progalsslrnd怎么使用

来源:蜘蛛抓取(WebSpider) 时间:2020-10-02 01:06 标签: gal平板

我搭建了一个gitlab平时自己开发的┅些小项目,会放到这上面 想走https访问gitlab,这样安全一点因为只有自己用,所以就没有必要去专门买个SSL证书而是使用自签名的证书。配置步骤记录如下:

  1. 准备一个配置文件openssl_ca.conf内容如下,req_distinguished_name中各个字段的取值根据实际情况进行修改这个文件并不是必须的,如果没有这个文件后一个步骤命令中不要带上-config openssl_ca.conf参数就行,那样命令执行时会提示让你输入一些组织信息

  2. 或者可以把生成ca.keyca.crt的步骤用一条命令搞定:

  3. Name),取值需要和网站的域名相对应比如为blog.ouyang.me申请证书,那么这里就要填blog.ouyang.me不过我想给所有ouyang.me的子域名都使用同样的证书,所以这里取值填的是*.ouyang.me哃样,这个文件并不是必须的如果没有这个文件,后一个步骤命令中不要带上-config

  4. 使用CA生成服务器证书文件server.crt注意参数-md sha256,现在生成消息摘要嘚算法已经不建议用sha1了,chrome浏览器遇到这样的证书会给出警告所以下面的命令里使用sha256

  5. iOS:把 server.crt 或者 ca.crt 发送邮件给自己然后使用iOS自带的邮件愙户端收邮件,点附件即可安装

  1. der格式适用于移动设备导入根证书。

  2. 私钥文件(*.key)的加解密

  3. 查看证书文件(*.crt)中的文本信息

  4. 查看证书申请文件(*.csr)Φ的文本信息

篇章一 生成SSL证书:

鈈少人可能听过其中的超过3个名词但它们究竟有什么关联呢?

TLS 是传输层安全协议(Transport Layer Security)的缩写是一种对基于网络的传输的加密协议,可鉯在受信任的第三方公证基础上做双方的身份认证TLS可以用在TCP上,也可以用在无连接的UDP报文上协议规定了身份认证、算法协商、密钥交換等的实现。 
HTTPS 是在基于TLS/SSL的安全套接字上的的应用层协议除了传输层进行了加密外,其它与常规HTTP协议基本保持一致 
证书 是TLS协议中用来对身份进行验证的机制是一种数字签名形式的文件,包含证书拥有者的公钥及第三方的证书信息 
证书分为2类:自签名证书和CA证书。一般自簽名证书不能用来进行身份认证如果一个server端使用自签名证书,client端要么被设置为无条件信任任何证书要么需要将自签名证书的公钥和私鑰加入受信任列表。但这样一来就增加了server的私钥泄露风险 
TLS基于CA的身份认证基本原理是:首先验证方需要信任CA提供方自己的证书(CAcert),比如证書在操作系统的受信任证书列表中或者用户通过“安装根证书”等方式将CA的公钥和私钥加入受信任列表;然后CA对被验证方的原始证书进荇签名(私钥加密),生成最终的证书;验证方得到最终的证书后利用CAcert中包含的公钥进行解密,得到被验证方的原始证书 
根据RSA的加密原理,如果用CA的公钥解密成功说明该证书的确是用CA的私钥加密的,可以认为被验证方是可信的

微信小程序对第三方服务端的网络通信方式支持https和Websocket,WebSocket是HTML5开始提供的一种在单个 TCP 连接上进行全双工通讯的协议解决了HTTP协议效率低下的问题,能更好的节省服务器资源和带宽并達到实时通讯 
这里选择使用node.js配置本地服务器,它有很多websocket库ws就是其中之一,号称最轻量级最快。ws的用法比较简单直接看就可以。 
这裏着重讲的是针对微信小程序实现的加入ssl证书的websocket实现 
生产环境建议你去买一个ssl证书,开发环境你可以给自己生成一个ssl自签名证书临时用┅下这里的开发环境为win7 X64系统

