- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈程序员必看
openssl生成cer证书_tls证书生成
client.csr 生成客户证书(使用CA证书签名) openssl ca -in client.csr -out client.crt 证书转换成浏览器认识的格式 openssl pkcs12 -export 如果使用无CA证书的单向认证,证书和私钥就是server.key, server.crt。 当系统自带一个openssl时,再安装一个oppenssl,当我们生成证书的时候,会出现一些问题: Using configuration from /etc/pki/tls/openssl.cnf Enter newcerts: No such file or directory 系统本身带了一个openssl,此ca脚本直接调用该/usr/bin/openssl ,而该openssl所用的配置文件是 /etc/pki/tls /local/openssl/bin/openssl x509″ 就是将原来的$OPENSSL的换成了/usr/local/openssl/bin/openssl 第二步 同时修改 /etc/pki/tls
3.4K20编辑于 2022-11-04 - 来自专栏运维一切
kubelet的tls证书理解记录
validate certificate for x.x.x.x because it doesn't contain any IP SANs 现象就是apiserver上发给kueblet一个请求,tls 握手和认证失败 如此,你可能需要自己生成一对证书私钥来显式指定kubelet的tsl参数 #kubelet-csr.json { "CN": "system:node:x.x.x.x", "hosts
1.5K20发布于 2019-06-15 - 来自专栏运维专栏
Kubernetes traefik tls证书到期替换
这里就直接创建一下tls secret 了 在腾讯云平台ssl管理页面https://console.cloud.tencent.com/ssl [image.png] 找到相关证书并点击下载将证书下载到本地 kubectl create secret tls all-xxx-com --key=2_xxx.com.key --cert=1_xxx.com_bundle.crt -n master traefik 中应用使用证书可以参照:traefik2 安装实现 http https,2019-12-27-traefik.下面进入正题切换修改到期证书... 通过--dry-run参数预览,然后apply kubectl create secret tls all-xxx-com --key=2_xxx.com.key --cert=1_xxx.com_bundle.crt 中内容替换 base64 2_xxx.com.key得到的内容将secret中的tls.key的内容替换 4.
5.7K11发布于 2021-06-21 - 来自专栏k8s技术圈
自动管理 Admission Webhook TLS 证书
但是,APIServer 仅通过 HTTPS 与 Webhook 服务进行通信,并且需要 TLS 证书的 CA 信息。 前面我们是通过 openssl(cfssl)来手动生成的相关证书,然后手动配置给 Webhook 服务的,除此之外,我们也可以使用 cert-manager 来处理这些 TLS 证书和 CA。 仅安装 cert-manager 来处理准入 webhook TLS 证书和 CA 不是一个很好的做法。 NotBefore: time.Now(), NotAfter: time.Now().AddDate(1, 0, 0), SubjectKeyId: []byte{1, 2, TLS 配置的证书和密钥,并启动 HTTP Webhook 服务器。
2.6K20发布于 2021-02-01 获得具有商业签名的TLS证书
[lh8tz7d1oy.jpg] 如果您打算托管一个可公开访问的使用HTTPS的网站,那么您将需要安装一个具有商业签名的TLS证书,这样访问您网站的人就不会在浏览器中收到有关不安全连接的警告。 如果您需要域验证证书或扩展验证证书,则必须创建提交给如Thawte或Verisign这样的证书颁发机构(CA)的证书签名请求(CSR)。这也是本指南所关注的获取具有签名的TLS证书的方法。 如果您打算在网站上使用您的SSL证书,请在实现本指南中的过程后,参考我们另一篇文章指南在NGINX上启用针对HTTPS连接的TLS。 -sha256:使用265位SHA(安全散列算法)生成证书请求。 -days:确定证书的允许验证时间长度(以天为单位)。对于商业证书,此值不应高于730(2年)。 -nodes:创建不需要密码的证书。 1 Comodo LLC COMODORSA DomainValidation SecureServerCA 中级证书2 COMODORSA DomainValidation SecureServerCA
1.9K30发布于 2018-09-05- 来自专栏小千世界
Kubebuilder Webhook 开发之创建 TLS 证书
在编写一个准入 Webhook 服务时,需要配置相关证书,k8s 提供了 api 用于对用户自主创建的证书进行认证签发。以下部分演示为 Webhook 服务创建 TLS 证书。 创建 TLS 证书创建你的证书通过运行以下命令生成私钥:cat <<EOF | cfssl genkey - | cfssljson -bare server{ "hosts": [ "my-svc.my-namespace.svc.cluster.local 例如 kubebuilder 中使用 TLS 证书,将 server.crt 和 server-key.pem 放在 cert 目录中并修改名称为 tls.crt 和 tls.key,然后指定证书目录: docs/reference/access-authn-authz/certificate-signing-requests/https://kubernetes.io/zh-cn/docs/tasks/tls /managing-tls-in-a-cluster/#configuring-your-cluster-to-provide-signinghttps://kubernetes.io/zh-cn/docs
2.4K53编辑于 2022-08-16 - 来自专栏网络技术联盟站
如何使用 Checkmk 监控 SSL TLS 证书?
