linux启用tlsv1_iis服务器仅启用了tlsv1.1和tlsv1.2 - CSDN
  • SSL/TLS Programe In Linux一、几个名词:1. SSL(Secure Socket Layer)是Netscape公司设计的主要用于WEB的安全传输协议。这种协议在WEB上获得了广泛的应用。 2. IETF将SSL作了标准化,即RFC2246,并将其称为TLS...

    SSL/TLS Programe In Linux

    一、几个名词:

    1. SSL(Secure Socket Layer)Netscape公司设计的主要用于WEB的安全传输协议。这种协议在WEB上获得了广泛的应用。

    2. IETFSSL作了标准化,即RFC2246,并将其称为TLSTransport Layer Security),从技术上讲,TLS1.0SSL3.0的差别非常微小。

    SSL可以用于保密的传输,这样我们与Web Server之间传输的消息便是安全的

     

    二、原理

    1. SSL是一个介于HTTP协议与TCP之间的一个可选层,其位置大致如下:

    ---------

    | HTTP |

    ---------

    | SSL |

    ---------

    | TCP |

    ---------

    | IP |

    ---------

     

    SSL层:借助下层协议的的信道安全的协商出一份加密密钥,并用此密钥来加密HTTP请求。

    TCP层:与web server443端口建立连接,传递SSL处理后的数据。接收端与此过程相反。

    SSLTCP之上建立了一个加密通道,通过这一层的数据经过了加密,因此达到保密的效果。

    SSL协议分为两部分:Handshake ProtocolRecord Protocol,。其中Handshake Protocol用来协商密钥,协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。 Record Protocol则定义了传输的格式。

    2. 需要的加密方面的基础知识

    了解SSL原理需要一点点加密的概念,这里把需要的概念做一下简单阐述:

    加密一般分为三类,对称加密,非对称加密及单向散列函数。

    对称加密:又分分组密码和序列密码。

    分组密码是将明文按一定的位长分组,明文组经过加密运算得到密文组,密文组经过解密运算(加密运算的逆运算),还原成明文组。

    序列密码是指利用少量的密钥(制乱元素)通过某种复杂的运算(密码算法)产生大量的伪随机位流,用于对明文位流的加密。

    解密是指用同样的密钥和密码算法及与加密相同的伪随机位流,用以还原明文位流。

    CBC(Cipher Block Chaining)模式这个词在分组密码中经常会用到,它是指一个明文分组在被加密之前要与前一个的密文分组进行异或运算。当加密算法用于此模式的时候除 密钥外,还需协商一个初始化向量(IV),这个IV没有实际意义,只是在第一次计算的时候需要用到而已。采用这种模式的话安全性会有所提高。

    分组密码的典型例子为DESRC5IDEA

    序列密码的典型例子为RC4

    公钥加密:

    简单的说就是加密密钥与解密密钥不同,分私钥和公钥。这种方法大多用于密钥交换,RSA便是一个我们熟知的例子。

    还有一个常用的称作DH,它只能用于密钥交换,不能用来加密。

    单向散列函数:

    由于信道本身的干扰和人为的破坏,接受到的信息可能与原来发出的信息不同,一个通用的办法就是加入校验码。

    单向散列函数便可用于此用途,一个典型的例子是我们熟知的MD5,它产生128位的摘要,在现实中用的更多的是安全散列算法(SHA),SHA的早期版本存在问题,目前用的实际是SHA1,它可以产生160位的摘要,因此比128位散列更能有效抵抗穷举攻击。

    由于单向散列的算法都是公开的,所以其它人可以先改动原文,再生成另外一份摘要。解决这个问题的办法可以通过HMACRFC 2104,它包含了一个密钥,只有拥有相同密钥的人才能鉴别这个散列。

    3. 密钥协商过程

    由于对称加密的速度比较慢,所以它一般用于密钥交换,双方通过公钥算法协商出一份密钥,然后通过对称加密来通信,当然,为了保证数据的完整性,在加密前要先经过HMAC的处理。

    SSL缺省只进行server端的认证,客户端的认证是可选的。以下是其流程图(摘自TLS协议)。

    Client Server

     

    Clienth*llo -------->

    Serverh*llo

    Certificate*

    ServerKeyExchange*

    CertificateRequest*

    <-------- Serverh*lloDone

    Certificate*

    ClientKeyExchange

    CertificateVerify*

    [ChangeCipherSpec]

    Finished -------->

    [ChangeCipherSpec]

    <-------- Finished

    Application Data <-------> Application Data

    简单的说便是:SSL客户端(也是TCP的客户端)在TCP链接建立之后,发出一个 Clienth*llo来发起握手,这个消息里面包含了自己可实现的算法列表和其它一些需要的消息,SSL的服务器端会回应一个Serverh*llo 这里面确定了这次通信所需要的算法,然后发过去自己的证书(里面包含了身份和自己的公钥)。Client在收到这个消息后会生成一个秘密消息,用SSL 务器的公钥加密后传过去,SSL服务器端用自己的私钥解密后,会话密钥协商成功,双方可以用同一份会话密钥来通信了。

