⑴ centos6.8 curl 证书在什么路径
安装PPP和IPTABLES服务,iptables一般情况默认都是系统装好后就已经有了,安装iptables是为了做NAT,让PPTP客户端能够通专过PPTP服务器上外网。属
安装PPTP
配置pptp
开启ip转发
配置iptables转发
启动服务,到此配置已经完毕
⑵ centos 7 Nginx ssl证书配置
由于ssl握手时还来没有自进到http那一层,所以没有域名信息
支持SNI的客户端可以在握手时将域名信息发给服务器,这样服务器才会返回正确的证书
这个可以通过将多个域名放到一张证书上解决
现在的浏览器基本都支持SNI,只有老版本ie或者某些非浏览器的客户端不支持
使用nginx -V看下是否支持TLS SNI,开启的话就是客户端不支持了
⑶ Linux CentOS 怎么使用openssl 向windows server CA证书服务器申请web证书。求详细过程。
1、.key和.cer可以合并成pfx或p12文件
2、例如
openssl pkcs12 -export -clcerts -in a.cer -inkey a.key -out a.p12
⑷ 证书风险怎么解决 centos
把SSL证书替换为受信任的颁发机构颁发的证书, 一般要购买, 也有一些功能简单的免费证书如Let's Encrypt, 用证书包含的合法域名进行https访问就正常了.
⑸ centos中tomcat的ssl证书怎么配置
步骤:
假设我们tomcat的路径为/opt/tomcat,在此目录下新建ssl目录用于存放证书:
cd /opt/tomcat/ssl
一、首先,我们需要生成SSL证书,用到keytool工具,关键有三步:
①生成keystone,用以下命令
#keytool -genkey -alias ssologin -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3650
注:changeit是jdk中证书默认的密码
②从keysotre中导出别名为tomcat-cas-server的证书,生成server.crt文件
#keytool -export -trustcacerts -alias ssologin -file server.crt -keystore server.keystore -storepass changeit
③将server.crt导入到jre的可信任证书仓库
#keytool -import -trustcacerts -alias ssologin -file server.crt -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
注意:如果是windows主机,使用%JAVA_HOME%,如果是linux就使用$JAVA_HOME
二、配置好证书之后,我们需要配置tomcat支持SSL
修改conf/server.xml文件,其中SSL部分如下,其它不用动:
<Connector port="443" protocol="HTTP/1.1"
connectionTimeout="5000" URIEncoding="UTF-8"
scheme="https" secure="true" SSLEnabled="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/opt/tomcat/ssl/server.keystore"
keystorePass="changeit"/>
修改后之后,重启tomcat即可生效
再正式访问之前,记得把防火墙的443端口打开,centos的iptables配置如下:
#vi /etc/sysconfig/iptables
添加以下配置:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
配置完之后记得重启iptables:
#service iptables restart
iptables重启之后,你就可以通过浏览器访问了https://your.domain.com
三、tomcat作为SSL的客户端
如果我们的应用作为客户端需要与开启SSL的服务器进行通信,那我们必须将服务器证书安装在jre的可信列表中.
具体步骤是:将上述第一步中的第②小步生成的server.crt分发给需要使用的客户端,然后在客户端用keytool工具导入到jre的可信列表,如下命令:
#keytool -import -trustcacerts -alias ssologin -file server.crt -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
注意:我这里的机器是windows机器,所以使用%JAVA_HOME%,其实这个导入过程和一.③是一样的
四、其它可能会用到的证书相关命令
①列出系统仓库中存在的证书名称:
#keytool -list -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
如本文中添加的证书,会找到这么一行
ssologin, 2014-9-4, trustedCertEntry,
认证指纹 (MD5): 12:3B:02:6F:78:6E:A6:D3:AB:96:CA:63:7D:7B:55:04
②消除系统中存在的名为ssologin的证书
#keytool -delete -alias ssologin -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
#keytool -delete -alias ssologin -storepass changeit
⑹ 如何在nginx上为CentOS 6创建SSL证书
SSL证书可以直接淘宝Gworg获取.
CentOS 6 配置 Nginx 80自动跳转至443端口(http协议自动跳转至https协议)
https://www.gworg.com/ssl/269.html
⑺ Linux Centos 怎么安装更新根证书实现支持https访问
其实很简单就是一个命令:
mozroots --import --ask-remove
或者使用:
sudo update-ca-certificates
Linux Centos 怎么安装更新根证专书实现属支持https访问
⑻ centos ssl证书放在哪
SSL证书需要你去淘一个正规的。
目录位置:/alidata/server/nginx-1.4.4/conf/vhosts
CentOS 配置范例:https://www.gworg.com/ssl/298.html
⑼ ssh centos 证书 为什么还让输密码
单向登陆的操作过程(能满足上边的目的):
1、登录A机器
2、ssh-keygen -t [rsa|dsa],将会生成密钥文件和私钥文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
3、将 .pub 文件复制到B机器的 .ssh 目录, 并 cat id_dsa.pub >> ~/.ssh/authorized_keys
4、大功告成,从A机器登录B机器的目标账户,不再需要密码了;(直接运行 #ssh 192.168.20.60
)
双向登陆的操作过程:
1、ssh-keygen做密码验证可以使在向对方机器上ssh ,scp不用使用密码.具体方法如下:
2、两个节点都执行操作:#ssh-keygen -t rsa
然后全部回车,采用默认值.