因此,任何 Web 服务器管理员的一项重要任务是管理 SSL/TLS 证书并在它们过期之前对其进行更新。 在本教程中,我想向您展示如何使用来自tribe29的监控工具 Checkmk 来监控您的 SSL/TLS 证书,Checkmk 会密切关注您的证书,并让您知道何时应该更换它们,使用监控工具比仅使用 Excel 第 2 步:将 HTTPS 检查添加到您的主机 现在您将使用“check_http”扫描您网站的 SSL/TLS 证书。 再次单击设置,然后在搜索栏中搜索“http”。 [202203171319192.png] 下一步:超越 SSL/TLS 的 Web 服务器监控 本教程向您展示了如何使用 Checkmk 通过使用主动检查来监控 SSL/TLS 证书。 虽然检查您的 SSL/TLS 证书是任何 Web 服务器监控的重要组成部分,但除了本教程之外,还有很多其他内容。如果您想对 Web 服务器和您的网站进行全面监控,您也可以使用 Checkmk 来实现。
2.7K10编辑于 2022-03-18 - 来自专栏.Net Core 技术栈
DotNet SSL TLS证书问题分析排障
问题说明 前几天运维同事反馈开发同事代码在Windows 2008 R2 Datacenter服务器上跑会出现无法正常建立SSL/TLS连接的情况,在自己的电脑上跑是OK的,代码也没有变动过。 问题说明 前几天运维同事反馈开发同事代码在Windows 2008 R2 Datacenter服务器上跑会出现无法正常建立SSL/TLS连接的情况,在自己的电脑上跑是OK的,代码也没有变动过。 下载工具IIS Crypto,然后查看当前服务器的加密套件: 我们会发现在这里面并没有证书支持的加密套件,于是我手动添加了证书所支持的加密套件,重启服务器。 我们可以通过这个工具的Site Scanner,输入对应URL,然后Scan,这时候会打开ssllabs,进行网站证书检测,我们可以拉到最后面,有一个Cipher Suites就可以看到对应的TLS 1.2 下载工具IIS Crypto,然后查看当前服务器的加密套件: 我们会发现在这里面并没有证书支持的加密套件,于是我手动添加了证书所支持的加密套件,重启服务器。
2.1K20编辑于 2022-04-07 - 来自专栏程序员同行者
02-创建 TLS CA证书及密钥
创建 TLS CA证书及密钥 kubernetes 系统的各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate Authority profile; signing:表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE; server auth:表示client可以用该 CA 对server提供的证书进行验证 Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 Basic Constraints: critical kubernetes/ssl 参考 Generate self-signed certificates Setting up a Certificate Authority and Creating TLS
1.7K30发布于 2018-07-03 - 来自专栏云原生实验室
Tailscale 的 TLS 证书过期,网站挂了 90 分钟!
