• 关于

    https证书 根证书

    的搜索结果

问题

您好 目前我们以及遇到如下问题:异步地址为https不能正常收到异步通知

1310500872630928 2019-12-01 18:58:20 197 浏览量 回答数 1

问题

手机客户访问HTTPS网站实录

gf6 2019-12-01 21:48:16 1095 浏览量 回答数 1

问题

虚拟主机安装证书

31529744 2019-12-01 18:58:59 338 浏览量 回答数 0

阿里云试用中心,为您提供0门槛上云实践机会!

0元试用32+款产品,最高免费12个月!拨打95187-1,咨询专业上云建议!

问题

关于Tomcat+nginx配置https登录的问题

落地花开啦 2019-12-01 19:27:33 1662 浏览量 回答数 1

问题

HTTPS配置之后还是无法使用

cirme 2019-12-01 20:04:55 1827 浏览量 回答数 3

问题

证书安装后访问网站提示您的连接不安全

鹤城人 2019-12-01 19:41:09 2343 浏览量 回答数 2

问题

ECS Windows  Server 2008 系统服务器如何通过IIS搭建HTTPS网站?

boxti 2019-12-01 21:30:41 2033 浏览量 回答数 0

回答

升级客户端根证书。如:Java+Linux 升级 OpenSSL 客户端即可,其他操作系统+编程语言,请升级编程语言中 HTTPS 使用的根证书。 联系 API 提供者,要求其更换兼容性更好的主流 SSL 证书。 程序中忽略检查 SSL 证书有效性(不推荐),忽略后会有请求被劫持的安全风险。只在与 API 提供商无法提供兼容性更好的主流 SSL 证书,且安全风险可控的前提下,可以考虑使用此方法。

保持可爱mmm 2020-03-26 21:08:04 0 浏览量 回答数 0

回答

所需材料: 1、域名1个。2、云服务器1台。3、ssl证书1个。 前提准备: 1、域名最好要备案,在国内使用比较方便。2、我推荐阿里云的ECS。3、ECS为Linux系统,安装的是宝塔控制面板(为什么要安装控制面板?1宝塔控制面板安装简单,容易上手,非常适合小白用户,而且宝塔控制面板有很多插件功能,后边一系列的教程里会用到,如何安装宝塔控制面板:https://aliyun.gaomeluo.com/398.html)4、阿里云可以免费申请ssl证书,参考“如何申请阿里云盾(https)ssl证书”。 操作步骤: 1、之前教大家安装宝塔控制面板,现在登录宝塔控制面板,点击“添加”,跳出一个弹窗,输入你申请了ssl证书的那个域名,并顺带创建FTP、数据库等信息。 2、提交之后,点击左侧“网站”,进入网站管理页面,选择你刚才的输入域名的网站,点击右边的“设置”。 3、出现一个弹窗,点击左侧的“SSL”,这时上一个申请阿里云盾ssl证书的教程,最后一步让大家下载的证书派上用途了(我的环境是Nginx,所以下载的Nginx证书),解压下载的证书,用txt打开,复制内容分别填到上图的框框里。记住,右上角的“强制HTTPS”一定要选上,然后“保存”。(强制HTTPS打开是为了防止http和https同时存在,打开之后,输入http就会跳转到https上)。在浏览器网址栏里输入你的网址,会自动跳转到https://www.xxx.com,如下图: 4、出现了“恭喜,站点创建成功!”,说明一个https的网站已经搭建成功了,已经实现了全站https。现在你可以登录FTP,然后删除FTP根目录下的index.html,然后再上传你的网站源码,安装网站。 望采纳,谢谢

元芳啊 2019-12-02 00:27:40 0 浏览量 回答数 0

问题

StartSSL – 免费高兼容的 SSL 证书 附详细教程

妙正灰 2019-12-01 21:13:39 5857 浏览量 回答数 0

回答

SSL证书就是遵守SSL安全套接层协议的服务器数字证书,而SSL安全协议最初是由美国网景Netscape Communication公司设计开发,全称为安全套接层协议(Secure Sockets Layer)。 SSL证书由浏览器中受信任的根证书颁发机构在验证服务器身份后颁发,具有网站身份验证和加密传输双重功能。 在网址前面加上https:// 能访问就是部署了ssl证书的。 点击进入:阿里云SSL证书详细介绍,以及4大优势

云world 2020-07-03 14:09:08 0 浏览量 回答数 0

回答

1、异步地址是否可以外网访问:部分商户将异步地址设置为本地地址,导致无法访问成功; 2、异步地址测试是否post访问:异步地址与同步地址访问方式不同; 异步为post访问,同步为get访问。 3、服务器设置防火墙导致访问失败:检查服务器是否设置了防火墙或者禁用了端口; 4、商户设置断点进行调试:检查自己是否在测试时设置了断点; 5、异步地址是否进行转义:notify_url在请求时如果传值做了encode也有可能导致http0; 6、异步地址为https不能正常收到异步通知,为http能正常收到异步通知:SSL证书不符合要求。 证书推荐使用WoSign、Verisign、GlobalSign、Geotrust、Entrust等国际知名品牌的SSL证书。有的可能是证书部署的有问题,也有的是需要开启sni。 要求该SSL证书满足:其根证书在JDK1.5中缺省内置(JDK1.5缺省内置的根证书列表见附件jdk15.txt,可通过证书序列号查找比对)国际知名证书供应商一般会与Sun/微软等合作将其根证书预埋在JDK/Windows中。 7、网络等问题:导致异步地址无法访问成功。

