精华内容
下载资源
问答
  • 如何删除ssl证书?有时候我们可能需要一出SSL证书,这里介绍下如何从 Windows、Apple及Mozilla 中删除根证书的操作说明. 如何从Windows 10/8中删除根证书 1、按Windows或开始按钮,然后在运行框中键入"MMC".这将启动...

    如何删除ssl证书?有时候我们可能需要一出SSL证书,这里介绍下如何从 Windows、Apple及Mozilla 中删除根证书的操作说明.

    如何从Windows 10/8中删除根证书

    1、按Windows或开始按钮,然后在运行框中键入"MMC".这将启动Microsoft管理控制台.

    2、选择" 文件",然后选择"添加/删除管理单元"

    3、从左侧的字段中选择"证书",然后单击" 添加".

    4、在下一个窗口中,选择"计算机帐户",然后选择"本地计算机",单击"确定".

    5、在MMC中,选择"证书(本地计算机)"旁边的箭头,这将显示证书存储区.

    6、选择要删除/禁用的根证书旁边的箭头,单击"证书"文件夹.

    7、在列表中找到您要删除的证书,右键单击它并选择"属性".

    8、选择"禁用此证书的所有用途",单击"应用".只需重启你的服务器即可.

    如何删除Apple上的根证书

    删除Apple计算机上的根证书时,与Windows非常相似,需要具有管理员访问权限才能访问信任存储区.

    1、选择Finder后,单击Go并选择Utilities(或者按Shift + Command + U)

    2、双击KeyChain Access,选择System Roots.找到要删除的根证书,然后双击它.

    3、在弹出的窗口中,在"Trust"下,选择"When the this certificate"并选择"never trust".

    如何在Mozilla上删除根证书

    与谷歌浏览器不同,Mozilla的Firefox浏览器使用自己的专有信任存储,由Mozilla组织的个人维护.要删除根,必须通过浏览器访问信任库.

    1、单击Firefox菜单,然后选择选项.

    2、选择" 高级",然后单击"证书"标签.单击"查看证书".

    3、选择"权限"选项卡,找到要删除的根证书,然后单击"删除或不信任"按钮.

    4、在下面的框中,确保选择了正确的根证书,然后单击" 确定".

    沃通超安SSL Pro证书和超真SSL Pro证书都支持ECC & RSA双算法,可根据您的需求自主选择.沃通ECC算法SSL证书支持256位ECC公钥算法及128位以上对称加密算法,使用ECC算法SSL证书保护网站安全、提升性能体验,让您的网站安全与速度兼顾,并适用于移动端互联网应用.

    以上,是为大家分享的"如何删除ssl证书"的全部内容.

    展开全文
  • 如何删除ssl证书?有时候我们可能需要一出SSL证书,这里介绍下如何从 Windows、Apple及Mozilla 中删除根证书的操作说明。如何从Windows 10/8中删除根证书1、按Windows或开始按钮,然后在运行框中键入“MMC”。这将...

    如何删除ssl证书?有时候我们可能需要一出SSL证书,这里介绍下如何从 Windows、Apple及Mozilla 中删除根证书的操作说明。

    如何从Windows 10/8中删除根证书

    1、按Windows或开始按钮,然后在运行框中键入“MMC”。这将启动Microsoft管理控制台。

    2、选择“ 文件”,然后选择“添加/删除管理单元”

    3、从左侧的字段中选择“证书”,然后单击“ 添加”。

    4、在下一个窗口中,选择“计算机帐户”,然后选择“本地计算机”,单击“确定”。

    5、在MMC中,选择“证书(本地计算机)”旁边的箭头,这将显示证书存储区。

    6、选择要删除/禁用的根证书旁边的箭头,单击“证书”文件夹。

    7、在列表中找到您要删除的证书,右键单击它并选择“属性”。

    8、选择“禁用此证书的所有用途”,单击“应用”。只需重启你的服务器即可。

    如何删除Apple上的根证书

    删除Apple计算机上的根证书时,与Windows非常相似,需要具有管理员访问权限才能访问信任存储区。

    1、选择Finder后,单击Go并选择Utilities(或者按Shift + Command + U)