    4. 加密的计算

    上一步讲了密钥的协商,但是还没有阐明是如何利用加密密钥,加密初始化向量hmac的密钥来加密消息的。

    其实其过程不过如此:

    1 借助hmac的密钥,对明文的消息做安全的摘要处理,然后和明文放到一起。

    2 借助加密密钥,加密初始化向量加密上面的消息。

     

    三、安全性

    SecurityPortal2000年底有一份文章《The End of SSL and SSH?》激起了很多的讨论,目前也有一些成熟的工具如dsniff可以通过man in the middle攻击来截获https的消息。

    从上面的原理可知,SSL的结构是严谨的,问题一般出现在实际不严谨的应用中。常见的攻击就是middle in the middle攻击,它是指在AB通信的同时,有第三方C处于信道的中间,可以完全听到AB通信的消息,并可拦截,替换和添加这些消息。

    1 SSL可以允许多种密钥交换算法,而有些算法,如DH,没有证书的概念,这样A便无法验证B的公钥和身份的真实性,从而C可以轻易的冒充,用自己的密钥与双方通信,从而窃听到别人谈话的内容。 而为了防止middle in the middle攻击,应该采用有证书的密钥交换算法。

    2 有了证书以后,如果C用自己的证书替换掉原有的证书之后,A的浏览器会弹出一个警告框进行警告,但又有多少人会注意这个警告呢?

    3 由于美国密码出口的限制,IEnetscape等浏览器所支持的加密强度是很弱的,如果只采用浏览器自带的加密功能的话,理论上存在被破解可能。

     

    四、关于证书

    如果对于一般的应用,管理员只需生成证书请求(后缀大多为.csr),它包含你的名字和公钥,然后把这份请求交给诸如verisign等有CA服务公司,你的证书请求经验证后,CA用它的私钥签名,形成正式的证书发还给你。管理员再在web server上导入这个证书就行了。

    CA的角度讲,你需要CA的私钥和公钥。从想要证书的服务器角度讲,需要把服务器的证书请求交给CA

    如果你要自己做CA,别忘了客户端需要导入CA证书(CA的证书是自签名的,导入它意味着你信任这个CA签署的证书)。

    而商业CA的一般不用,因为它们已经内置在你的浏览器中了。

    SSL/TLSv1.0 Programe

    一、初始化

    1. 加载所有的SSL算法和错误字符串信息:

    加载SSL算法:

    #define OpenSSL_add_ssl_algorithms() SSL_library_init()

    #define SSLeay_add_ssl_algorithms() SSL_library_init()

    所以load SSL算法的时候, 以上三个函数都是同样的.

    加载错误字符串信息:

    SSL_load_error_strings();

    bio_err=BIO_new_fp(stderr,BIO_NOCLOSE);

    以后就可以调用ERR_print_errors(bio_err)打印出错信息。

    2. 建立SSL所用的method:

    SSL_METHOD *meth=SSLv23_method(); // SSLv3 but can rollback to v2

    另外还有两个函数:

    SSLv23_client_method(); //用于客户端

    SSLv23_server_method(); //用于服务端

    v23表示使用的是SSL第三版本但是可以回滚到第二版本.还有一些其它的专门针对特定版本的建立method的方法:

    SSL_METHOD *TLSv1_server_method(void);    /* TLSv1.0 */

    SSL_METHOD *TLSv1_client_method(void);    /* TLSv1.0 */

     

    SSL_METHOD *SSLv2_method(void);       /* SSLv2 */

    SSL_METHOD *SSLv2_server_method(void);  /* SSLv2 */

    SSL_METHOD *SSLv2_client_method(void);    /* SSLv2 */

     

    SSL_METHOD *SSLv3_method(void);       /* SSLv3 */

    SSL_METHOD *SSLv3_server_method(void);  /* SSLv3 */

    SSL_METHOD *SSLv3_client_method(void);    /* SSLv3 */

     

    3. 初始化上下文情景:

    SSL_CTX *ctx=SSL_CTX_new(meth);

    ctx->options|=SSL_OP_ALL

    SSL/TLS有几个公认的bug,这样设置会使出错的可能更小

    SSL_CTX_set_options(ctx,SSL_OP_ALL);

    4. 加载CA证书:

     SSL_CTX_load_verify_locations(ctx, CAfile, CApath);

    用于加载受信任的CA证书,用于验证对方的证书.CAfile如果不为NULL,则他指向的文件包含PEM编码格式的一个或多个证书。

    CApath如果不为NULL,则它指向一个包含PEM格式的CA证书的目录,目录中每个文件包含一份CA证书,文件名是证书中CA名的HASH

    5. 设置最大的验证用户证书的上级数。

    SSL_CTX_set_verify_depth(ctx,10);