保持可爱mmm 2020-05-05 17:12:19 0 浏览量 回答数 0

回答

最佳回答 SSL证书就是遵守SSL安全套接层协议的服务器数字证书,而SSL安全协议最初是由美国网景Netscape Communication公司设计开发,全称为安全套接层协议(Secure Sockets Layer)。 SSL证书由浏览器中受信任的根证书颁发机构在验证服务器身份后颁发,具有网站身份验证和加密传输双重功能。 在网址前面加上https:// 能访问就是部署了ssl证书的。 点击进入:阿里云SSL证书详细介绍,以及4大优势 更多参考地址: 阿里云官方(新用户需官网注册查看)

游客t3kv7n3xbv4hk 2020-08-31 10:13:45 0 浏览量 回答数 0

回答

1、下载文件: 下载专有验证文件 fileauth.txt文件,下载后不要编辑,不要打开,不要重命名,有效期24小时。 2、创建目录: 在站点的根目录下创建.well-known/pki-validation子目录。注意第一层目录是带点的隐藏目录,Windows下命令为:md ".well-known"。 将下载到本地的文件上传到该子目录中。如果您的站点由于某种原因无法创建隐藏目录,选择其它DNS验证方式。 3、配置检测: (1)HTTPS配置检测链接:https://您的域名/.well-known/pki-validation/fileauth.txt (2)HTTP配置检测链接:http://您的域名/.well-known/pki-validation/fileauth.txt 请确保您的主机服务商没有屏蔽国外访问。如已屏蔽,请联系主机服务商。 有些CA厂商会优先检测HTTPS地址,如果开启HTTPS协议一定要保证正确配置了证书,否则不要开启HTTPS。 如果用了CDN、WAF等服务,请确认证书是否有效,强烈建议临时关闭相关服务的HTTPS。 常见的错误: (1)站点有多个Host,其它Host开启了HTTPS,从而导致该域名的HTTPS证书不可信; (2)用了CDN、WAF等服务,开启了HTTPS但没有配置证书,服务商提供的默认证书从而导致域名不匹配。 配置好之后,请用浏览器访问地址是否正常输出内容。 常见的错误: (1)文件内容不正确; (2)内容看起来正确,但并不正确,原因是里面包含了HTML元素; (3)原始地址发生了跳转; (4)内容已经过期。