    2、双击KeyChain Access,选择System Roots。找到要删除的根证书,然后双击它。

    3、在弹出的窗口中,在“Trust”下,选择“When the this certificate”并选择“never trust”。

    如何在Mozilla上删除根证书

    与谷歌浏览器不同,Mozilla的Firefox浏览器使用自己的专有信任存储,由Mozilla组织的个人维护。要删除根,必须通过浏览器访问信任库。

    1、单击Firefox菜单,然后选择选项。

    2、选择“ 高级”,然后单击“证书”标签。单击“查看证书”。

    3、选择“权限”选项卡,找到要删除的根证书,然后单击“删除或不信任”按钮。

    4、在下面的框中,确保选择了正确的根证书,然后单击“ 确定”。

    沃通超安SSL Pro证书和超真SSL Pro证书都支持ECC & RSA双算法,可根据您的需求自主选择。沃通ECC算法SSL证书支持256位ECC公钥算法及128位以上对称加密算法,使用ECC算法SSL证书保护网站安全、提升性能体验,让您的网站安全与速度兼顾,并适用于移动端互联网应用。

    以上,是为大家分享的“如何删除ssl证书”的全部内容,如果用户遇到的问题不能解决,可通过wosign官网客服寻求帮助,凡是选择wosign ssl证书的网站用户,wosign可提供免费一对一的ssl证书技术部署支持,免除后顾之忧。

    相关内容

    SSL/TLS协议是一种网络通信安全协议,采用公钥加密技术和对称加密技术,对客户端和服务器端之间的数据传输进行加密,确保数据传输的机密性、完整性以及通信方身份真实性。公钥和私钥本身不直接用来加解密数据内容的,而是用来协商算法、安全交换会话密钥,SSL证书私钥泄露会导致加密会话的密钥泄露,进而造成网站数据泄露。

    浏览器可能不信任任何随机数字证书,但他们信任其信任存储中的根,只要您的证书链接回其中之一,浏览器也将信任它。 但是当这些根源出现问题时会发生什么?当你需要不信任时会发生什么?虽然浏览器将在下次更新时从列表中删除根,但您可能需要立即删除root。

    展开全文
  • 首先说的是能解决 解决办法: 1、首先找到这个文件 C:\Windows\System32\inetsrv\config\applicationHost.config 2、找到这个文件中这个位置 3、把这段文字 删除: 4、保存 重启IIS;重新绑定SSL证书; 问题分析:...

    几个客户服务器中的IIS证书在绑定后会自动消失,即原本已绑定好的证书,过段时间后发现没有绑定了。

    分析问题:

    1、证书没有下载对应的版本 如应下载指定服务器 指定IIS版本的证书?;

    2、微软BUG?

    3、站点程序问题?

     

     

     

     

    分析后发现是微软的BUG,那怎么解决呢? 首先说的是能解决

     

    解决办法:

    1、首先找到这个文件

    C:\Windows\System32\inetsrv\config\applicationHost.config

    2、找到这个文件中这个位置

    <key path="LM/W3SVC/X">

    <property id="5506" dataType="Binary" userType="1" attributes="None" value="oXiHOzFAMOF0YxIuI7soWvDFEzg=" />

    </key>

    3、把这段文字 删除:<property id="5506" dataType="Binary" userType="1" attributes="None" value="oXiHOzFAMOF0YxIuI7soWvDFEzg=" />

    4、保存 重启IIS;重新绑定SSL证书;

     

    问题分析:首先查看windows 日志,有没有iis aspnet的错误信息,发现并没有,但发现了有警告信息,查看一下:

    根据这个信息查看,可以查看微软官网的说明 。

     

    如果解决不了,请查阅以下资料

     

    https://support.microsoft.com/en-us/help/2025598/https-connections-fail-and-ssl-bindings-are-deleted-for-a-website-in-i

    https://forums.iis.net/t/1239692.aspx

    https://docs.microsoft.com/zh-cn/archive/blogs/saurabh_singh/ssl-bindings-are-randomly-getting-deleted-for-a-website-with-error-ssl-certificate-settings-deleted-for-port-x-x-x-x443-in-the-event-logs-iis-7-07-5

    https://support.microsoft.com/zh-cn/help/2025598/https-connections-fail-and-ssl-bindings-are-deleted-for-a-website-in-i

    展开全文
  • SSL/TLS 双向认证(一) -- SSL/TLS 工作原理

    万次阅读 多人点赞 2017-08-04 17:58:27
    本文部分参考: https://www.wosign.com/faq/faq2016-0309-03.htm https://www.wosign.com/faq/faq2016-0309-04.htm ... 一: SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套...