     6. 设置临时DH密钥:

    当使用RSA算法鉴别的时候,会有一个临时的DH密钥磋商发生。这样会话数据将用这个临时的密钥加密,而证书中的密钥中做为签名。 所以这样增强了安全性,临时密钥是在会话结束消失的,所以就是获取了全部信息也无法把通信内容给解密出来。 

    static unsigned char dh512_p[]={

          0xDA,0x58,0x3C,0x16,0xD9,0x85,0x22,0x89,0xD0,0xE4,0xAF,0x75,

    0x6F,0x4C,0xCA,0x92,0xDD,0x4B,0xE5,0x33,0xB8,0x04,0xFB,0x0F,

          0xED,0x94,0xEF,0x9C,0x8A,0x44,0x03,0xED,0x57,0x46,0x50,0xD3,

          0x69,0x99,0xDB,0x29,0xD7,0x76,0x27,0x6B,0xA2,0xD3,0xD4,0x12,

          0xE2,0x18,0xF4,0xDD,0x1E,0x08,0x4C,0xF6,0xD8,0x00,0x3E,0x7C,

          0x47,0x74,0xE8,0x33,

     };

     

    static unsigned char dh512_g[]={0x02,};

    DH *dh=DH_new();
          dh->p=BN_bin2bn(dh512_p,sizeof(dh512_p),NULL);

     dh->g=BN_bin2bn(dh512_g,sizeof(dh512_g),NULL);

     SSL_CTX_set_tmp_dh(ctx,dh);

     7. 加载证书和私钥:

    私钥可以和证书在一个文件之中。判断私钥和证书是否匹配。默认情况下,通信进行服务端证书的认证,所以客户端可以不加载证书.

    加载自己的证书:

    char *cert_file="server.pem";

    SSL_CTX_use_certificate_file(ctx, cert_file, SSL_FILETYPE_PEM); 

    由于私钥有可能采用了密码加密,所以获取私钥之前先写上私钥的密码

     char *pKeyPasswd="serve";

     SSL_CTX_set_default_passwd_cb_userdata(ctx, pKeyPasswd);

    加载自己的私钥,以用于签名:

     SSL_CTX_use_PrivateKey_file(ctx, cert_file,SSL_FILETYPE_PEM);

    检查私钥与密码是否配对:

     SSL_CTX_check_private_key(ctx); 

    设置一个临时的RSA,在出口算法中,有规定需要这么做的。

    RSA *rsa=RSA_generate_key(512,RSA_F4,NULL,NULL);

    SSL_CTX_set_tmp_rsa(ctx,rsa);

    8. 设置验证方式:

    SSL_CTX_set_verify(ctx, mode, verify_callback*);

    mode是以下值的逻辑或:

    SSL_VERIFY_NONE表示不验证;

    SSL_VERIFY_PEER用于客户端时要求服务器必须提供证书,用于服务器时服务器会发出证书请求消息要求客户端提供证书,但是客户端也可以不提供;

    SSL_VERIGY_FAIL_IF_NO_PEER_CERT只适用于服务器且客户端必须提供证书。他必须与SSL_VERIFY_PEER一起使用 .

    任何一个验证失败信息都会终止TLS连接。但是是否证书就是不正确的呢,这要看视具体情况而定了,当SSL_VERIFY_PEER被设置时verify_callback可以控制验证的行为,比如自签名错误或者证书过了有效期是否继续,就可以通过这个回调函数来控制。

    9. 产生session_id:

    为了从自己本身的程序中产生一个session_id,所以要给本程序设定一个session_id_context,否则程序从外部获取session_id_context来得到session_id,那很容易产生错误 ,长度不能大于SSL_MAX_SSL_SESSION_ID_LENGTH

    const unsigned char s_server_session_id_context[100]="1111asdfd";

    SSL_CTX_set_session_id_context(ctx,s_server_session_id_context,

    sizeof(s_server_session_id_context));

    10. void RAND_seed(const void *buf,int num);

    win32的环境中client程序运行时出错(SSL_connect返回-1)的一个主要机制便是与UNIX平台下的随机数生成机制不同(握手的时候用的到).解决办法就是调用此函数,其中buf应该为一随机的字符串,作为"seed".

    至此初始化工作完成。下面是连接过程

     

    二、连接过程

           1. 客户端:

           普通的socket

          sock = socket(AF_INET, SOCK_STREAM, 0);

          addr.sin_family = AF_INET;

          addr.sin_port = htons(port);

          addr.sin_addr.s_addr = inet_addr(host);

          connect(sock, (struct sock_addr *)&addr, sizeof (addr));

           初始化SSL:

           ssl = SSL_new(ctx);

           bio关联:

           sbio=BIO_new_socket(s,BIO_NOCLOSE);

    SSL_set_bio(ssl,sbio,sbio);

    SSL连接

    SSL_connect(ssl);

           获得证书检查的结果:

           SSL_get_verify_result(ssl);

           证书正常返回X509_V_OK, 其他错误号用命令man verify可以查看.