景凌凯 2020-02-06 17:56:53 0 浏览量 回答数 0

回答

HTTPS基本原理 一、http为什么不安全。 http协议没有任何的加密以及身份验证的机制,非常容易遭遇窃听、劫持、篡改,因此会造成个人隐私泄露,恶意的流量劫持等严重的安全问题。 国外很多网站都支持了全站https,国内方面目前百度已经在年初完成了搜索的全站https,其他大型的网站也在跟进中,百度最先完成全站https的最大原因就是百度作为国内最大的流量入口,劫持也必然是首当其冲的,造成的有形的和无形的损失也就越大。关于流量劫持问题,我在另一篇文章中也有提到,基本上是互联网企业的共同难题,https也是目前公认的比较好的解决方法。但是https也会带来很多性能以及访问速度上的牺牲,很多互联网公司在做大的时候都会遇到这个问题:https成本高,速度又慢,规模小的时候在涉及到登录和交易用上就够了,做大以后遇到信息泄露和劫持,想整体换,代价又很高。 2、https如何保证安全 要解决上面的问题,就要引入加密以及身份验证的机制。 这时我们引入了非对称加密的概念,我们知道非对称加密如果是公钥加密的数据私钥才能解密,所以我只要把公钥发给你,你就可以用这个公钥来加密未来我们进行数据交换的秘钥,发给我时,即使中间的人截取了信息,也无法解密,因为私钥在我这里,只有我才能解密,我拿到你的信息后用私钥解密后拿到加密数据用的对称秘钥,通过这个对称密钥来进行后续的数据加密。除此之外,非对称加密可以很好的管理秘钥,保证每次数据加密的对称密钥都是不相同的。 但是这样似乎还不够,如果中间人在收到我的给你公钥后并没有发给你,而是自己伪造了一个公钥发给你,这是你把对称密钥用这个公钥加密发回经过中间人,他可以用私钥解密并拿到对称密钥,此时他在把此对称密钥用我的公钥加密发回给我,这样中间人就拿到了对称密钥,可以解密传输的数据了。为了解决此问题,我们引入了数字证书的概念。我首先生成公私钥,将公钥提供给相关机构(CA),CA将公钥放入数字证书并将数字证书颁布给我,此时我就不是简单的把公钥给你,而是给你一个数字证书,数字证书中加入了一些数字签名的机制,保证了数字证书一定是我给你的。 所以综合以上三点: 非对称加密算法(公钥和私钥)交换秘钥 + 数字证书验证身份(验证公钥是否是伪造的) + 利用秘钥对称加密算法加密数据 = 安全 3、https协议简介 为什么是协议简介呢。因为https涉及的东西实在太多了,尤其是一些加密算法,非常的复杂,对于这些算法面的东西就不去深入研究了,这部分仅仅是梳理一下一些关于https最基本的原理,为后面分解https的连接建立以及https优化等内容打下理论基础。 3.1 对称加密算法 对称加密是指加密和解密使用相同密钥的加密算法。它要求发送方和接收方在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密,所以密钥的保密性对通信至关重要。 对称加密又分为两种模式:流加密和分组加密。 流加密是将消息作为位流对待,并且使用数学函数分别作用在每一个位上,使用流加密时,每加密一次,相同的明文位会转换成不同的密文位。流加密使用了密钥流生成器,它生成的位流与明文位进行异或,从而生成密文。现在常用的就是RC4,不过RC4已经不再安全,微软也建议网络尽量不要使用RC4流加密。 分组加密是将消息划分为若干位分组,这些分组随后会通过数学函数进行处理,每次一个分组。假设需要加密发生给对端的消息,并且使用的是64位的分组密码,此时如果消息长度为640位,就会被划分成10个64位的分组,每个分组都用一系列数学公式公式进行处理,最后得到10个加密文本分组。然后,将这条密文消息发送给对端。对端必须拥有相同的分组密码,以相反的顺序对10个密文分组使用前面的算法解密,最终得到明文的消息。比较常用的分组加密算法有DES、3DES、AES。其中DES是比较老的加密算法,现在已经被证明不安全。而3DES是一个过渡的加密算法,相当于在DES基础上进行三重运算来提高安全性,但其本质上还是和DES算法一致。而AES是DES算法的替代算法,是现在最安全的对称加密算法之一。分组加密算法除了算法本身外还存在很多种不同的运算方式,比如ECB、CBC、CFB、OFB、CTR等,这些不同的模式可能只针对特定功能的环境中有效,所以要了解各种不同的模式以及每种模式的用途。这个部分后面的文章中会详细讲。 对称加密算法的优、缺点: 优点:算法公开、计算量小、加密速度快、加密效率高。 缺点:(1)交易双方都使用同样钥匙,安全性得不到保证; (2)每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量呈几何级数增长,密钥管理成为用户的负担。 (3)能提供机密性,但是不能提供验证和不可否认性。 3.2 非对称加密算法 在非对称密钥交换算法出现以前,对称加密一个很大的问题就是不知道如何安全生成和保管密钥。非对称密钥交换过程主要就是为了解决这个问题,使得对称密钥的生成和使用更加安全。 密钥交换算法本身非常复杂,密钥交换过程涉及到随机数生成,模指数运算,空白补齐,加密,签名等操作。 常见的密钥交换算法有RSA,ECDHE,DH,DHE等算法。涉及到比较复杂的数学问题,下面就简单介绍下最经典的RSA算法。RSA:算法实现简单,诞生于1977年,历史悠久,经过了长时间的破解测试,安全性高。缺点就是需要比较大的素数也就是质数(目前常用的是2048位)来保证安全强度,很消耗CPU运算资源。RSA是目前唯一一个既能用于密钥交换又能用于证书签名的算法。我觉得RSA可以算是最经典的非对称加密算法了,虽然算法本身都是数学的东西,但是作为最经典的算法,我自己也花了点时间对算法进行了研究,后面会详细介绍。 非对称加密相比对称加密更加安全,但也存在两个明显缺点: 1,CPU计算资源消耗非常大。一次完全TLS握手,密钥交换时的非对称解密计算量占整个握手过程的90%以上。而对称加密的计算量只相当于非对称加密的0.1%,如果应用层数据也使用非对称加解密,性能开销太大,无法承受。 2,非对称加密算法对加密内容的长度有限制,不能超过公钥长度。比如现在常用的公钥长度是2048位,意味着待加密内容不能超过256个字节。 所以公钥加密(极端消耗CPU资源)目前只能用来作密钥交换或者内容签名,不适合用来做应用层传输内容的加解密。 3.3 身份认证 https协议中身份认证的部分是由数字证书来完成的,证书由公钥、证书主体、数字签名等内容组成,在客户端发起SSL请求后,服务端会将数字证书发给客户端,客户端会对证书进行验证(验证查看这张证书是否是伪造的。也就是公钥是否是伪造的),并获取用于秘钥交换的非对称密钥(获取公钥)。 数字证书有两个作用: 1,身份授权。确保浏览器访问的网站是经过CA验证的可信任的网站。 2,分发公钥。每个数字证书都包含了注册者生成的公钥(验证确保是合法的,非伪造的公钥)。在SSL握手时会通过certificate消息传输给客户端。 申请一个受信任的数字证书通常有如下流程: 1,终端实体(可以是一个终端硬件或者网站)生成公私钥和证书请求。 2,RA(证书注册及审核机构)检查实体的合法性。如果个人或者小网站,这一步不是必须的。 3,CA(证书签发机构)签发证书,发送给申请者。 4,证书更新到repository(负责数字证书及CRL内容存储和分发),终端后续从repository更新证书,查询证书状态等。 数字证书验证: 申请者拿到CA的证书并部署在网站服务器端,那浏览器发起握手接收到证书后,如何确认这个证书就是CA签发的呢。怎样避免第三方伪造这个证书。答案就是数字签名(digital signature)。数字签名是证书的防伪标签,目前使用最广泛的SHA-RSA(SHA用于哈希算法,RSA用于非对称加密算法)数字签名的制作和验证过程如下: 1,数字签名的签发。首先是使用哈希函数对待签名内容进行安全哈希,生成消息摘要,然后使用CA自己的私钥对消息摘要进行加密。 2,数字签名的校验。使用CA的公钥解密签名,然后使用相同的签名函数对待签名证书内容进行签名并和服务端数字签名里的签名内容进行比较,如果相同就认为校验成功。 需要注意的是: 1)数字签名签发和校验使用的密钥对是CA自己的公私密钥,跟证书申请者提交的公钥没有关系。 2)数字签名的签发过程跟公钥加密的过程刚好相反,即是用私钥加密,公钥解密。 3)现在大的CA都会有证书链,证书链的好处一是安全,保持根CA的私钥离线使用。第二个好处是方便部署和撤销,即如果证书出现问题,只需要撤销相应级别的证书,根证书依然安全。 4)根CA证书都是自签名,即用自己的公钥和私钥完成了签名的制作和验证。而证书链上的证书签名都是使用上一级证书的密钥对完成签名和验证的。 5)怎样获取根CA和多级CA的密钥对。它们是否可信。当然可信,因为这些厂商跟浏览器和操作系统都有合作,它们的公钥都默认装到了浏览器或者操作系统环境里。 3.4 数据完整性验证 数据传输过程中的完整性使用MAC算法来保证。为了避免网络中传输的数据被非法篡改,SSL利用基于MD5或SHA的MAC算法来保证消息的完整性。 MAC算法是在密钥参与下的数据摘要算法,能将密钥和任意长度的数据转换为固定长度的数据。发送者在密钥的参与下,利用MAC算法计算出消息的MAC值,并将其加在消息之后发送给接收者。接收者利用同样的密钥和MAC算法计算出消息的MAC值,并与接收到的MAC值比较。如果二者相同,则报文没有改变;否则,报文在传输过程中被修改,接收者将丢弃该报文。 由于MD5在实际应用中存在冲突的可能性比较大,所以尽量别采用MD5来验证内容一致性。SHA也不能使用SHA0和SHA1,中国山东大学的王小云教授在2005年就宣布破解了 SHA-1完整版算法。微软和google都已经宣布16年及17年之后不再支持sha1签名证书。MAC算法涉及到很多复杂的数学问题,这里就不多讲细节了。 专题二--【实际抓包分析】 抓包结果: fiddler: wireshark: 可以看到,百度和我们公司一样,也采用以下策略: (1)对于高版本浏览器,如果支持 https,且加解密算法在TLS1.0 以上的,都将所有 http请求重定向到 https请求 (2)对于https请求,则不变。 