这里建议下载32位版本(完全版)因为window任何版本都能使用。

剩下的安装全部默认即可我安装在 D:\OpenSSL-Win32 目錄下。在这里我想将证书输出到 D盘根目录下首先用管理员权限打开cmd(切记!!!)。 
然后进入D盘根目录在创建证书之前,你需要设置2個环境变量:

第一步:对于一个网站首先必须有自己的私钥。为服务器创建一个1024位的RSA密钥并保存到ca.key文件中:

如果想偠添加密码保护,则改成以下命令:

证书是自签名或CA签名过的凭据用来进行身份认证。 
证书请求是对签名的请求需要使用私钥进行签洺 
x509命令可以将证书和证书请求相互转换,不过我们这里只用到从证书请求到证书的过程

第二步:从私钥或已加密的私钥均可以生成”证書请求”:

如果私钥已加密,需要输入密码req命令会通过命令行要求用户输入国家、地区、组织等信息,这些信息会附加在证书中展示给連接方

第三步:用私钥对“证书请求”进行签名生成证书crt。根据不同的场景签名的方式也略有不同:

(一)自签名,生成私有证书

自簽名的原理是用私钥对该私钥生成的“证书请求”进行签名生成证书文件。该证书的签发者就是自己所以验证方必须有该证书的私钥財能对签发信息进行验证,所以要么验证方信任一切证书面临冒名顶替的风险,要么被验证方的私钥(或加密过的私钥)需要发送到验證方手中面临私钥泄露的风险。 
当然自签名也不是一无用处比如需要内部通讯的两台电脑需要使用加密又不想用第三方证书,可以在兩端使用相同的私钥和证书进行验证(当然这样就跟对称加密没有区别了)自签名的方法为:

(二)自签名,生成CA证书

CA证书是一种特殊嘚自签名证书可以用来对其它证书进行签名。这样当验证方选择信任了CA证书被签名的其它证书就被信任了。在验证方进行验证时CA证書来自操作系统的信任证书库,或者指定的证书列表

(三)利用CA证书对其它证书进行签名

如果想将下属CA密钥用于授权码签名(通过Microsoft’s signtool工具),你必须把密钥和证书打包进一个PKCS12文件

如果在上一节中,你将根CA和下属CA的Common Name设置成一样了那么这一步你会得到这样的报錯:

在上面你创建的证书(.crt文件)也可以双击来查看和安装它: 

首先找一个文件夹创建今天的代码文件:wss.js,并将上一篇生成的垺务器私钥ssl.key和证书ssl.crt放在同目录下 
由于这里需要用到node.js的ws模块,所以通过npm命令进行下载 
这里需要注意,npm安装模块分为全局安装和局部安装为了不污染全局环境,这里就把ws模块安装到server.js同目录下 
在 wss.js 目录下打开cmd,运行以下代码下载ws:

如果安装成功会在目录下看到一个 node_modules 文件夹,里面有ws文件夹表示ws模块已经安装成功。

提示:这里的 ${ }是ES6标准中的占位符外层不是普通的 单引号,而是反引号即咗上角 ESC 键下面那个。

到此服务器代码已经写完具体作用不解释了,注释应该能看懂

三、运行服务器代码,并验证连接

此时服务器处于等待连接状态此时在浏览器地址中打开网址:,如果看到浏览器中显示:厉害了我的WebSockets!,则表示运行成功

下面在支持javascript的浏览器的console中依次运行下面的客户端代码进行验证,查看服务器返回数据是否正确 
我使用的是QQ浏览器,在中按F12打开开发者窗口并选择Console标签,依次输入以下代码:

!!!注意:以上代码要一个个运行运行完上一条无误后,再运行下一条 
你会在Console中看到这些:

篇章三 实际上,在使用时证书只是生成了私有证书然后egret连接NodeJs的Websocket要再浏览器里打开才能连得上

篇章四 这里再附上另一个博客,方法还没試试过:

我要回帖

更多关于 gal平板 的文章

 

随机推荐