           因为SSL_get_verify_result函数,当没有接收到证书的时候返回也是X509_V_OK,所以还需要使用函数SSL_get_peer_certificate(SSL* ssl)来确保接收到证书。

           X509 *peer = SSL_get_peer_certificate(ssl);

    2. 服务端:

    普通的socket

    sock = socket(AF_INET, SOCK_STREAM, 0);

    addr.sin_addr.s_addr=INADDR_ANY;

    addr.sin_family=AF_INET;

    addr.sin_port=htons(HTTPS_PORT);

    bind(sock, (struct sock_addr *)&addr, sizeof(addr) );

    listen(sock, 5);

    recv_sock = accept(sock, 0, 0);

    初始化SSL

    ssl = SSL_new(ctx);

           bio关联:

           sbio=BIO_new_socket(s,BIO_NOCLOSE);

    SSL_set_bio(ssl,sbio,sbio);

    SSL accept:

    SSL_accept(ssl);

    获得证书检查的结果同客户端。

    至此整个的通信过程沟通完成,至于接收和发送数据很简单,只要把正常的接收函数readwrite函数替换成下面的两个函数就可以了.

    SSL_read(ssl, buf, size);

    SSL_write(ssl, buf, size);

           收尾工作:

           当通信结束,需要做一些收尾工作,如下:

           SSL_shutdown(ssl);

    SSL_free(ssl);

    SSL_CTX_free(ctx);

    close(sock);

    附:其他一些有用的函数

    X509_NAME *X509_get_subject_name(X509 *a);

    得到证书所有者的名字,参数可用通过SSL_get_peer_certificate()得到的X509对象.

    X509_NAME *X509_get_issuer_name(X509 *a);

    得到证书签署者(往往是CA)的名字,参数可用通过SSL_get_peer_certificate()得到的X509对象.

    X509_NAME_get_text_by_NID(X509_NAME *name, int nid, char *buf,int len);

    根据name id得到各个name的信息。

    char *X509_NAME_oneline(X509_NAME *a,char *buf,int size);

    将以上三个函数得到的对象变成字符型,以便打印出来.

     
    展开全文
  • 本文的大部分操作参考Jerry Qu的Let’s Encrypt,免费好用的 HTTPS 证书,不过原文配置的HTTP服务是Nginx,本文是Tomcat9,如果你使用的也是Nginx,请移步Let’s Encrypt,免费好用的 HTTPS 证书,如果大家在使用时...

    博文目录

    声明

    本文的大部分操作参考Jerry QuLet’s Encrypt,免费好用的 HTTPS 证书,不过原文配置的HTTP服务是Nginx,本文是Tomcat9,如果你使用的也是Nginx,请移步Let’s Encrypt,免费好用的 HTTPS 证书,如果大家在使用时,发现什么问题,也欢迎在评论区一起讨论。

    Let’s Encrypt, 免费好用的 HTTPS 证书

    免费、自动化、开放的证书签发服务。它由 ISRG(Internet Security Research Group,互联网安全研究小组)提供服务,而 ISRG 是来自于美国加利福尼亚州的一个公益组织。Let’s Encrypt 得到了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等众多公司和机构的支持,发展十分迅猛。

    申请 Let’s Encrypt 证书不但免费,还非常简单,虽然每次只有 90 天的有效期,但可以通过脚本定期更新,配好之后一劳永逸。

    申请工具

    Jerry Qu 没有使用官方的工具来申请,而是使用了acme-tiny 这个更为小巧的开源工具,我对HTTPS的申请不是很熟,这次是第一次申请,决定先按Jerry Qu的方式做一遍,同时记录下自己遇到的问题。

    ACME 全称是 Automated Certificate Management Environment,直译过来是自动化证书管理环境的意思,Let’s Encrypt 的证书签发过程使用的就是 ACME 协议。有关 ACME 协议的更多资料可以在这个仓库找到。

    创建帐号

    首先创建一个目录,例如 /usr/ssl,用来存放各种临时文件和最后的证书文件。进入这个目录,创建一个 RSA 私钥用于 Let’s Encrypt 识别你的身份:

    [root@VM_195_229_centos usr]# mkdir ssl
    [root@VM_195_229_centos usr]# cd ssl
    [root@VM_195_229_centos ssl]# openssl genrsa 4096 > account.key
    Generating RSA private key, 4096 bit long modulus
    ................................................................++
    ..........................................................................++
    e is 65537 (0x10001)
    [root@VM_195_229_centos ssl]# ls -l 
    total 4
    -rw-r--r-- 1 root root 3243 Jul 31 20:08 account.key