【以下只解读https请求】 1、TCP三次握手 可以看到,我们访问的是 http://www.baidu.com/ , 在初次建立 三次握手的时候, 用户是去 连接 8080端口的(因为公司办公网做了代理,因此,我们实际和代理机做的三次握手,公司代理机再帮我们去连接百度服务器的80端口) 2、CONNECT 建立 由于公司办公网访问非腾讯域名,会做代理,因此,在进行https访问的时候,我们的电脑需要和公司代理机做 " CONNECT " 连接(关于 " CONNECT " 连接, 可以理解为虽然后续的https请求都是公司代理机和百度服务器进行公私钥连接和对称秘钥通信,但是,有了 " CONNECT " 连接之后,可以认为我们也在直接和百度服务器进行公私钥连接和对称秘钥通信。 ) fiddler抓包结果: CONNECT之后, 后面所有的通信过程,可以看做是我们的机器和百度服务器在直接通信 3、 client hello 整个 Secure Socket Layer只包含了: TLS1.2 Record Layer内容 (1)随机数 在客户端问候中,有四个字节以Unix时间格式记录了客户端的协调世界时间(UTC)。协调世界时间是从1970年1月1日开始到当前时刻所经历的秒数。在这个例子中,0x2516b84b就是协调世界时间。在他后面有28字节的随机数( random_C ),在后面的过程中我们会用到这个随机数。 (2)SID(Session ID) 如果出于某种原因,对话中断,就需要重新握手。为了避免重新握手而造成的访问效率低下,这时候引入了session ID的概念, session ID的思想很简单,就是每一次对话都有一个编号(session ID)。如果对话中断,下次重连的时候,只要客户端给出这个编号,且服务器有这个编号的记录,双方就可以重新使用已有的"对话密钥",而不必重新生成一把。 因为我们抓包的时候,是几个小时内第一次访问 https://www.baodu.com 首页,因此,这里并没有 Session ID. (稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID) session ID是目前所有浏览器都支持的方法,但是它的缺点在于session ID往往只保留在一台服务器上。所以,如果客户端的请求发到另一台服务器,就无法恢复对话。session ticket就是为了解决这个问题而诞生的,目前只有Firefox和Chrome浏览器支持。 (3) 密文族(Cipher Suites): RFC2246中建议了很多中组合,一般写法是"密钥交换算法-对称加密算法-哈希算法,以“TLS_RSA_WITH_AES_256_CBC_SHA”为例: (a) TLS为协议,RSA为密钥交换的算法; (b) AES_256_CBC是对称加密算法(其中256是密钥长度,CBC是分组方式); (c) SHA是哈希的算法。 浏览器支持的加密算法一般会比较多,而服务端会根据自身的业务情况选择比较适合的加密组合发给客户端。(比如综合安全性以及速度、性能等因素) (4) Server_name扩展:( 一般浏览器也支持 SNI(Server Name Indication)) 当我们去访问一个站点时,一定是先通过DNS解析出站点对应的ip地址,通过ip地址来访问站点,由于很多时候一个ip地址是给很多的站点公用,因此如果没有server_name这个字段,server是无法给与客户端相应的数字证书的,Server_name扩展则允许服务器对浏览器的请求授予相对应的证书。 还有一个很好的功能: SNI(Server Name Indication)。这个的功能比较好,为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。一句话简述它的工作原理就是,在连接到服务器建立SSL连接之前先发送要访问站点的域名(Hostname),这样服务器根据这个域名返回一个合适的CA证书。目前,大多数操作系统和浏览器都已经很好地支持SNI扩展,OpenSSL 0.9.8已经内置这一功能,据说新版的nginx也支持SNI。) 4、 服务器回复(包括 Server Hello, Certificate, Certificate Status) 服务器在收到client hello后,会回复三个数据包,下面分别看一下: 1)Server Hello 1、我们得到了服务器的以Unix时间格式记录的UTC和28字节的随机数 (random_S)。 2、Seesion ID,服务端对于session ID一般会有三种选择 (稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID) : 1)恢复的session ID:我们之前在client hello里面已经提到,如果client hello里面的session ID在服务端有缓存,服务端会尝试恢复这个session; 2)新的session ID:这里又分两种情况,第一种是client hello里面的session ID是空值,此时服务端会给客户端一个新的session ID,第二种是client hello里面的session ID此服务器并没有找到对应的缓存,此时也会回一个新的session ID给客户端; 3)NULL:服务端不希望此session被恢复,因此session ID为空。 3、我们记得在client hello里面,客户端给出了21种加密族,而在我们所提供的21个加密族中,服务端挑选了“TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256”。 (a) TLS为协议,RSA为密钥交换的算法; (b) AES_256_CBC是对称加密算法(其中256是密钥长度,CBC是分组方式); (c) SHA是哈希的算法。 这就意味着服务端会使用ECDHE-RSA算法进行密钥交换,通过AES_128_GCM对称加密算法来加密数据,利用SHA256哈希算法来确保数据完整性。这是百度综合了安全、性能、访问速度等多方面后选取的加密组合。 2)Certificate 在前面的https原理研究中,我们知道为了安全的将公钥发给客户端,服务端会把公钥放入数字证书中并发给客户端(数字证书可以自签发,但是一般为了保证安全会有一个专门的CA机构签发),所以这个报文就是数字证书,4097 bytes就是证书的长度。 我们打开这个证书,可以看到证书的具体信息,这个具体信息通过抓包报文的方式不是太直观,可以在浏览器上直接看。 (点击 chrome 浏览器 左上方的 绿色 锁型按钮) 3)Server Hello Done 我们抓的包是将 Server Hello Done 和 server key exchage 合并的包: 4)客户端验证证书真伪性 客户端验证证书的合法性,如果验证通过才会进行后续通信,否则根据错误情况不同做出提示和操作,合法性验证包括如下: 证书链的可信性trusted certificate path,方法如前文所述; 证书是否吊销revocation,有两类方式离线CRL与在线OCSP,不同的客户端行为会不同; 有效期expiry date,证书是否在有效时间范围; 域名domain,核查证书域名是否与当前的访问域名匹配,匹配规则后续分析; 5)秘钥交换 这个过程非常复杂,大概总结一下: (1)首先,其利用非对称加密实现身份认证和密钥协商,利用非对称加密,协商好加解密数据的 对称秘钥(外加CA认证,防止中间人窃取 对称秘钥) (2)然后,对称加密算法采用协商的密钥对数据加密,客户端和服务器利用 对称秘钥 进行通信; (3)最后,基于散列函数验证信息的完整性,确保通信数据不会被中间人恶意篡改。 此时客户端已经获取全部的计算协商密钥需要的信息:两个明文随机数random_C和random_S与自己计算产生的Pre-master(由客户端和服务器的 pubkey生成的一串随机数),计算得到协商对称密钥; enc_key=Fuc(random_C, random_S, Pre-Master) 6)生成 session ticket 如果出于某种原因,对话中断,就需要重新握手。为了避免重新握手而造成的访问效率低下,这时候引入了session ID的概念, session ID的思想很简单,就是每一次对话都有一个编号(session ID)。如果对话中断,下次重连的时候,只要客户端给出这个编号,且服务器有这个编号的记录,双方就可以重新使用已有的"对话密钥",而不必重新生成一把。 因为我们抓包的时候,是几个小时内第一次访问 https://www.baodu.com 首页,因此,这里并没有 Session ID. (稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID) session ID是目前所有浏览器都支持的方法,但是它的缺点在于session ID往往只保留在一台服务器上。所以,如果客户端的请求发到另一台服务器,就无法恢复对话。session ticket就是为了解决这个问题而诞生的,目前只有Firefox和Chrome浏览器支持。 后续建立新的https会话,就可以利用 session ID 或者 session Tickets , 对称秘钥可以再次使用,从而免去了 https 公私钥交换、CA认证等等过程,极大地缩短 https 会话连接时间。 7) 利用对称秘钥传输数据 【半分钟后,再次访问百度】: 有这些大的不同: 由于服务器和浏览器缓存了 Session ID 和 Session Tickets,不需要再进行 公钥证书传递,CA认证,生成 对称秘钥等过程,直接利用半分钟前的 对称秘钥 加解密数据进行会话。 1)Client Hello 2)Server Hello