    本文部分参考:
    https://www.wosign.com/faq/faq2016-0309-03.htm
    https://www.wosign.com/faq/faq2016-0309-04.htm
    http://blog.csdn.net/hherima/article/details/52469674

    一: SSL/TLS 介绍

    什么是 SSL, 什么是 TLS 呢?官话说 SSL 是安全套接层 (secure sockets layer), TLS 是 SSL 的继任者,叫传输层安全 (transport layer security)。说白点,就是在明文的上层和 TCP 层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP 协议是明文传输,加上 SSL 层之后,就有了雅称 HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。它的发展依次经历了下面几个时期,像手机软件升级一样,每次更新都添加或去除功能,比如引进新的加密算法,修改握手方式等。

    SSL1.0: 已废除
    SSL2.0: RFC6176, 已废除
    SSL3.0: RFC6101, 基本废除
    TLS1.0: RFC2246, 少数古董服务器仍在使用
    TLS1.1: RFC4346
    TLS1.2: RFC5246, 目前已广泛使用
    TLS1.3: RFC8446
    下面我们将介绍 TLS1.x 如何保证通讯安全。


    二: CA & SSL server & SSL client 介绍

    如何保证安全呢?你说安全就安全吗,究竟是怎么实现的呢?绝对安全吗?

    哈,有人的地方就有江湖,有江湖的地方就没有绝对的安全。但 SSL/TLS 确实可以极大程度保证信息安全。
    下面根据图一 SSL/TLS 工作流来一览实现过程。

    2.1 SSL/TLS 工作流

    SSL workflow

    图一 SSL/TLS 工作流

    Q1: CA 介绍

    CA: 证书授权中心 (certificate authority)
    它呢,类似于国家出入境管理处一样,给别人颁发护照;
    也类似于国家工商管理局一样,给公司/企业颁发营业执照。

    CA 有两大主要性质:

    • CA 本身是受信任的(国际认可的)
    • 给他受信任的申请对象颁发证书

    和办理护照一样,要确定你的合法身份,你不能是犯罪分子或造反派。当然,你需要被收保护费,同时,CA 机构可以随时吊销你的证书。

    Q2: CA 证书长啥样

    其实你的电脑中有一堆证书。你可以看一看嘛:

    • 360 浏览器: 选项/设置-> 高级设置 -> 隐私于安全 -> 管理 HTTPS/SSL 证书 -> 证书颁发机构
    • 火狐浏览器: 首选项 -> 高级 -> 证书 -> 查看证书 -> 证书机构
    • chrome浏览器: 设置 -> 高级 -> 管理证书 -> 授权中心
    • ubuntu: /etc/ssl/certs/xxx_CA.pem (或 xxx_Certification_Authority.pem)

    这些都是 CA 的证书!

    Q3: CA 的证书 ca.crt 和 SSL server 的证书 server.crt 是什么关系呢

    1. SSL server 自己生成一个私钥/公钥对。server.key/server.pub // 私钥加密,公钥解密!
    2. server.pub 生成一个请求文件 server.req. 请求文件中包含有 server 的一些信息,如域名/申请者/公钥等
    3. server 将请求文件 server.req 递交给 CA 机构,CA 机构验明正身后,将用 ca.key 和请求文件加密生成 server.crt
    4. 由于 ca.key 和 ca.crt 是一对,于是 ca.crt 可以用来校验 server.crt

    说明:为了简化 CA 校验证书的过程,本文只介绍了最基本的情况。在实际大多数情况下:

    1. server 端的证书颁发机构 CA 和 client 端的证书颁发机构 CA 通常不同
    2. 证书实际情况下,可以是证书链,也就是多个上级机构逐级下发证书的链
    3. 证书校验时,CA 通常可以选择校验证书链的深度,最基础的情况是只校验一级