    创建 CSR 文件

    接着就可以生成 CSR(Certificate Signing Request,证书签名请求)文件了。在这之前,还需要创建域名私钥(一定不要使用上面的账户私钥),根据证书不同类型,域名私钥也可以选择 RSA 和 ECC 两种不同类型。以下两种方式请根据实际情况二选一。

    • 创建 RSA 私钥(兼容性好):
    openssl genrsa 4096 > domain.key
    • 创建 ECC 私钥(部分老旧操作系统、浏览器不支持。优点是证书体积小):
    #secp256r1
    openssl ecparam -genkey -name secp256r1 | openssl ec -out domain.key
    
    #secp384r1
    openssl ecparam -genkey -name secp384r1 | openssl ec -out domain.key

    有关 ECC 证书的更多介绍,请点击这里

    有了私钥文件,就可以生成 CSR 文件了。在 CSR 中推荐至少把域名带 www 和不带 www 的两种情况都加进去,其它子域可以根据需要添加(目前一张证书最多可以包含 100 个域名):

    openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr

    执行这一步时,如果提示找不到 /etc/ssl/openssl.cnf 文件,请看看 /usr/local/openssl/ssl/openssl.cnf 是否存在。如果还是不行,也可以使用交互方式创建 CSR(需要注意 Common Name 必须为你的域名):

    openssl req -new -sha256 -key domain.key -out domain.csr

    这里,我的openssl.cnf目录是/etc/pki/tls/openssl.cnf,先暂时使用这个文件,而没有采用交互式生成,生成CSR文件暂时没有问题,接着往下走。

    配置验证服务

    我们知道,CA 在签发 DV(Domain Validation)证书时,需要验证域名所有权。传统 CA 的验证方式一般是往 admin@yoursite.com 发验证邮件,而 Let’s Encrypt 是在你的服务器上生成一个随机验证文件,再通过创建 CSR 时指定的域名访问,如果可以访问则表明你对这个域名有控制权。

    Nginx的配置方案 请参考 Let’s Encrypt,免费好用的 HTTPS 证书

    新建一个目录,用以存放认证文件,/usr/ssl/challenges目录:

    [root@VM_195_229_centos ssl]# mkdir /usr/ssl/challenges

    定位到Tomcat的安装目录,找到conf/server.xml,找到以下被注释的配置信息:

    <!-- Define a SSL/TLS HTTP/1.1 Connector on port 8443
             This connector uses the NIO implementation. The default
             SSLImplementation will depend on the presence of the APR/native
             library and the useOpenSSL attribute of the
             AprLifecycleListener.
             Either JSSE or OpenSSL style configuration may be used regardless of
             the SSLImplementation selected. JSSE style configuration is used below.
        -->
        <!--
        <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
                   maxThreads="150" SSLEnabled="true">
            <SSLHostConfig>
                <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
                             type="RSA" />
            </SSLHostConfig>
        </Connector>
        -->
        <!-- Define a SSL/TLS HTTP/1.1 Connector on port 8443 with HTTP/2
             This connector uses the APR/native implementation which always uses
             OpenSSL for TLS.
             Either JSSE or OpenSSL style configuration may be used. OpenSSL style
             configuration is used below.
        -->
        <!--
        <Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"
                   maxThreads="150" SSLEnabled="true" >
            <UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
            <SSLHostConfig>
                <Certificate certificateKeyFile="conf/localhost-rsa-key.pem"
                             certificateFile="conf/localhost-rsa-cert.pem"
                             certificateChainFile="conf/localhost-rsa-chain.pem"
                             type="RSA" />
            </SSLHostConfig>
        </Connector>
        -->

    获取网站证书

    先把 acme-tiny 脚本保存到之前的 /usr/ssl 目录:

    [root@VM_195_229_centos ssl]# wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

    指定账户私钥、CSR 以及验证目录,执行脚本:

    [root@VM_195_229_centos ssl]# python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt

    如果一切正常,当前目录下就会生成一个 signed.crt,这就是申请好的证书文件。

    如果你把域名 DNS 解析放在国内,这一步很可能会遇到类似这样的错误:

    ValueError: Wrote file to /home/xxx/www/challenges/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg, but couldn't download http://www.yoursite.com/.well-known/acme-challenge/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg

    这是因为你的域名很可能在国外无法解析,可以找台国外 VPS 验证下。我的域名最近从 DNSPod 换到了阿里云解析,最后又换到了 CloudXNS,就是因为最近前两家在国外都很不稳定。如果你也遇到了类似情况,可以暂时使用国外的 DNS 解析服务商,例如 dns.he.net。如果还是搞不定,也可以试试「Neilpang/le」这个工具的 DNS Mode。

    搞定网站证书后,还要下载 Let’s Encrypt 的中间证书。我在之前的文章中讲过,配置 HTTPS 证书时既不要漏掉中间证书,也不要忘记包含根证书。在 Nginx 配置中,需要把中间证书和网站证书合在一起:

    wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
    cat signed.crt intermediate.pem > chained.pem

