⑴ centos6.8 curl 證書在什麼路徑
安裝PPP和IPTABLES服務,iptables一般情況默認都是系統裝好後就已經有了,安裝iptables是為了做NAT,讓PPTP客戶端能夠通專過PPTP伺服器上外網。屬
安裝PPTP
配置pptp
開啟ip轉發
配置iptables轉發
啟動服務,到此配置已經完畢
⑵ centos 7 Nginx ssl證書配置
由於ssl握手時還來沒有自進到http那一層,所以沒有域名信息
支持SNI的客戶端可以在握手時將域名信息發給伺服器,這樣伺服器才會返回正確的證書
這個可以通過將多個域名放到一張證書上解決
現在的瀏覽器基本都支持SNI,只有老版本ie或者某些非瀏覽器的客戶端不支持
使用nginx -V看下是否支持TLS SNI,開啟的話就是客戶端不支持了
⑶ Linux CentOS 怎麼使用openssl 向windows server CA證書伺服器申請web證書。求詳細過程。
1、.key和.cer可以合並成pfx或p12文件
2、例如
openssl pkcs12 -export -clcerts -in a.cer -inkey a.key -out a.p12
⑷ 證書風險怎麼解決 centos
把SSL證書替換為受信任的頒發機構頒發的證書, 一般要購買, 也有一些功能簡單的免費證書如Let's Encrypt, 用證書包含的合法域名進行https訪問就正常了.
⑸ centos中tomcat的ssl證書怎麼配置
步驟:
假設我們tomcat的路徑為/opt/tomcat,在此目錄下新建ssl目錄用於存放證書:
cd /opt/tomcat/ssl
一、首先,我們需要生成SSL證書,用到keytool工具,關鍵有三步:
①生成keystone,用以下命令
#keytool -genkey -alias ssologin -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3650
註:changeit是jdk中證書默認的密碼
②從keysotre中導出別名為tomcat-cas-server的證書,生成server.crt文件
#keytool -export -trustcacerts -alias ssologin -file server.crt -keystore server.keystore -storepass changeit
③將server.crt導入到jre的可信任證書倉庫
#keytool -import -trustcacerts -alias ssologin -file server.crt -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
注意:如果是windows主機,使用%JAVA_HOME%,如果是linux就使用$JAVA_HOME
二、配置好證書之後,我們需要配置tomcat支持SSL
修改conf/server.xml文件,其中SSL部分如下,其它不用動:
<Connector port="443" protocol="HTTP/1.1"
connectionTimeout="5000" URIEncoding="UTF-8"
scheme="https" secure="true" SSLEnabled="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/opt/tomcat/ssl/server.keystore"
keystorePass="changeit"/>
修改後之後,重啟tomcat即可生效
再正式訪問之前,記得把防火牆的443埠打開,centos的iptables配置如下:
#vi /etc/sysconfig/iptables
添加以下配置:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
配置完之後記得重啟iptables:
#service iptables restart
iptables重啟之後,你就可以通過瀏覽器訪問了https://your.domain.com
三、tomcat作為SSL的客戶端
如果我們的應用作為客戶端需要與開啟SSL的伺服器進行通信,那我們必須將伺服器證書安裝在jre的可信列表中.
具體步驟是:將上述第一步中的第②小步生成的server.crt分發給需要使用的客戶端,然後在客戶端用keytool工具導入到jre的可信列表,如下命令:
#keytool -import -trustcacerts -alias ssologin -file server.crt -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
注意:我這里的機器是windows機器,所以使用%JAVA_HOME%,其實這個導入過程和一.③是一樣的
四、其它可能會用到的證書相關命令
①列出系統倉庫中存在的證書名稱:
#keytool -list -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
如本文中添加的證書,會找到這么一行
ssologin, 2014-9-4, trustedCertEntry,
認證指紋 (MD5): 12:3B:02:6F:78:6E:A6:D3:AB:96:CA:63:7D:7B:55:04
②消除系統中存在的名為ssologin的證書
#keytool -delete -alias ssologin -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
#keytool -delete -alias ssologin -storepass changeit
⑹ 如何在nginx上為CentOS 6創建SSL證書
SSL證書可以直接淘寶Gworg獲取.
CentOS 6 配置 Nginx 80自動跳轉至443埠(http協議自動跳轉至https協議)
https://www.gworg.com/ssl/269.html
⑺ Linux Centos 怎麼安裝更新根證書實現支持https訪問
其實很簡單就是一個命令:
mozroots --import --ask-remove
或者使用:
sudo update-ca-certificates
Linux Centos 怎麼安裝更新根證專書實現屬支持https訪問
⑻ centos ssl證書放在哪
SSL證書需要你去淘一個正規的。
目錄位置:/alidata/server/nginx-1.4.4/conf/vhosts
CentOS 配置範例:https://www.gworg.com/ssl/298.html
⑼ ssh centos 證書 為什麼還讓輸密碼
單向登陸的操作過程(能滿足上邊的目的):
1、登錄A機器
2、ssh-keygen -t [rsa|dsa],將會生成密鑰文件和私鑰文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
3、將 .pub 文件復制到B機器的 .ssh 目錄, 並 cat id_dsa.pub >> ~/.ssh/authorized_keys
4、大功告成,從A機器登錄B機器的目標賬戶,不再需要密碼了;(直接運行 #ssh 192.168.20.60
)
雙向登陸的操作過程:
1、ssh-keygen做密碼驗證可以使在向對方機器上ssh ,scp不用使用密碼.具體方法如下:
2、兩個節點都執行操作:#ssh-keygen -t rsa
然後全部回車,採用默認值.
