([]byte, len(tNow)) n, err := c.Read(buf) if err != nil { return err } fmt.Printf("client [%s]\n", buf[:n]) return nil } ``` > 執行`go run test_tcp.go cert.go`效果如下: ```go server [2021-01-21 21:09:51.7942154 +0800 CST m=+1.011929701] client [2021-01-21 21:09:51.7852425 +0800 CST m=+1.002956801] ``` ## 總結 > 以前使用的tcp連線沒有任何加密,現在想想還是不安全。用上證書,起碼會校驗訪問域名和證書等資訊,多少回安全一些。 > 以上都是用來測試等等,如果需要正式使用證書,還是去各大網站花錢申請吧。我一直用萬網的免費證書,但是有效期只有一

相關推薦

建立使用https證書

[toc] ## 前言 > https要比http更安全些,因此可以配置Nginx伺服器使用證書,客戶端就會去第三方平臺校驗證書。 > 但是我們自己的伺服器和客戶端只是想要加個密而已,也沒必要跑去第三方平臺校驗證書,省錢方便。 > 因此研究了一下生成證書和使用證書的筆記。 ## 產生證書 > 網上很多都是用o

nginx https 證書建立https 訪問,windows環境開發

Aphorism 光看不練是退步 nginx https 證書建立, https 訪問 參閱地址 作者的大部分操作都ok https://www.cnblogs.com/vincent-li666/p/5851463.html 注意點如下

使用acme.sh獲取定期自動更新https證書

關於let's encrypt和acme.sh的簡介 Let’s Encrypt is a free, automated, and open Certificate Authority. acme.sh 實現了 acme 協議, 可以從 let‘s encrypt 生

python+django PyCharm下建立執行我們的第一個Django工程:https://blog.csdn.net/Tomonkey/article/details/50922279

1:使用者通過瀏覽器輸入相應的 URL 發起 HTTP 請求(一般是 GET/POST) 2:Django 接受到請求,檢測 urls.py 檔案,找到和使用者輸入的 URL 相匹配的項,並呼叫該 URL 對應的檢視函式(view),例如,通常來說 urls.py 檔案裡的程式碼是這樣

在k8s上配置ingress啟用HTTPS證書

第一步,定義Secret檔案 該檔案設定tls的證書私鑰和公鑰內容,通過base64編碼的內容 tls.crt: 證書公鑰 tls.key: 證書私鑰 示例 apiVersion: v1 kind: Secret metadata: name: secret-tls data:

微信小程式免費HTTPS證書申請搭建教程(2)---安裝SSL使用HTTPS訪問

繼續接上一節http://blog.csdn.net/mybelief321/article/details/54429314 上一節我們已經獲取了SSL證書,並下載到本地,現在以我的伺服器為例,把SSL證書安裝到伺服器並支援HTTPS訪問。 我的雲伺服器系統版本是Ubun

網站部署到Linux伺服器上新增https證書

用的是Nginx伺服器 一、部署 將網站打包成war包 放到Linux的data/wwwroot/default目錄 解壓:jar -xvf novel.war 刪除war包:rm novel.w

openssl https證書

address world 解密 cipher nginx acer frame agen detail 今天摸索了下 HTTPS 的證書生成,以及它在 Nginx 上的部署。由於博客托管在 github 上,沒辦法部署證書,先記錄下,後續有需要方便快捷操作。本文的闡述不一

免費生成https證書以及配置

usr 幫我 有效期 note ssl 查詢 att acm sha http升級到https需要在nginx的配置中加入證書信息,查詢資料後確定生成證書兩種方案 第一種:自簽名證書,然後開啟 CloudFlare 的 CDN 服務 //確定是否安裝open

記錄一次https證書申請失敗的案例

hydra tor 一次 申請 目錄 tin site text auto 部分站點由於使用了大量的域名,會導致 auto-ssl 配置的內存不夠用,導致證書申請失敗。需要做以下調整 nginx.conf 中 lua_shared_dict auto_ssl 調整為 128

Openssl應用實例:創建私有CA申請證書

linux運維一:實驗環境CA:centos6 172.17.252.226客戶端:centos7 172.17.252.188二:閱讀CA相關配置文件CA配置文件路徑:/etc/pki/tls/openssl.cnf圖一圖二圖三三:證書申請及簽署步驟1、生成申請請求2、RA核驗3、CA簽署4、獲取證書具

let's encrypt生成免費https證書 ubuntu+tomcat+nginx+let's encrypt

http important 免費https pri perm apt repo www. add 1. 下載let‘s encrypt $ sudo add-apt-repository ppa:certbot/certbot $ sudo apt-get update

獲取服務端https證書

certificate最近開發一個需求,涉及獲取服務端https證書。一般進行https調用我們都不太關心底層細節,直接使用WebClient或者HttpWebRequest來發送請求,這兩種方法都無法獲取證書信息,需要用到ServicePoint,這個類用於提供HTTP連接的管理。寫個Demo,拿新浪首頁試

自簽名的https證書是不安全的

算法 -s tro 手動 ssl證書 為什麽 必須 無法獲得 報錯 一、項目內的需求 我們做的app都是企業級的應用,而企業級的應用的下載需要遵循itms協議,itms協議下需要https鏈接,這就需要你的服務器支持https的協議,該協議需要申請SSL證書,我們測試時用的

通過Authentication Challenge來信任自簽名Https證書

就會 ace 中一 rust 進行 tostring 網絡相關 alt policy 在開發階段我們我們經常使用自簽名的證書來部署我們的後臺rest api。但是在iOS中調用的時候就會因為證書不被信任而調用api不成功。這時候我們就需要通過實現某些網絡回調函數來自定義證書

asp.net core 開發的https證書服務-agilelabs.net

機構 cor line cnblogs .net 中轉 lin .cn csr 創建證書-生成CSR(Certificate Sign Request):填寫證書基本信息接下來我們就可以看到創建的證書簽名請求信息(CSR):為我們剛才創建的CSR簽名:簽名的意思是說通過證書

創建https證書

unit types cer call letter x509 com nal image 第一個裏程碑:創建https證書 創建文件認證目錄 mkdir /application/nginx/key/ -p 在認證目錄下創建認證文件 openssl req -ne

fiddler 無法安裝https證書問題 unable to configure windows to trust the fiddler root certificate

bsp not -s make cert 1.3 fiddler fiddler2 工具 需要 在命令行工具中 cd "C:\Program Files (x86)\Fiddler2" makecert.exe -r -ss my -n "CN=DO

獲取服務端https證書 - Java版

https certificate 接上篇,用java代碼實現一下獲取遠程服務端證書,還是拿新浪首頁測試,上代碼:package org.test;import java.net.URL;import java.security.MessageDigest;import java.security.c

mac burp suite https證書安裝

點擊 並且 證書安裝 分享 load blog port info gpo 1. 下載burp suite 2.安裝,設置並代理上 3. 打開http://burp並且下載證書 4. 點擊打開選擇始終信任並且導出桌面 5. 火狐打開設置至證書一欄[證書機構]導入