    为了后续能顺利启用 OCSP Stapling,我们再把根证书和中间证书合在一起:

    wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
    cat intermediate.pem root.pem > full_chained.pem

    最终,修改 Nginx 中有关证书的配置并 reload 服务即可:

    配置自动更新

    Let’s Encrypt 签发的证书只有 90 天有效期,推荐使用脚本定期更新。例如我就创建了一个 renew_cert.sh 并通过 chmod a+x renew_cert.sh 赋予执行权限。文件内容如下:

    #!/bin/bash
    
    cd /home/xxx/www/ssl/
    python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/xxx/www/challenges/ > signed.crt || exit
    wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
    cat signed.crt intermediate.pem > chained.pem
    service nginx reload

    crontab 中使用绝对路径比较保险,crontab -e 加入以下内容:

    0 0 1 * * /home/xxx/shell/renew_cert.sh >/dev/null 2>&1

    这样以后证书每个月都会自动更新,一劳永逸。实际上,Let’s Encrypt 官方将证书有效期定为 90 天一方面是为了更安全,更重要的是鼓励用户采用自动化部署方案。


    参考文献

    1. Let’s Encrypt,免费好用的 HTTPS 证书
    2. HTTPS 常见部署问题及解决方案
      3.SSL/TLS Configuration HOW-TO【Tomcat 官网】
    展开全文
  • 在安装前先检查是否已经安装了vsftpd[root@VM_195_229_centos ~]# rpm -q vsftpd package vsftpd is not installed结果显示,目前该系统上还没有安装vsftpd,使用yum安装:[root@VM_195_229_centos ~]# yum -y ...

    博文目录

    检查安装vsftpd

    在安装前先检查是否已经安装了vsftpd

    [root@VM_195_229_centos ~]# rpm -q vsftpd
    package vsftpd is not installed

    结果显示,目前该系统上还没有安装vsftpd,使用yum安装:

    [root@VM_195_229_centos ~]# yum -y install vsftpd
    ......
    Installed:
      vsftpd.x86_64 0:3.0.2-21.el7                                                                                                                                                                                    
    
    Complete!
    [root@VM_195_229_centos ~]# 

    检查一下vsftpd的安装目录:

    [root@VM_195_229_centos ~]# whereis vsftpd
    vsftpd: /usr/sbin/vsftpd /etc/vsftpd /usr/share/man/man8/vsftpd.8.gz
    [root@VM_195_229_centos ~]# 

    配置

    vsftpd默认是开启匿名登录的,默认的ftp目录是/var/ftp,这时只要启动了服务,就可以直接连上FTP了。显然,这不符合大部分人对于服务器安全性的要求。
    接下来就按分配的用户去访问各自的目录的规则,进行相应的配置。

    vsftpd的用户分为系统用户虚拟用户两种:

    1. 系统用户:
      也就是系统中实际存在的Linux用户,配置系统用户比较简单,创建系统用户并把FTP目录的读写权限付给系统用户即可。比如:

      [root@VM_195_229_centos ~]# useradd -g root -M -d /var/ftp/pub -s /sbin/nologin ftpuser
      [root@VM_195_229_centos ~]# passwd ftpuser
      [root@VM_195_229_centos ~]# 输入密码

      /var/ftp/pub的权限开放给ftpuser.root

      [root@VM_195_229_centos ~]# chown -R ftpuser.root /var/ftp/pub

      这样就可以通过ftpuser链接FTP了。

    2. 虚拟用户:
      • 首先,虚拟用户认证需要通过pam方式去认证的。
      • 其次,在pam文件里指定认证的db文件。
      • 然后,db文件的内容是通过明文的用户名密码,以奇偶行的方式记录用户名密码,使用db_load命令生成pam里指定的db文件。
      • 最后,为每个ftp用户做定制化配置。

    指定pam文件

    /etc/vsftpd/vsftpd.conf 配置文件是通过 pam_service_name=vsftpd 配置指定的

    指定db文件

    db文件的指定是编辑/etc/pam.d/vsftpd,把文件内容全部注释掉,加上以下两行:

    • 64位系统:

      
      # 指定db文件
      
      auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
      account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
    • 32位系统:

      
      # 指定db文件
      
      auth sufficient /lib/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
      account sufficient /lib/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd

      db=/etc/vsftpd/vuser_passwd指定了db文件的位置

    生成db文件

    由于db文件是通过明文用户名和密码文件生成而来,所以先创建一个保存明文用户名和密码的文件 vuser_passwd.txt

    [root@VM_195_229_centos ~]# vi /etc/vsftpd/vuser_passwd.txt
    ftpusername
    ftppassword
    otherftpusername
    otherftppassword