玄学酱 2019-12-02 01:27:08 0 浏览量 回答数 0

问题

Google Chrome浏览器将不再承认Symantec HTTPS证书

mytsing520 2019-12-01 20:58:16 2597 浏览量 回答数 2

问题

[薅阿里云羊毛]免费申请阿里云 - 赛门企业级铁克 SSL 证书!

妙正灰 2019-12-01 21:31:47 32274 浏览量 回答数 12

回答

一、下载密钥生成工具 下载密钥生成工具:https://docs.open.alipay.com/291/106097 windows版本电脑下载windows版本工具。 mac版本电脑下载mac_osx版本工具。 二、运行安装密钥生成工具 点击下载的“AlipayDevelopmentAssistant-1.0.1.exe”(即支付宝开放平台开放助手)进行安装并运行。 三、完善配置信息 点【获取CSR文件】旁边的【点击获取】,选择对应的开发语言并填写配置信息,然后点【获取CSR文件】 1、设置密钥格式 请选择RSA2,以及根据开发语言选择pkcs8(java语言适用)或pkcs1(非java语言适用)。 目前暂不支持国密的加签方式,即使获取证书后也无法上传成功。 2、完善证书信息 (1)组织/公司:正式环境测试时必须要设置为企业或个人支付宝账号的实名名称。 沙箱环境测试必须要设置为固定值:沙箱环境。 若设置错误,后续上传公钥证书时将效验失败,出现:“csr文件中的企业名称XXX,与认证的支付宝企业账号名称XXX不匹配,请重新上传”; (2)域名:建议设置为签约时设置的接入域名或网站的域名(不要带http或https); (3)其他选项请自行设置。 200316-7.png 四、获取CSR文件 1、获取CSR文件 点【打开文件位置】获取CSR文件 2、CSR文件介绍 密钥生成文件对应密钥数据: 域名.csr:商户应用公钥证书文件。 域名_公钥.txt:商户应用公钥数据信息。 域名_私钥.txt:商户应用公钥数据信息。 五、上传公钥证书 1、正式环境中上传公钥证书 正式环境上传csr文件,需选择要上传的应用,点击应用进入详细页,选择应用信息内的“接口加签方式”进行设置。 如应用未上线,需要选择概览里面的接口加签方式进行设置。 正式环境应用可查看应用平台了解。 200316-3.png 2、沙箱环境中上传公钥证书 沙箱环境上传csr文件,需选择在沙箱应用中,选择应用信息内的“RSA2(SHA256)密钥(推荐)”进行设置。 沙箱环境应用配置点击沙箱应用了解。 200316-4.png 六、接口中配置公钥证书 生成的密钥文件切记成对妥善保管,避免测试时由于公私钥不匹配导致签名验签等一系列不必要的错误产生。 1、正式环境配置公钥证书 在应用信息内的“接口加签方式”中下载3份公钥证书。 (1)“应用公钥证书”位置下载证书名称为:appCertPublicKey_appid数据.crt (2)“支付宝公钥证书”位置下载证书名称为:alipayCertPublicKey_RSA2.crt (3)“支付宝根证书”位置下载证书名称为:alipayRootCert.crt 在代码中设置的公钥证书路径为证书报存的绝对路径。 200316-5.png 2、沙箱环境配置公钥证书 在沙箱应用内的“RSA2(SHA256)密钥(推荐)”中下载3份公钥证书。