    Q4: 举例说明

    如果 SSL client 想要校验 SSL server. 那么 SSL server 必须要将他的证书 server.crt 传给 client. 然后 client 用 ca.crt 去校验 server.crt 的合法性。
    如果 server 是一个钓鱼网站,那么 CA 机构是不会给他颁发合法 server.crt 证书的,这样 client 用 ca.crt 去校验,就会失败。
    比如:浏览器作为一个 SSL client, 你想访问合法的淘宝网站 https://www.taobao.com, 结果不慎访问到 https://wwww.jiataobao.com, 那么浏览器将会检验到这个假淘宝钓鱼网站的非法性,提醒用户不要继续访问!这样就可以保证 client 的所有 https 访问都是经过安全检查的。

    2.2 不认证 & 单向认证 & 双向认证

    何为 SSL/TLS 单向认证,双向认证?

    单向认证:指的是只有一个对象校验对端的证书合法性
    通常是客户端来校验服务器的合法性。那么 client 需要一个 ca.crt, 服务器需要 server.crt, server.key

    例如:浏览器校验各个 HTTPS 网站的合法性。如果导航栏有绿色的小锁,说明网站合法;如果是红色小锁,说明该网站证书校验不过。

    也可以是服务器来校验客户端的合法性。那么 server 需要一个 ca.crt, 客户端需要 client.crt, client.key

    例如: 亚马逊物联网平台(AWS IoT) 给每个设备颁发证书,所有设备要想连接上 AWS, 必须使用其提供的客户端证书

    双向认证:指的是相互校验,服务器需要校验每个 client 证书, client 也需要校验服务器证书
    server 需要 server.key 、server.crt 、ca.crt
    client 需要 client.key 、client.crt 、ca.crt

    不认证:指的是不相互校验证书,但仍然使用 TLS 连接

    证书校验只是 TLS 连接过程中的一小步,是可以省略的过程

    2.3 证书详细工作流

    证书工作流

    图二 证书详细工作流

    1)申请认证:服务器需自己生成公钥私钥对 pub_svr & pri_svr,同时根据 pub_svr 生成请求文件 csr, 提交给 CA 机构,csr 中含有公钥、组织信息、个人信息(域名)等信息。(图一中 server.req 就是 csr 请求文件)

    2)审核信息:CA 机构通过线上、线下等多种手段验证申请者提供信息的真实性,如组织是否存在、企业是否合法,是否拥有域名的所有权等。

    3)签发证书:如信息审核通过,CA 机构会向申请者签发认证文件:证书。
    证书包含以下信息:申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文,同时包含一个签名。
    签名的产生算法:首先,使用散列函数计算公开的明文信息的信息摘要,然后,采用 CA 的私钥对信息摘要进行加密,密文即签名。(图一中生成 server.crt)

    4)返回证书:client 如果请求验证服务器,服务器需返回证书文件。(图一中 handshake 传回 server.crt)

    5)client验证证书:client 读取证书中的相关的明文信息,采用相同的散列函数计算得到信息摘要,然后,利用对应 CA 的公钥解密签名数据,对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法。客户端然后验证证书相关的域名信息、有效时间是否吊销等信息。
    客户端会内置信任 CA 的证书信息(包含公钥),如果 CA 不被信任,则找不到对应 CA 的证书,证书也会被判定非法。(图一中 check 可选,我们可以选择不验证服务器证书的有效性)

    6)秘钥协商:验证通过后,server 和 client 将进行秘钥协商。接下来 server 和 client 会采用对称秘钥加密。(对称加密时间性能优)(图一中 pre-master/change_cipher_spec/encrypted_handshake_message 过程)

    7)数据传输:SSL server 和 SSL client 采用对称秘钥加密解密数据。

    2.4 SSL/TLS单向认证流程

    单项认证

    (1) client_hello

    客户端发起请求,以明文传输请求信息,包含版本信息,加密套件候选列表,压缩算法候选列表,随机数,扩展字段等信息,相关信息如下:

    • 支持的最高 TLS 协议版本 version,从低到高依次 SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2, 当前基本不再使用低于 TLSv1 的版本
    • 客户端支持的加密套件 cipher suites 列表, 每个加密套件对应前面 TLS 原理中的四个功能的组合:
      • 认证算法 Au (身份验证)
      • 密钥交换算法 KeyExchange (密钥协商)
      • 对称加密算法 Enc (信息加密)
      • 信息摘要 Mac (完整性校验)
    • 支持的压缩算法 compression methods 列表,用于后续的信息压缩传输
    • 随机数 random_C,用于后续的密钥的生成
    • 扩展字段 extensions,支持协议与算法的相关参数以及其它辅助信息等,常见的 SNI 就属于扩展字段,后续单独讨论该字段作用

    (2) server_hello + server_certificate + sever_hello_done

    • server_hello, 服务端返回协商的信息结果,包括选择使用的协议版本 version,选择的加密套件 cipher suite,选择的压缩算法 compression method、随机数 random_S 等,其中随机数用于后续的密钥协商
    • server_certificates, 服务器端配置对应的证书链,用于身份验证与密钥交换
    • server_hello_done,通知客户端 server_hello 信息发送结束

    (3) 证书校验

    • 证书/证书链的可信性 trusted certificate path,方法如前文所述
    • 证书是否吊销 revocation,有两类方式离线 CRL 与在线 OCSP,不同客户端行为会不同
    • 有效期 expiry date,证书是否在有效时间范围
    • 域名 domain,核查证书域名是否与当前的访问域名匹配 (CN 字段)

    证书校验没有强制的过程,也就是校验严格和校验宽松通常都是可以配置的,由校验端来确定。

    (4) client_key_exchange + change_cipher_spec + encrypted_handshake_message

    • client_key_exchange: 合法性验证通过之后,客户端计算产生随机数字 pre-master,并用证书公钥加密,发送给服务器
    • 此时客户端已经获取全部的计算协商密钥需要的信息:两个明文随机数 random_C 和 random_S 与自己计算产生的 pre-master,计算得到协商密钥
      enc_key=Fuc(random_C, random_S, pre-master)
    • change_cipher_spec: 客户端通知服务器后续的通信都采用协商的通信密钥和加密算法进行加密通信;
    • encrypted_handshake_message: 结合之前所有通信参数的 hash 值与其它相关信息生成一段数据,采用协商密钥 session secret 与算法进行加密,然后发送给服务器用于数据与握手验证

    (5) change_cipher_spec + encrypted_handshake_message

    • 服务器用私钥解密加密的 pre-master 数据,基于之前交换的两个明文随机数 random_C 和 random_S,计算得到协商密钥:enc_key=Fuc(random_C, random_S, pre-master);
    • 计算之前所有接收信息的 hash 值,然后解密客户端发送的 encrypted_handshake_message,验证数据和密钥正确性;
    • change_cipher_spec, 验证通过之后,服务器同样发送 change_cipher_spec 以告知客户端后续的通信都采用协商的密钥与算法进行加密通信;
    • encrypted_handshake_message, 服务器也结合所有当前的通信参数信息生成一段数据并采用协商密钥 session secret 与算法加密并发送到客户端;

    (6) 握手结束

    客户端计算所有接收信息的 hash 值,并采用协商密钥解密 encrypted_handshake_message,验证服务器发送的数据和密钥,验证通过则握手完成

    (7) 加密通信

    开始使用协商密钥与算法进行加密通信。

    2.5 实际 wireshark 分析

    这里写图片描述
    我们搭建的 SSL/TLS 服务器是 192.168.111.100, client 是192.168.111.101. client 需要认证 server 的合法性。
    我们只看 TLSv1.1 的数据包:
    第一包 (No. 25) Client Hello 包,即 SSL/TLS 单向认证流程的 (1)
    第二包 (No. 27) Server Hello 包,包含服务器证书等。即 SSL/TLS 单向认证流程的 (2)
    第三包 (No. 28) 服务器证书验证完成,同时发送 client key exchange+change cipher spec + encrypted handshake message.即 SSL/TLS 单向认证流程的(4)
    第四包 (No. 29) 秘钥协商,change cipher spec + encrypted hanshake message.即 SSL/TLS 单向认证流程的 (5)
    第五包 (No. 30) 握手完成。开始上层数据传输。SSL/TLS 单向认证流程的 (7)