    注意:该文件奇行为用户名,偶行为密码,不要添加任何其他的内容。

    然后通过以下命令生成db文件:

    [root@VM_195_229_centos ~]# cd /etc/vsftpd
    [root@VM_195_229_centos vsftpd]# db_load -T -t hash -f vuser_passwd.txt vuser_passwd.db
    [root@VM_195_229_centos vsftpd]# ls -l 
    -rw-r--r-- 1 root root 12288 Aug  5 10:14 vuser_passwd.db
    -rw-r--r-- 1 root root    23 Aug  5 10:11 vuser_passwd.txt
    [root@VM_195_229_centos vsftpd]# 

    如果要添加新的用户,再编辑 vuser_passwd.txt 后要再次生成一下db文件。

    FTP用户定制化配置

    每个用户的具体配置,如指向目录、可读写权限等是通过一个用户对应一个配置文件来实现的,且这个文件必须用FTP用户名去做文件名,建一个目录专门存放这些文件:

    [root@VM_195_229_centos vsftpd]# mkdir vuser_conf
    [root@VM_195_229_centos vsftpd]# vi vuser_conf/ftpusername
    local_root=/var/www
    write_enable=YES
    anon_umask=022
    anon_world_readable_only=NO
    anon_upload_enable=YES
    anon_mkdir_write_enable=YES
    anon_other_write_enable=YES
    [root@VM_195_229_centos vsftpd]# 

    接下来就是根据需要和以上各文件信息来修改配置文件 /etc/vsftpd/vsftpd.conf了:

    anonymous_enable=NO  # 禁用匿名登录
    ascii_upload_enable=YES
    ascii_download_enable=YES
    chroot_local_user=YES  # 启用限定用户在其主目录下

    以下配置是需要自己手工添加:

    guest_enable=YES  # 设定启用虚拟用户功能
    guest_username=ftpuser  # 指定虚拟用户的宿主用户,CentOS中已经有内置的ftp用户了
    user_config_dir=/etc/vsftpd/vuser_conf  # 虚拟用户配置文件存放的路径
    allow_writeable_chroot=YES  # 如果启用了限定用户在其主目录下,则需要添加这个配置

    配置防火墙

    如果系统启用了防火墙和SELinux,那么还要做以下配置。

    防火墙添加FTP服务:

    [root@localhost vsftpd]# firewall-cmd --permanent --zone=public --add-service=ftp
    [root@localhost vsftpd]# firewall-cmd --reload

    设置SELinux:

    [root@localhost vsftpd]# getsebool -a | grep ftp
    [root@localhost vsftpd]# setsebool -P ftpd_full_access on

    防火墙基本命令
    1. 查看防火墙状态。
    systemctl status firewalld
    2. 临时关闭防火墙命令。重启电脑后,防火墙自动起来。
    systemctl stop firewalld
    3. 永久关闭防火墙命令。重启后,防火墙不会自动启动。
    systemctl disable firewalld
    4. 打开防火墙命令。
    systemctl enable firewalld

    启动FTP服务

    用 systemctl restart vsftpd.service 重新启动服务即可用虚拟用户登录FTP了。

    [root@VM_195_229_centos vuser_conf]# systemctl restart vsftpd.service
    [root@VM_195_229_centos vuser_conf]# 

    添加新 ftp 用户

    1. 编辑 vuser_passwd.txt 文件,添加用户名和密码:

      [root@VM_195_229_centos ~]# cd /etc/vsftpd
      [root@VM_195_229_centos vsftpd]# vi vuser_passwd.txt
      new_ftp_user
      new_ftp_user_password
      [root@VM_195_229_centos vsftpd]#
    2. 重新生成 vuser_passwd.db 文件:

      [root@VM_195_229_centos vsftpd]# cd /etc/vsftpd/vuser_conf
      [root@VM_195_229_centos vuser_conf]# db_load -T -t hash -f vuser_passwd.txt vuser_passwd.db
    3. 创建用户配置文件:

      [root@VM_195_229_centos vuser_conf]# cd vuser_conf
      [root@VM_195_229_centos vuser_conf]# vi new_ftp_user
      local_root=/new/ftp/directory
      write_enable=YES
      anon_umask=022
      anon_world_readable_only=NO
      anon_upload_enable=YES
      anon_mkdir_write_enable=YES
      anon_other_write_enable=YES
      [root@VM_195_229_centos vuser_conf]# 
    4. 重启服务:

      [root@VM_195_229_centos vuser_conf]# systemctl restart vsftpd.service
    展开全文
  • 文章分为使用Apache和未使用两种。 使用Apache的服务器 在/etc/httpd/conf.d/ssl...SSLProtocol -all +TLSv1.2 + TLSv1.1 禁用所有TLS协议只开启TLS1.2 SSLProtocol -all +TLSv1.2 没有使用Apache服务器 \jdk1.7\j...