保持可爱mmm 2020-05-05 16:44:52 0 浏览量 回答数 0

问题

Apache下安装了ssl证书,安装完成后,http可以访问php文件,但是https访问直接下载。

游客lfwur5qadlbyy 2020-07-20 16:21:21 0 浏览量 回答数 0

问题

负载均衡器配置lets encrypt SSL证书过程。

rickcoder 2019-12-01 21:59:09 6369 浏览量 回答数 0

回答

证书不是来自可信的授权中心是指在配置https时未配置CA证书。比如apache服务器中需要添加下面证书:SSLCACertificateFile /etc/httpd/ssl/bundle.crt。 CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。 CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中,CA不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。 扩展资料 CA认证的主要工具是CA中心为网上作业主体颁发的数字证书。CA架构包括PKI结构、高强度抗攻击的公开加解密算法、数字签名技术、身份认证技术、运行安全管理技术、可靠的信任责任体系等等。 从业务流程涉及的角色看, 包括认证机构、数字证书库和黑名单库、密钥托管处理系统、证书目录服务、证书审批和作废处理系统。从CA的层次结构来看, 可以分为认证中心(根CA)、密钥管理中心(KM)、认证下级中心(子CA)、证书审批中心(RA中心)、证书审批受理点(RAT)等。 CA中心一般要发布认证体系声明书,向服务的对象郑重声明CA的政策、保证安全的措施、服务的范围、服务的质量、承担的责任、操作流程等条款。 根据PKI的结构,身份认证的实体需要有一对密钥,分别为私钥和公钥。其中的私钥是保密的,公钥是公开的。从原理上讲,不能从公钥推导出私钥,穷举法来求私钥则由于目前的技术、运算工具和时间的限制而不可能。 每个实体的密钥总是成对出现,即一个公钥必定对应一个私钥。公钥 加密的信息必须由对应的私钥才能解密,同样,私钥做出的签名,也只有配对的公钥才能解密。公钥有时用来传输对称密钥,这就是数字信封技术。 密钥的管理政策是把公钥和实体绑定,由CA中心把实体的信息和实体的公钥制作成数字证书,证书的尾部必须有CA中心的数字签名。 由于CA中心的数字签名是不可伪造的,因此实体的数字证书不可伪造。CA中心对实体的物理身份资格审查通过后,才对申请者颁发数字证书,将实体的身份与数字证书对应起来。 由于实体都信任提供第三方服务的CA中心,因此,实体可以信任由CA中心颁发数字证书的其他实体,放心地在网上进行作业和交易。 参考资料来源:百度百科—ca证书 百度百科—CA中心 答案来源于网络