    2.6 SSL/TLS 双向认证流程

    和单向认证几乎一样,只是在 client 认证完服务器证书后,client 会将自己的证书 client.crt 传给服务器。服务器验证通过后,开始秘钥协商。

    实际 wireshark 分析:
    这里写图片描述

    和单向认证一样:
    我们搭建的 SSL/TLS 服务器是 192.168.111.100, client是192.168.111.101. client 需要认证 server 的合法性,server 也需要认证 client 的合法性

    我们只看 TLSv1.1 的数据包:
    第一包 (No. 55) Client Hello 包,即 SSL/TLS 单向认证流程的 (1)
    第二包 (No. 57) Server Hello 包,包含服务器证书等。即 SSL/TLS 单向认证流程的 (2)
    第三包 (No. 60) 服务器证书验证完成,同时发送客户端的证书 client.crt ,同时包含 client key exchange+change cipher spec + encrypted handshake message. 即 SSL/TLS 单向认证流程的 (4)
    第四包 (No. 61)**服务器验证客户端证书的合法性。**通过后进行秘钥协商,change cipher spec + encrypted hanshake message.即 SSL/TLS 单向认证流程的 (5)
    重传包 (No. 62) 由于网络原因,TCP 重传第No. 60 包。
    第五包 (No. 64) 握手完成,开始上层数据传输。SSL/TLS 单向认证流程的 (7)

    2.7 证书等格式说明

    crt/key/req/csr/pem/der 等拓展名都是什么东东?

    .crt 表示证书, .key 表示私钥, .req 表示请求文件,.csr 也表示请求文件, .pem 表示 pem 格式,.der 表示 der 格式。

    文件拓展名你可以随便命名,只是为了理解需要而命名不同的拓展名。但文件中的信息是有格式的,和 exe,PE 格式一样。

    证书有两种格式:pem 格式和 der 格式

    所有证书,私钥等都可以是 pem, 也可以是 der 格式,取决于应用需要。
    pem 和 der 格式可以互转:

    openssl x509 -in ca.crt -outform DER -out ca.der  # pem -> der
    openssl x509 -inform der -in ca.der -out ca.pem   # der -> pem
    

    pem 格式:经过加密的文本文件,一般有下面几种开头结尾:

    	-----BEGIN RSA PRIVATE KEY-----
    	-----END RSA PRIVATE KEY-----
    	or:
       -----BEGIN CERTIFICATE REQUEST-----
       -----END CERTIFICATE REQUEST-----
    	or:
       ----BEGIN CERTIFICATE-----
      -----END CERTIFICATE-----
    

    der 格式: 经过加密的二进制文件。

    如何查看证书中有什么

    证书中含有 申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文,同时包含一个签名。如查看百度证书详细信息。

    a) 先下载百度证书
    火狐浏览器访问 https://www.baidu.com/, 点击左上角绿色小锁,点击向右箭头,点击更多信息,点击查看证书,点击详细信息,点击导出。即可导出百度的证书 baiducom.crt

    b) 命令查看证书详细信息

    openssl x509 -noout -text -in baiducom.crt
    

    baiducert

    详细信息中,有一个字段: X509v3 Basic Constraints: CA: FALSE
    该字段指出该证书是否是 CA 证书,还是一般性的非 CA 证书。详细描述见 RFC5280#section-4.2.1.9,同时 RFC5280 也详细描述证书工作方式等。

    2.8 SSL/TLS 和 OpenSSL, mbedTLS 是什么关系

    SSL/TLS 是一种工作原理,OpenSSL 和 mbedTLS 是 SSL/TLS 的具体实现,很类似于 TCP/IP 协议和 socket 之间的关系。

    三: 本地生成 SSL 相关文件

    3.1 证书生成脚本

    我们自己本地使用 makefile.sh 脚本建立一个CA (ca.crt + ca.key),用这个 CA 给 server 和 client 分别颁发证书。

    makefile.sh

    # * Redistributions in binary form must reproduce the above copyright
    #   notice, this list of conditions and the following disclaimer in the
    #   documentation and/or other materials provided with the distribution.
    # * Neither the name of the axTLS project nor the names of its
    #   contributors may be used to endorse or promote products derived
    #   from this software without specific prior written permission.
    #
    # THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
    # "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
    # LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR 
    # A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR
    # CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
    # SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
    # TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
    # DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY 
    # OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
    # NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
    # THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
    #
    