    分为使用Apache和未使用两种。

    使用Apache的服务器

    在/etc/httpd/conf.d/ssl文件中找到SSLProtocol 属性项
    只开启TLS1.2和TLS1.1协议
    SSLProtocol -all +TLSv1.2 + TLSv1.1
    禁用所有TLS协议只开启TLS1.2
    SSLProtocol -all +TLSv1.2

    没有使用Apache服务器

    \jdk1.7\jre\lib\security\java.security文件中最后参数
    jdk.tls.disabledAlgorithms= SSLv2Hello, SSLv3, TLSv1, TLSv1.1
    强制使用TLS1.2协议
    说明:JDK1.7默认禁用SSv3协议以及版本以下 最高支持TLS1.2协议

    展开全文
  • 有TLS1.0的时候三种协议就都正常,只要禁掉TLS1.0就都不行了,很是疑惑,求大神帮忙
  • OpenSSL 开启 TLS1.3

    2018-08-09 10:46:48
    TLS 1.3协议详解:...   1:github下载 对于的代码 https://github.com/openssl/openssl 2:./config enable-tls1_3 &amp; make &amp; sudo make install ...1:若发现 install ...
  • 一、下载TLSSLed [root@localhost ~]# yum install tlssled 二、服务器SSL/TLS快速检测工具TLSSLed  ...所以,在渗透测试中如何快速检测服务器的SSL和TLS配置寻找...Kali Linux提供专用检测工具TLSSLed。该工...
  • CentOS Linux release 7.6.1810 (Core) # uname -r 3.10.0-957.el7.x86_64 //关闭SELinux //firewall按需打开或关闭 //通过阿里云申请免费SSL证书(需要一个阿里云账户,一个域名) [在Nginx/Tengine服务器上安装证书...
  • 我选择的是jdk1.8 linux64位tar.gz版本, 你可以选择RPM版本,进行直接安装。 请注意,这里的真实链接地址,是根据浏览器上下载时拷贝出来的地址。 因为服务器上直接下载会快很多,我就没有本地下载再上传。[root@...
  • linux配置https服务

    2019-01-04 13:57:16
    160 0 1 首先说明一点,并不是仅仅配置就可以使用真正的https服务,因为需要向证书颁发机构申请SSL证书 首先先去你的云服务器购买证书,然后按照提示进行购买 购买完毕后下载证书然后在nginx.conf配置: ...
  • 为了提高证书的加密安全,启用TLS1.2,但配置完后显示仍然是TLS1.0,后来发现,nginx上面配置了很多vhost,只将一个站点修改为TLS1.2是不起作用的,于是,将所有站点的配置都加上了TLS1.2的...ssl_protocols TLSv1 ...
  • ########apache服务中的ssl加密######## ssl简介: SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。...
  • Linux配置https服务

    2018-12-04 18:24:39
    首先生成私钥和csr文件 ...切换到某个目录,在linux机器上执行以下命令生成私钥 openssl genrsa -out server.key 2048 然后在linux机器上执行以下命令生成csr文件 openssl req -new -key server.key -out cert...
  • 本记录只是作为自己的一个心得体会,因为真的花了蛮长时间,可能并不具备通用性,所以该文档仅作参考。 前言: 安装nginx的教程,请查看我的nginx安装教程https://blog.csdn.net/u012225679/article/details...
  • https HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。...
  • MySQL5.7 SSL配置和启用

    2018-01-17 16:09:01
    [root@linux-node local]# /usr/local/mysql5.7/bin/mysqld --initialize --basedir=/usr/local/mysql5.7 --datadir=/usr/local/mysql5.7/data/ --user=mysql [root@linux-node local]# /usr/local/my
  • 无宝塔 申请证书(我这里举阿里云申请到的例子) 配置文件的位置 里面有个证书路径,换掉就行 有宝塔 有宝塔就简单很多了,直接申请,部署
  • FTPS(FTP+SSL) ftps是一种多传输协议,相当于加密版的FTP。当你在FTP服务器上收发文件的时候,你面临两个风险。第一个风险是在上载文件的时候为文件加密。第二个风险是,这些文件在你等待接收方下载的时候将停留...
  • p { margin-bottom: 0.1in;...要在服务器上开启 TLSv1.2,通常要求基于 OpenSSL 环境的,使用 OpenSSL 1.0+ ,推荐 OpenSSL 1.0.1+。 要求基于 Java 环境的,使用 Jdk 1.7+ 。 查看openssl的版本:...
  • $1 我的Linux需求 Linux博大精深。我只在此讨论一些我对线上Linux机器维护人员的基本需求,比如装机,加硬盘,配网络。只讨论CentOS 6,或者类似的RHEL,当然Ubuntu也可以此类推,但是一些新特性不予讨论,因为我不...
1 2 3 4 5 ... 20
收藏数 2,034
精华内容 813
关键字:

linux启用tlsv1