❝尽管 Tailscale 因 TLS 证书过期导致了90分钟的服务中断,但这恰恰凸显了它的一大优势——多数用户几乎没有受到影响。 3月7日,基于 WireGuard 的知名 VPN 厂商 Tailscale 的官方网站 tailscale.com 因 TLS 证书过期而中断服务约90分钟。 smackeyacky 感慨道:“我说过一次,现在我要再说一次:证书过期已然成为新时代服务中断的头号杀手。” 由于代理服务器终止了 TLS 连接,加上 DNS 配置的疏忽,监控系统没能及时发现证书已经过期的警告。bradfitz 坦言,这次事故暴露出团队在变更管理和风险评估方面还有很大的提升空间。 同时,为了防患于未然,还要像 “古人” 那样设置每月提醒,专人盯防,避免证书过期时 “完犊子”。
86910编辑于 2024-04-02 - 来自专栏容器与 Kubernetes 游记
Golang(十一)TLS 相关知识(二)OpenSSL 生成证书
前言 接前一篇文章,上篇文章我们介绍了数字签名、数字证书等基本概念和原理 本篇我们尝试自己生成证书 参考文献:TLS完全指南(二):OpenSSL操作指南 1. OpenSSL 简介 OpenSSL 是一个开源项目,其组成主要包括三个组件: openssl:多用途的命令行工具 libcrypto:加密算法库 libssl:加密模块应用库,实现了ssl及tls -mdc2 -md4 使用根 CA 证书 ca.crt 和私钥 ca.key 对“请求签发证书” server.csr 进行签发,生成 x509 格式证书:openssl { // log.Fatal("ListenAndServe: ", e) //} } 客户端代码如下: package main import ( "crypto/tls 小结 本篇内容介绍了 OpenSSL 基本使用和生成数字证书的方式以及验证证书的程序编写 欢迎各位批评指正 4. 参考文献 openssl的介绍和使用 TLS完全指南(二):OpenSSL操作指南
2.8K10编辑于 2022-11-23 - 来自专栏木二天空
附008.Kubernetes TLS证书介绍及创建
一 Kubernetes证书 1.1 TLS Kubernetes系统的各个组件需要使用TLS证书对其通信加密以及授权认证,建议在部署之前先生成相关的TLS证书。 1.2 CA证书创建方式 kubernetes 系统各个组件需要使用TLS证书对通信进行加密,通常可通过以下工具生产自建证书: openssl cfssl easyrsa 1.3 Kubernetes组件证书 部署kubernetes组件建议使用TLS双向认证的,相关组件涉及的主要证书有: etcd证书:etcd集群之间通信加密使用的TLS证书。 二 openssl生成证书 2.1 openssl创建证书 1 [root@master ~]# MASTER_IP=172.24.8.71 #定义MASTER_IP 2 [root@master 四 easyrsa生成证书 4.1 easyrsa创建证书 1 [root@master ~]# mkdir cert 2 [root@master ~]# curl -LO https://storage.googleapis.com
1.7K20发布于 2019-07-08 - 来自专栏OpenIM
TLS协议分析 (五) handshake协议 证书与密钥交换
(这在TLS1.2和TLS1.1中是不一样的,TLS1.1要求所有的算法都相同。)注意这也意味着DH_DSS,DH_RSA,ECDH_ECDSA,和ECDH_RSA 密钥交换不限制签署证书的算法。 由于TLS没有给这些算法定义对应的签名算法,这些证书不能在TLS中使用。 如果一个CipherSuite指定了新的TLS密钥交换算法,也会指定证书格式和要求的密钥编码方法。 struct { opaque point <1..2^8-1>; } ECPoint; enum { explicit_prime (1), explicit_char2 (2), 只要TLS 服务器暴露一条特定的消息是否符合PKCS1-V1.5格式,或暴露PreMasterSecret解密后结构是否合法,或版本号是否合法,就可以用上面2种方法攻击。 在任何情况下,一个 TLS 服务器绝对不能在:1. 处理 RSA 加密的 premaster 消息失败, 2.或者版本号检查失败 时产生alert消息。
2.3K20发布于 2021-09-07 - 来自专栏FreeBuf
为对抗制裁,俄罗斯决定自建TLS根证书
因此,俄罗斯决定自己创建受信任的TLS 证书颁发机构 (CA),防止出现因证书在暂停续订而无法访问相关网站的局面。 TLS证书的主要功能是服务器认证和数据加密传输,广泛应用于网站、微信小程序、移动端等,其工作原理如下图所示: 俄罗斯设立证书颁发机构 目前,俄罗斯政府已经决定自己创建一个证书颁发机构,提供独立颁发和更新 TLS 证书的解决方案。 △ 俄罗斯可信根 CA 证书 然而,这也给安全埋下了隐患,俄罗斯可能滥用其 CA 根证书 来执行HTTPS 流量拦截和中间人攻击,并最终导致根证书被添加到证书撤销列表 (CRL) 中。 参考来源 https://www.bleepingcomputer.com/news/security/russia-creates-its-own-tls-certificate-authority-to-bypass-sanctions
85910编辑于 2022-04-11 - 来自专栏Owen's World
TLS 以及自动更新证书: Lets encrypt + acme.sh