    #
    # Generate the certificates and keys for testing.
    #
    
    
    PROJECT_NAME="TLS Project"
    
    # Generate the openssl configuration files.
    cat > ca_cert.conf << EOF  
    [ req ]
    distinguished_name     = req_distinguished_name
    prompt                 = no
    
    [ req_distinguished_name ]
     O                      = $PROJECT_NAME Dodgy Certificate Authority
    EOF
    
    cat > server_cert.conf << EOF  
    [ req ]
    distinguished_name     = req_distinguished_name
    prompt                 = no
    
    [ req_distinguished_name ]
     O                      = $PROJECT_NAME
     CN                     = 192.168.111.100
    EOF
    
    cat > client_cert.conf << EOF  
    [ req ]
    distinguished_name     = req_distinguished_name
    prompt                 = no
    
    [ req_distinguished_name ]
     O                      = $PROJECT_NAME Device Certificate
     CN                     = 192.168.111.101
    EOF
    
    mkdir ca
    mkdir server
    mkdir client
    mkdir certDER
    
    # private key generation
    openssl genrsa -out ca.key 2048
    openssl genrsa -out server.key 2048
    openssl genrsa -out client.key 2048
    
    # cert requests
    openssl req -out ca.req -key ca.key -new \
                -config ./ca_cert.conf
    openssl req -out server.req -key server.key -new \
                -config ./server_cert.conf 
    openssl req -out client.req -key client.key -new \
                -config ./client_cert.conf 
    
    # generate the actual certs.
    openssl x509 -req -in ca.req -out ca.crt \
                -sha1 -days 5000 -signkey ca.key
    openssl x509 -req -in server.req -out server.crt \
                -sha1 -CAcreateserial -days 5000 \
                -CA ca.crt -CAkey ca.key
    openssl x509 -req -in client.req -out client.crt \
                -sha1 -CAcreateserial -days 5000 \
                -CA ca.crt -CAkey ca.key
     
    openssl x509 -in ca.crt -outform DER -out ca.der
    openssl x509 -in server.crt -outform DER -out server.der
    openssl x509 -in client.crt -outform DER -out client.der
    
    mv ca.crt ca.key ca/
    mv server.crt server.key server/
    mv client.crt client.key client/
    
    mv ca.der server.der client.der certDER/
    
    rm *.conf
    rm *.req
    rm *.srl 
    

    将上述代码保存为 makefile.sh
    做如下修改,终端执行。

    - 修改 CN 域中 IP 地址为你主机/设备的 IP 地址
    - [可选] 加密位数 2048 修改为你需要的加密位数

    将会看到:
    ssldir

    ca目录:保存 ca 的私钥 ca.key 和证书 ca.crt
    certDER目录:将证书保存为二进制文件 ca.der, client.der, server.der
    client目录: client.crt, client.key
    server目录:server.crt, server.key

    3.2 删除脚本

    rmfile.sh

    rm ca/ -rf
    rm certDER/ -rf
    rm client/ -rf
    rm server/ -rf
    

    将上述代码保存为 rmfile.sh, 终端执行,将会删除产生过的目录和文件:

    ./rmfile.sh
    

    3.3 CA 校验证书测试

    我们可在本地使用 CA 证书来分别校验由自己颁发的服务器证书 server.crt 和客户端证书 client.crt

    $openssl verify -CAfile ca/ca.crt server/server.crt
    
    $openssl verify -CAfile ca/ca.crt client/client.crt
    

    verify

    展开全文
  • ssl

    2015-11-16 11:05:58
     最近在看《密码学与网络安全》相关的书籍,这篇文章主要详细介绍一下著名的网络安全协议SSL。  在开始SSl介绍之前,先给大家介绍几个密码学的概念和相关的知识。  1、密码学的相关概念 密码学...
  • SSL