3、這樣生成了一對密鑰,存放在用戶目錄的~/.ssh下。
將公鑰考到對方機器的用戶目錄下
,並將其復制到~/.ssh/authorized_keys中(操作命令:#cat id_dsa.pub >> ~/.ssh/authorized_keys
)。
4、設置文件和目錄許可權:
設置authorized_keys許可權
$ chmod 600 authorized_keys
設置.ssh目錄許可權
$ chmod 700 -R .ssh
5、要保證.ssh和authorized_keys都只有用戶自己有寫許可權。否則驗證無效。
以上內容來自,http://blog.csdn.net/kongqz/article/details/6338690
⑽ 如何在CentOS 7上為Nginx創建自簽名的SSL證書
1. 生成自簽名的證書
通常要配置 https 的伺服器,都需要一個由正式的 CA 機構認證的 X509 證書。當客戶端連接 https 伺服器時,會通過 CA 的共鑰來檢查這個證書的正確性。但要獲得 CA 的證書是一件很麻煩的事情,而且還要花費一定的費用。因此通常一些小的機構會是使用自簽名的證書。也就是自己做 CA,給自己的伺服器證書簽名。
這個過程有兩個主要的步驟,首先是生成自己的 CA 證書,然後再生成各個伺服器的證書並為它們簽名。 我是用 OpenSSL 來生成自簽名證書的。
第一步是製作 CA 的證書:
openssl genrsa -des3 -out my-ca.key 2048
openssl req -new -x509 -days 3650 -key my-ca.key -out my-ca.crt
這會生成 my-ca.key 和 my-ca.crt 文件,前者存放著使用 my-ca.crt 製作簽名時必須的密鑰,應當妥善保管。而後者是可以公開的。上面的命令為 my-ca.key 設定的有效期為 10 年。
用命令
openssl x509 -in my-ca.crt -text -noout
可以查看 my-ca.crt 文件的內容。
有了 CA 證書之後,就可以為自己的伺服器生成證書了:
openssl genrsa -des3 -out mars-server.key 1024
openssl req -new -key mars-server.key -out mars-server.csr
openssl x509 -req -in mars-server.csr -out mars-server.crt -sha1 -CA my-ca.crt -CAkey my-ca.key -CAcreateserial -days 3650
前兩個命令會生成 key、csr 文件,最後一個命令則通過 my-ca.crt 為 mars-server.csr 製作了 x509 的簽名證書。
需要注意的是,在執行上述第二個命令時,Common Name 選項應當輸入的是伺服器的域名,否則在用戶通過 https 協議訪問時每次都會有額外的提示信息。
用命令
openssl x509 -in mars-server.crt -text -noout
可以查看 mars-server.crt 文件的內容。
2. 配置 Apache 伺服器
首先,創建 /etc/apache2/ssl 目錄,將剛剛製作的 my-ca.crt、mars-server.key 和 mars-server.crt 文件拷貝到這個目錄中。
接著執行命令
a2emod ssl
激活 Apache 的 SSL 模塊,然後在 /etc/apache2/sites-enable/ 中添加虛擬主機,這個過程與添加普通的虛擬主機類似,不同點在於該主機的埠應為 443。配置如下:
NameVirtualHost *:443
<VirtualHost *:443>
ServerName localhost
DocumentRoot /var/www
SSLEngine On
SSLCipherSuite HIGH:MEDIUM
SSLProtocol all -SSLv2
SSLCertificateFile /etc/apache2/ssl/mars-server.crt
SSLCertificateKeyFile /etc/apache2/ssl/mars-server.key
SSLCACertificateFile /etc/apache2/ssl/my-ca.crt
<Directory /var/www>
Order deny,allow
Allow from localhost
</Directory>
</VirtualHost>
<VirtualHost *:80>
ServerName localhost
DocumentRoot /var/www
<Directory /var/www> Order deny,allow
Allow from localhost
</Directory>
</VirtualHost>
以上配置保證了用戶在訪問 443 和 80 埠時可以看到相同的內容,而僅僅是使用的協議不同。修改好配置後,便可以重啟 Apache 伺服器,這時需要輸入 mars-server.key 的密碼。用瀏覽器訪問
https://localhost/
這時應當看到一個彈出對話框,讓你確認是否信任該站點的證書,選擇信任後,便可以查看該站點的內容了。
由於大多數 Apache 伺服器都是在伺服器啟動時自動啟動,為了避免在啟動 Apache 時輸入密碼,可以用以下命令生成不加密的 mars-server.key 文件:
openssl rsa -in mars-server.key -out mars-server.key.insecure
用新生成的 mars-server.key.insecure 代替原有的 key 文件即可。