TLS 以及自动更新证书: Let's encrypt + acme.sh github.com/acmesh-offi… 说明 EditNew Page Mr. acme.sh 安装到你的 home 目录下: ~/.acme.sh/ 并创建 一个 bash 的 alias, 方便你的使用: alias acme.sh=~/.acme.sh/acme.sh 2) 更高级的安装选项请参考: github.com/Neilpang/ac… 安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中: ~/.acme.sh/ 2. 80 端口, 完成验证: acme.sh --issue -d mydomain.com --standalone 复制代码 更高级的用法请参考: github.com/Neilpang/ac… 2. 直接生成就好了: acme.sh --issue -d mydomain2.com --dns dns_dp 复制代码 更详细的 api 用法: github.com/Neilpang/ac
2.1K10编辑于 2021-12-08 - 来自专栏白帽技术与网络安全
安全资讯|证书颁发机构Let’s Encrypt将要撤销超过300万个TLS证书
由于用于在颁发证书之前验证用户及其域的软件中的漏洞,Let’s Encrypt certificate authority (CA)今天将吊销300万个证书。 Let's Encrypt的证书颁发机构(CA)软件中的一个错误,称为Boulder,导致对某些证书的正确验证。 该Bug影响了Boulder实施CAA(证书颁发机构授权)规范的方式。 CAA安全功能允许域所有者阻止证书颁发机构(CA)为其域颁发证书。 域所有者可以将CAA字段添加到其域的DNS记录中,这意味着只有包含在该字段中的CA可以为该域颁发TLS证书。 在为某个域颁发证书之前,每个证书颁发机构最多必须在8小时内检查证书颁发机构的记录,但是该错误导致多域证书上的域被检查多次,而不是证书上的所有域被同时检查。 Let's Encrypt发行的CAA记录,” Let’s Encrypt撤销了3048,289个证书,约1.16亿个证书(2.6%)处于活动状态。
69010编辑于 2022-06-02 - 来自专栏算法之名
k8s集群部署二(自签TLS证书) 顶
k8s的集群部署,不一定要使用证书,证书的作用是为了加密传输。所使用的加密方式是非对称加密RSA2048。 总共有3个证书工具: 首先在任意文件夹下建一个目录,比如ssl,下载这3个工具 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https: INFO] signed certificate with serial number 522234478678554843943438612699648327400263717044 生成我们需要的两个证书 此时可以看到生成了一个server-csr.json 生成证书 # cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json 此时生成了kube-proxy-key.pem和kube-proxy.pem 现在所有的证书就生成完了。
97010发布于 2019-08-20 - 来自专栏程序那些事
netty系列之:让TLS支持http2
简介 我们知道虽然HTTP2协议并不强制使用HTTPS,但是对大多数浏览器来说,如果要使用HTTP2的话,则必须使用HTTPS,所以我们需要了解如何在netty的TLS中支持http2。 TLS的扩展协议NPN和ALPN HTTP2协议是从spdy协议发展而来的,无论是spdy还是http2都为了能在HTTPS的环境下工作,发展出来了TLS协议的扩展。 他们规定了在TLS协议握手之后,客户端和服务器端进行应用数据通信的协议。 protocol是TLS的扩展协议,像ALPN或者NPN等。 NO_ADVERTISE: 如果选择应用程序协议的节点没有找到匹配项,它将通过在握手中假装不支持 TLS 扩展。
97310发布于 2021-10-20 - 来自专栏全栈程序员必看
centos76.9 docker-ce-171.7.1使用证书登陆(openssl tls)
生成证书 ca key openssl genrsa -aes256 -out ca-key.pem 4096 ca openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem server key openssl genrsa -out server-key.pem 4096 生成server 证书 openssl req -subj server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf 生成client证书 tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H=0.0.0.0:2376 修改配置,使用证书 归集服务器证书 cp server-*.pem /etc/docker/ cp ca.pem /etc/docker/ 归集客户端证书 cp -v {ca,cert,key}.pem ~/.docker
42210发布于 2021-05-19 - 来自专栏全栈工程师修炼之路
SSL与TLS协议原理与证书签名多种生成方式实践指南
[TOC] 原文地址: SSL与TLS协议原理与证书签名多种生成方式实践指南 (https://mp.weixin.qq.com/s/g-X8UPNwIkuR_Qd2MDvVQw) 0x00 前言简述 (2) 生成CA证书并签发子证书 步骤 01.生成CA根证书,首先我们需要准备一个CA配置文件. 2.不同浏览器对自签名SSL证书的检查和限制也有所区别。 --key tls.key --cert tls.crt secret "tls-secret" created Note: If using CA Authentication, described CFSSL 包含一个命令行工具和一个用于签名、验证并且捆绑TLS证书的HTTP API 服务, 使用Go语言编写。
2.3K30编辑于 2022-09-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号