    2009-03-11 16:53:00
    网络越来越广泛,随之而来的网络安全也是越来越受到人们的关注,刚才看到一个很不错的关于SSL的技术贴,偷下来喽 【IIS的SSL配置】IIS服务器如何配置SSL2008-12-31 12:05随着Windows Server 2003操作系统的推出,...
  • SSL证书

    2019-10-29 18:50:40
    SSL证书 SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。 SSL 证书就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有...
  • SSL Library

    2015-04-03 07:34:07
    解决Indy Could not load SSL Library。 1.此处开发针对于64bit平台。 2.提取下载的SSL压缩包内的 libeay32.dll 和 ssleay32.dll 文件,复制到 Application 生成的文件夹根目录。
  • ssl卸载2019-10-31什么是SSL卸载?今天我们将讨论一个经常出现的问题...如何删除ssl证书?有时候我们可能需要一出SSL证书,这里介绍下如何从 Windows、Apple及Mozilla 中删除根证书的操作说明。SSL/TLS协议是一种网...
  • SSL和TLS-SSL Record Protocol

    千次阅读 2018-11-07 15:25:37
    SSL和TLS-SSL Record ProtocolKey ExchangeMessage AuthenticationEncryptionSSL Record Header SSL记录协议用来封装高层协议数据,它把数据分成可管理的片段,叫做fragments,然后单独处理。 每个fragment根据SSL ...
  • ssl证书管理器 SSL证书管理器,用于存储,删除和请求证书。 大在制品 当前只有端点是ssl-cert ( GET , DELETE等)
  • SSL详解

    万次阅读 多人点赞 2018-05-23 15:17:00
    SSL介绍:安全套接字(Secure Socket Layer,SSL)协议是Web浏览器与Web服务器之间安全交换信息的协议,提供两个基本的安全服务:鉴别与保密。SSL是Netscape于1994年开发的,后来成为了世界上最著名的web安全机制,...
  • SSL介绍

    2020-01-15 16:35:10
    SSL介绍 SSL介绍: 安全套接字(Secure Socket Layer,SSL)协议是Web浏览器与Web服务器之间安全交换信息的协议,提供两个基本的安全服务:鉴别与保密。 SSL是Netscape于1994年开发的,后来成为了世界上最著名的...
  • 原标题:SSL的工作原理SSL的工作原理中包含如下三个协议:1、握手协议握手协议是客户端和服务器用于与SSL连接通信的第一个子协议。握手协议包括客户端和服务器之间的一系列消息。 SSL中最复杂的协议是握手协议。该...
  • SSL原理,SSL握手过程

    2019-04-02 18:55:33
    SSL原理 在一个网站部署了SSL证书之后,就相当于为这个网址配置两把密钥,一把叫做公钥,另一把叫做私钥。公钥的作用就是在用户将自己的信息留在这个网站时为这些信息加锁的钥匙,加了锁之后,这些信息就不能被...
  • ssl证书

    2017-03-09 17:59:24
    SSL证书 SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。 SSL 证书就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发...
  • 第一步:修改apache目录下的httpd.conf配置文件1、#LoadModule ssl_module modules/mod_ssl.so删除行首的配置语句注释符号“#”2、Include extra/httpd-ssl.conf 将这行的注释的“#”去掉第二步编辑extra/httpd-ssl....
  • SSL检查 SSL
  • SSL协议介绍 当下互联网可以用千疮百孔来形容,各种的安全事件被爆出,近几年来SSL证书的横空出世,可谓暂时缓解了这一问题,那么很多人会问SSL的协议是什么呢?最近看到一篇介绍SSL协议很好的文章,分享给大家:在...
  •  最近在看《密码学与网络安全》相关的书籍,这篇文章主要详细介绍一下著名的网络安全协议SSL。  在开始SSl介绍之前,先给大家介绍几个密码学的概念和相关的知识。  1、密码学的相关概念 密码学...
  • 配置 SSL

    千次阅读 2012-03-15 10:29:54
    配置 SSL 配置 SSL 是一个可选步骤;但是,BEA 建议在生产环境中使用 SSL。以下部分描述如何配置 WebLogic Server 的 SSL。 注意: 以下部分适用于使用本 WebLogic Server 版本中的安全功能的 WebLogic ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 130,811
精华内容 52,324
关键字:

如何删除ssl