Jexus伺服器SSL二級證書安裝指南

獲取伺服器證書中級ca證書:

為保障伺服器證書在客戶端的相容性，伺服器證書需要安裝兩張中級ca證書(以證書簽發郵件為準，部分證書產品只有一張中級證書)，根證書或證書鏈內容，放在伺服器證書內容的後邊。將證書簽發郵件中的從begin到 end結束的伺服器證書內容（包括"-----begin certificate-----"和"-----end certificate-----"）和二張中級ca證書合併為乙個檔案：將證書簽發郵件中的從begin到 end結束的兩張中級ca證書內容（包括"-----begin certificate-----"和"-----end certificate-----"）貼上到同乙個記事本等文字編輯器中，中間用回車換行分隔。修改副檔名，儲存為intermediatebundle.crt檔案。jexus採用的是openssl　的api，證書檔案按openssl處理，涉及到二級證書的，需要把獲得三張證書合併在乙個證書檔案裡。

獲取伺服器ｓｓｌ證書私鑰

將生成伺服器徵求請求時儲存的server.key檔案，儲存為server.pem檔案。

jexus 5.8版本支援二級證書，５．８以下版本不支援，需要使用二級證書的同學記得把jexus 公升級到5.8版本。5.8可以設定ssl/tls版本，預設是sslv23，sslv23可以同時支援sslv3、tlsv1.0、tlsv1.1和tlsv1.2，具有比較廣泛的版本相容性。為了提高安全性，使用者可以強制先擇版本，比如設為sslv1.2，這時，需要客戶端具備並啟用了sslv1.2的支援。

如果不設或設為ssl2，jexus將選擇sslv3並可降級為sslv2，如果服務啟動過程中發生下面錯誤，可以把ssl_tls_version設定為sslv2。（備註：ssl版本號其實並無sslv23的版本，而是openssl有乙個版本控制，方法名含有sslv23這種字樣，意思是支援sslv3版本為主，同時可以降級為sslv2。不過，實測後發現，不會降為sslv2，而是相容所有更高版本）

ssl_tls_version = sslv2

預設值時，相當於雙方可協商。為了部署方便，就用預設值（不啟用版本號控制），為了提供安全性，使用者也可以強制設定版本號，比如，只允許tlsv1.2，查了ie，ie8最高支援到tlsv1.0，而ie11可以支援到最高版本tlsv1.2，即支援目前所有的版本。 sslv2這個配置其實沒有sslv2對應的是sslv23，設為其它標準的值，就是具體的了，所以，如果你設為sslv3，客戶端瀏覽器等就必須用sslv3與伺服器交流，設為tlsv1.2，客戶端就只能用tlsv1.2的標準與伺服器交流，如果客戶端沒有對應的版本號，就會連線失敗，伺服器端就會記一筆異常，說是sslv3_get_***xx的版本號錯誤。

12-08 20:25:42: *[180.153.5.156]: illegal read! path: host: login.oa.tencent.com

12-08 20:25:43: *** ssl_accept(): return:0, ssl_error=ssl_error_ssl, errno=0, text=error:14094410:ssl routines:ssl3_read_bytes:sslv3 alert handshake failure

異常是這樣的，當伺服器設為sslv2時，如果對方不支援sslv2，會有這樣的異常：

當伺服器設為sslv3可tlsvxx時，如果對方不支援，會出現

記得需要重啟jexus伺服器生效。

sslv3 協議漏洞『poodle』，如何在jexus 中禁用sslv2,sslv3，只啟用tls

在jws.conf中設定

jexus版本要求5.8.0以上，現在是5.8.1.3

用「 sudo curl jexus.org/5.8.x/upgrade| sh 」更新到最新版。不過這個命令的目標資料夾是 /usr/jexus

Jexus伺服器SSL二級證書安裝指南

nginx伺服器部署SSL證書

Nginx伺服器安裝SSL證書

Tomcat伺服器配置SSL證書

Jexus伺服器SSL二級證書安裝指南

nginx伺服器部署SSL證書

Nginx伺服器安裝SSL證書

Tomcat伺服器配置SSL證書

相關推薦