3、这样生成了一对密钥,存放在用户目录的~/.ssh下。
将公钥考到对方机器的用户目录下
,并将其复制到~/.ssh/authorized_keys中(操作命令:#cat id_dsa.pub >> ~/.ssh/authorized_keys
)。
4、设置文件和目录权限:
设置authorized_keys权限
$ chmod 600 authorized_keys
设置.ssh目录权限
$ chmod 700 -R .ssh
5、要保证.ssh和authorized_keys都只有用户自己有写权限。否则验证无效。
以上内容来自,http://blog.csdn.net/kongqz/article/details/6338690
⑽ 如何在CentOS 7上为Nginx创建自签名的SSL证书
1. 生成自签名的证书
通常要配置 https 的服务器,都需要一个由正式的 CA 机构认证的 X509 证书。当客户端连接 https 服务器时,会通过 CA 的共钥来检查这个证书的正确性。但要获得 CA 的证书是一件很麻烦的事情,而且还要花费一定的费用。因此通常一些小的机构会是使用自签名的证书。也就是自己做 CA,给自己的服务器证书签名。
这个过程有两个主要的步骤,首先是生成自己的 CA 证书,然后再生成各个服务器的证书并为它们签名。 我是用 OpenSSL 来生成自签名证书的。
第一步是制作 CA 的证书:
openssl genrsa -des3 -out my-ca.key 2048
openssl req -new -x509 -days 3650 -key my-ca.key -out my-ca.crt
这会生成 my-ca.key 和 my-ca.crt 文件,前者存放着使用 my-ca.crt 制作签名时必须的密钥,应当妥善保管。而后者是可以公开的。上面的命令为 my-ca.key 设定的有效期为 10 年。
用命令
openssl x509 -in my-ca.crt -text -noout
可以查看 my-ca.crt 文件的内容。
有了 CA 证书之后,就可以为自己的服务器生成证书了:
openssl genrsa -des3 -out mars-server.key 1024
openssl req -new -key mars-server.key -out mars-server.csr
openssl x509 -req -in mars-server.csr -out mars-server.crt -sha1 -CA my-ca.crt -CAkey my-ca.key -CAcreateserial -days 3650
前两个命令会生成 key、csr 文件,最后一个命令则通过 my-ca.crt 为 mars-server.csr 制作了 x509 的签名证书。
需要注意的是,在执行上述第二个命令时,Common Name 选项应当输入的是服务器的域名,否则在用户通过 https 协议访问时每次都会有额外的提示信息。
用命令
openssl x509 -in mars-server.crt -text -noout
可以查看 mars-server.crt 文件的内容。
2. 配置 Apache 服务器
首先,创建 /etc/apache2/ssl 目录,将刚刚制作的 my-ca.crt、mars-server.key 和 mars-server.crt 文件拷贝到这个目录中。
接着执行命令
a2emod ssl
激活 Apache 的 SSL 模块,然后在 /etc/apache2/sites-enable/ 中添加虚拟主机,这个过程与添加普通的虚拟主机类似,不同点在于该主机的端口应为 443。配置如下:
NameVirtualHost *:443
<VirtualHost *:443>
ServerName localhost
DocumentRoot /var/www
SSLEngine On
SSLCipherSuite HIGH:MEDIUM
SSLProtocol all -SSLv2
SSLCertificateFile /etc/apache2/ssl/mars-server.crt
SSLCertificateKeyFile /etc/apache2/ssl/mars-server.key
SSLCACertificateFile /etc/apache2/ssl/my-ca.crt
<Directory /var/www>
Order deny,allow
Allow from localhost
</Directory>
</VirtualHost>
<VirtualHost *:80>
ServerName localhost
DocumentRoot /var/www
<Directory /var/www> Order deny,allow
Allow from localhost
</Directory>
</VirtualHost>
以上配置保证了用户在访问 443 和 80 端口时可以看到相同的内容,而仅仅是使用的协议不同。修改好配置后,便可以重启 Apache 服务器,这时需要输入 mars-server.key 的密码。用浏览器访问
https://localhost/
这时应当看到一个弹出对话框,让你确认是否信任该站点的证书,选择信任后,便可以查看该站点的内容了。
由于大多数 Apache 服务器都是在服务器启动时自动启动,为了避免在启动 Apache 时输入密码,可以用以下命令生成不加密的 mars-server.key 文件:
openssl rsa -in mars-server.key -out mars-server.key.insecure
用新生成的 mars-server.key.insecure 代替原有的 key 文件即可。