目前是在 godaddy 申請的
cn=*.test.com
收到檔案後會列印乙份送行政部法務組,存入保險櫃。
檔案構成
nginx 上配置 https 需要兩個引數:
新證書驗證
2023年10月13日我們收到了新的 gd_bundle.crt 和 test.com.crt 兩個檔案,理論上應該是匹配舊的 test.com.key 的。為了驗證這個猜測,使用下列步驟:
生成乙個文字檔案infile
用舊的 test.com.key 檔案,執行 1
openssl rsautl-sign-ininfile-inkey test.com.key-out sig
對 infile 進行簽名,輸出到 sig 檔案
用新的 test.com.crt 檔案,執行 1
openssl rsautl-verify-insig-certin-inkey test.com.crt
對簽名進行驗證,如果驗證的內容和infile 原文相同,說明crt 和key 是匹配的
證書監控,參考本人另一篇文章
zabbix 監控ssl證書是否過期
收到報警後,需要密切關注,準備更新證書,更新操作如下:
1,獲取新的證書,找ssl278e42c55249ed.crt和gd_bundle-g2-g1.crt,分別為:test的證書、godaddy中間證書;
2,合成證書:cat 278e42c55249ed.crt gd_bundle-g2-g1.crt > test.crt(注意順序:test證書在前,否則nginx會報不能匹配的錯誤);
3,刪除godaddy根證書:gd_bundle-g2-g1.crt中間證書中會包含根證書,而一般瀏覽器中都帶了godaddy根證書,所以需要在證書檔案中刪掉根證書,直接編輯證書檔案,刪掉最後乙個證書塊就可以了,為了確保刪掉的是根證書可以在godaddy。
4,確認簽名演算法是不是sha-1的,sha-2目前windows xp sp3之前的版本不支援。
# openssl x509 -noout -text -in test.com.crt | grep 'signature algorithm:'
signature algorithm: sha1withrsaencryption
signature algorithm: sha1withrsaencryption
5,git上傳及線上puppet更新。
https之證書驗證
對於http協議,中間人攻擊 man in the middle 是一種著名的攻擊方式。圖中john和mary作為通訊的雙方,frank為攻擊者 1.john向mary傳送一段資料 2.frank截獲了john的包,竊取 修改資料後,偽裝成john繼續將包 給mary 3.mary不知道frank的...
HTTPS驗證CA證書
1.https是如何驗證ca證書,保證網頁的安全性的?首先ca證書是有專業機構簽名下發的證書,簽發的證書存放在內建的作業系統中,火狐瀏覽器則存放在內建的瀏覽器中。為了保護根證書的相對安全性,ca頒發給 的是證書鏈。驗證證書是否確實由上級證書簽發的,是通過上級證書的公鑰解密該證書上附帶的由上級證書通過...
Windows下驗證https證書
最近在寫乙個windows桌面程式需要給https請求加上證書驗證,使用的http庫是libcurl openssl,使用openssl自帶的證書驗證功能,只能內嵌ca證書,但是我的程式不方便更新,所以最好的方式是使用windows的證書儲存做驗證,這裡有兩種方式。這種方式的缺點是如果windows...