养狐狸的猫 2019-12-02 02:18:14 0 浏览量 回答数 0

问题

SSL证书下载安装没有生效

yyyyy123 2019-12-01 19:09:09 565 浏览量 回答数 0

问题

我的网站验证淘宝联盟文件失败

baobaofly 2019-12-01 21:35:44 6066 浏览量 回答数 3

问题

给阿里云ECS用户一个好东西——全球唯一免费SSL证书申请StartSSL

hxs 2019-12-01 22:03:45 14542 浏览量 回答数 3

回答

步骤一:准备服务器证书 服务器证书用于用户浏览器检查服务器发送的证书是否是由自己信赖的中心签发的,服务器证书可以到阿里云云盾证书服务购买,也可以到其他服务商处购买。 步骤二:使用OpenSSL生成CA证书 运行以下命令在/root目录下新建一个ca文件夹,并在ca文件夹下创建四个子文件夹。 $ sudo mkdir ca $ cd ca $ sudo mkdir newcerts private conf server 其中: newcerts目录:用于存放CA签署过的数字证书(证书备份目录)。 private目录:用于存放CA的私钥。 conf目录:用于存放一些简化参数用的配置文件。 server目录:存放服务器证书文件。 在conf目录下新建一个包含如下信息的openssl.conf文件。 [ ca ] default_ca = foo [ foo ] dir = /root/ca database = /root/ca/index.txt new_certs_dir = /root/ca/newcerts certificate = /root/ca/private/ca.crt serial = /root/ca/serial private_key = /root/ca/private/ca.key RANDFILE = /root/ca/private/.rand default_days = 365 default_crl_days= 30 default_md = md5 unique_subject = no policy = policy_any [ policy_any ] countryName = match stateOrProvinceName = match organizationName = match organizationalUnitName = match localityName = optional commonName = supplied emailAddress = optional 运行以下命令生成私钥key文件。 $ cd /root/ca $ sudo openssl genrsa -out private/ca.key 运行结果如下图所示。 运行以下命令并按命令后的示例提供需要输入的信息,然后回车,生成证书请求csr文件。 $ sudo openssl req -new -key private/ca.key -out private/ca.csr 说明 Common Name请输入您的负载均衡服务的域名。 运行以下命令生成凭证crt文件。 $ sudo openssl x509 -req -days 365 -in private/ca.csr -signkey private/ca.key -out private/ca.crt 运行以下命令为CA的key设置起始序列号,可以是任意四个字符。 $ sudo echo FACE > serial 运行以下命令创建CA键库。 $ sudo touch index.txt 运行以下命令为移除客户端证书创建一个证书撤销列表。 $ sudo openssl ca -gencrl -out /root/ca/private/ca.crl -crldays 7 -config "/root/ca/conf/openssl.conf" 输出为: Using configuration from /root/ca/conf/openssl.conf 步骤三:生成客户端证书 运行以下命令在ca目录内创建一个存放客户端key的目录users。 $ sudo mkdir users 运行以下命令为客户端创建一个key: $ sudo openssl genrsa -des3 -out /root/ca/users/client.key 1024 说明 创建key时要求输入pass phrase,这是当前key的口令,以防止本密钥泄漏后被人盗用。两次输入同一个密码。 运行以下命令为客户端key创建一个证书签名请求csr文件。 $ sudo openssl req -new -key /root/ca/users/client.key -out /root/ca/users/client.csr 输入该命令后,根据提示输入上一步输入的pass phrase,然后根据提示,提供对应的信息。 说明 A challenge password是客户端证书口令(请注意将它和client.key的口令区分开,本教程设置密码为test),可以与服务器端证书或者根证书口令一致。 运行以下命令使用步骤二中的CA Key为刚才的客户端key签名。 $ sudo openssl ca -in /root/ca/users/client.csr -cert /root/ca/private/ca.crt -keyfile /root/ca/private/ca.key -out /root/ca/users/client.crt -config "/root/ca/conf/openssl.conf" 当出现确认是否签名的提示时,两次都输入y。 运行以下命令将证书转换为大多数浏览器都能识别的PKCS12文件。 $ sudo openssl pkcs12 -export -clcerts -in /root/ca/users/client.crt -inkey /root/ca/users/client.key -out /root/ca/users/client.p12 按照提示输入客户端client.key的pass phrase。 再输入用于导出证书的密码。这个是客户端证书的保护密码,在安装客户端证书时需要输入这个密码。 运行以下命令查看生成的客户端证书。 cd users ls 步骤四:上传服务器证书和CA证书 登录负载均衡管理控制台。 在实例管理页面,单击创建负载均衡。 配置负载均衡实例,单击立即购买完成支付。 本操作中网络类型选择公网,地域选择华东1(杭州),详细配置信息请参见创建负载均衡实例。 创建成功后,在实例管理页面,将鼠标移至实例名称区域,单击出现的铅笔图标,修改负载均衡实例名称。 在选左侧导航栏,单击证书管理页签。 单击创建证书。 在创建证书页面,完成如下配置后,单击确定。 证书部署地域:本教程中选择华东1。 说明 证书的地域和负载均衡实例的地域要相同。 证书类型:选择服务器证书。 证书内容和私钥:复制您的服务器证书内容和私钥。 说明 在复制内容前,您可以单击导入样式,查看正确的证书和私钥格式。更多详细信息请参见证书要求。 在负载均衡左侧导航栏,单击证书管理,然后单击创建证书,上传CA证书。 在创建证书页面,完成如下配置后,单击确定。 证书部署地域:本教程中选择华东1(杭州)。 说明 证书的地域和负载均衡实例的地域要相同。 证书类型:选择CA证书。 证书内容:复制您的CA证书内容。 说明 在复制内容前,您可以单击导入样式,查看正确的证书和私钥格式。更多详细信息请参见证书要求。 步骤五:安装客户端证书 将生成的客户端证书安装到客户端。本教程以Windows客户端,IE浏览器为例。 打开Git Bash命令行窗口,运行以下命令导出步骤三中生成的客户端证书。 scp root@IPaddress:/root/ca/users/client.p12 ./ 说明 IPaddress是生成客户端证书的服务器的IP地址。 在IE浏览器中导入下载的客户端证书。 打开IE浏览器,单击设置 > Internet选项。 单击内容页签,然后单击证书,导入下载的客户端证书。在导入证书时需要输入在步骤三时生成PKCS12文件的密码。 步骤六:配置HTTPS双向认证监听 登录负载均衡管理控制台。 选择华东1(杭州)地域,单击已创建的负载均衡实例ID链接,或者单击监听配置向导。 选择监听页签,单击添加监听。 在协议&监听页签下,配置监听。 选择负载均衡协议:HTTPS 监听端口:443 调度算法:轮询(RR) 单击下一步,在SSL证书页签下,配置SSL证书信息,启用双向认证。 服务器证书:选择已上传的服务器证书。 CA证书: 选择已上传的CA证书。 单击下一步,选择默认服务器组页签,单击添加,添加ECS服务器,并将后端协议端口设置为80。 单击下一步,开启健康检查。 单击下一步,查看监听配置信息。 单击提交,提交审核。 单击确定。 步骤七:测试HTTPS双向认证 在实例管理页面,查看健康检查状态。当状态为正常时,表示后端服务器可以正常接收处理负载均衡监听转发的请求。 在浏览器中,输入负载均衡的公网服务地址,当提示是否信任客户端证书时,选择信任。 刷新浏览器,您可以观察到请求在两台ECS服务器之间转换。

保持可爱mmm 2020-03-29 11:47:39 0 浏览量 回答数 0

问题

在  LuManager 里为站点启用 https 访问

dongshan8 2019-12-01 21:18:37 2773 浏览量 回答数 1

问题

相关tomcat+nginx登录页https访问证书问题

落地花开啦 2019-12-01 19:31:54 1137 浏览量 回答数 1

回答

如果您购买的是OV或EV证书 请您耐心等待。一般情况下,OV或EV型证书的审核申请需要三至七个工作日完成。 审核期间,请您务必保持手机畅通。CA中心在审核过程中如发现问题,将会通过电话与您联系。如无法及时联系到您,那么该订单的审核进度将可能会延迟。 如果您购买的是免费型或DV型证书 步骤一: 确认您已完成域名授权验证配置,关于域名授权验证配置的详细信息,请参考如何配置域名授权验证。 步骤二: 如果您已经完成了域名授权验证配置,请按照以下方式进行检测,确保您的域名授权验证配置已经生效: DNS验证类型的检测 在云盾证书服务管理控制台中的证书订单页面,单击检查配置,查看左侧单元格中的检测结果描述,确认配置正确。 说明 云盾证书服务提供的主机记录是全域名的,如果您的域名管理系统不支持全域名的主机记录,请去掉根域名的后缀部分。 使用dig命令进行检测。 运行  dig 主机记录命令进行检测或者运行  dig 主机记录 @8.8.8.8命令指定使用谷歌DNS进行验证。例如,  dig txt b.aliyuntest.com @8.8.8.8。 如果返回结果中存在类似图示中的TXT记录,且记录值与订单进度页面中的记录值一致,表示您的DNS配置正确且已生效;如果记录值不同,请按照订单进度页面中的记录值在DNS域名解析服务商处更新该验证记录。如果返回结果中不存在TXT记录,可能是DNS配置有误或者配置未生效。如配置错误,请按照订单进度页面中的配置要求在DNS域名解析服务商处重新配置;如果配置长时间未生效,请联系域名托管商。文件验证类型的检测 在云盾证书服务管理控制台中的证书订单页面,单击检查配置,查看左侧单元格中的检测结果描述,确认配置正确。确认验证URL地址在浏览器中可正常访问,且页面中显示的内容和订单进度页面中下载的验证文件内容一致。请从以下几个方面着重进行检查: 检查该验证URL地址是否已存在HTTPS可访问的地址。如存在,请在浏览器中使用HTTPS地址重新访问,如果浏览器提示“证书不可信”或者显示的内容不正确,请您暂时关闭该域名的HTTPS服务。确保该验证URL地址在任何一个地方都能正确访问。由于Symantec和GeoTrust的检测服务器均在国外,请确认您的站点是否有国外镜像,或者是否使用了智能DNS服务。检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转,请取消相关设置关闭跳转。 说明 您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。 如果以上域名授权验证配置检查都正常,CA中心将验证您的域名及所提交的申请信息,您的证书将在一到两个工作日内签发,请您耐心等待。 说明 如果您的域名中包含某些敏感词(如bank、pay、live等)可能会触发人工审核机制,审核时间会比较长,请您耐心等待。

老离 2019-12-01 23:48:31 0 浏览量 回答数 0

回答

Re手机客户访问HTTPS网站实录 3 、手机安装CA 根证书方法二 下面采用一台通过WIFI 连网的手机来测试,先制作一个在电脑上下载的CA 根证书副本,把后缀改为0 ,然后用记事本打开,应该成文本状态,如果是乱码,则格式不对。 将2018CA.0复制到手机的etc/security/cacerts目录中(需要root权限),CA不用安装即出现在系统信任的证书当中 [font=&] [font=&] [font=&] 证书安装好后,先来访问VPN 上面的网页 再设置VPN 连接,获得内网IP后,再访问内网的网站 3 、安全通信测试 这样的连接安全性如何,我们来测试一下。 步骤是在手机上下载内网网站上的文件,同时在VPN 服务器上用软件抓包,然后进行分析,数据包路径见图中绿色虚线。 图34是两个抓取的数据包,可以看到,数据包全程是加密传输的,数据包从手机到VPN 服务器是IPSce 加密,由VPN 服务器转发数据包到网站是SSL 加密,协议是TLSv1.2,版本比较高,现在可以放心使用了。 全文完,更多内容访问

gf6 2019-12-02 00:49:55 0 浏览量 回答数 0

回答

Re手机客户访问HTTPS网站实录 3 、手机安装CA 根证书方法二 下面采用一台通过WIFI 连网的手机来测试,先制作一个在电脑上下载的CA 根证书副本,把后缀改为0 ,然后用记事本打开,应该成文本状态,如果是乱码,则格式不对。 将2018CA.0复制到手机的etc/security/cacerts目录中(需要root权限),CA不用安装即出现在系统信任的证书当中 [font=&] [font=&] [font=&] 证书安装好后,先来访问VPN 上面的网页 再设置VPN 连接,获得内网IP后,再访问内网的网站 3 、安全通信测试 这样的连接安全性如何,我们来测试一下。 步骤是在手机上下载内网网站上的文件,同时在VPN 服务器上用软件抓包,然后进行分析,数据包路径见图中绿色虚线。 图34是两个抓取的数据包,可以看到,数据包全程是加密传输的,数据包从手机到VPN 服务器是IPSce 加密,由VPN 服务器转发数据包到网站是SSL 加密,协议是TLSv1.2,版本比较高,现在可以放心使用了。 全文完,更多内容访问

gf6 2019-12-02 00:49:55 0 浏览量 回答数 0
阿里云大学 云服务器ECS com域名 网站域名whois查询 开发者平台 小程序定制 小程序开发 国内短信套餐包 开发者技术与产品 云数据库 图像识别 开发者问答 阿里云建站 阿里云备案 云市场 万网 阿里云帮助文档 免费套餐 开发者工具 企业信息查询 小程序开发制作 视频内容分析 企业网站制作 视频集锦 代理记账服务 2020阿里巴巴研发效能峰会 企业建站模板 云效成长地图 高端建站