獲取伺服器證書中級ca證書:
為保障伺服器證書在客戶端的相容性,伺服器證書需要安裝兩張中級ca證書(以證書簽發郵件為準,部分證書產品只有一張中級證書),根證書或證書鏈內容,放在伺服器證書內容的後邊。將證書簽發郵件中的從begin到 end結束的伺服器證書內容(包括"-----begin certificate-----"和"-----end certificate-----")和二張中級ca證書合併為乙個檔案:將證書簽發郵件中的從begin到 end結束的兩張中級ca證書內容(包括"-----begin certificate-----"和"-----end certificate-----")貼上到同乙個記事本等文字編輯器中,中間用回車換行分隔。修改副檔名,儲存為intermediatebundle.crt檔案。jexus採用的是openssl 的api,證書檔案按openssl處理,涉及到二級證書的,需要把獲得三張證書合併在乙個證書檔案裡。
獲取伺服器ssl證書私鑰
將生成伺服器徵求請求時儲存的server.key檔案,儲存為server.pem檔案。
jexus 5.8版本支援二級證書,5.8以下版本不支援,需要使用二級證書的同學記得把jexus 公升級到5.8版本。5.8可以設定ssl/tls版本,預設是sslv23,sslv23可以同時支援sslv3、tlsv1.0、tlsv1.1和tlsv1.2,具有比較廣泛的版本相容性。為了提高安全性,使用者可以強制先擇版本,比如設為sslv1.2,這時,需要客戶端具備並啟用了sslv1.2的支援。
如果不設或設為ssl2,jexus將選擇sslv3並可降級為sslv2,如果服務啟動過程中發生下面錯誤,可以把ssl_tls_version設定為sslv2。(備註:ssl版本號其實並無sslv23的版本,而是openssl有乙個版本控制,方法名含有sslv23這種字樣,意思是支援sslv3版本為主,同時可以降級為sslv2。不過,實測後發現,不會降為sslv2,而是相容所有更高版本)
ssl_tls_version = sslv2
預設值時,相當於雙方可協商。為了部署方便,就用預設值(不啟用版本號控制),為了提供安全性,使用者也可以強制設定版本號,比如,只允許tlsv1.2,查了ie,ie8最高支援到tlsv1.0,而ie11可以支援到最高版本tlsv1.2,即支援目前所有的版本。 sslv2這個配置其實沒有sslv2對應的是sslv23,設為其它標準的值,就是具體的了,所以,如果你設為sslv3,客戶端瀏覽器等就必須用sslv3與伺服器交流,設為tlsv1.2,客戶端就只能用tlsv1.2的標準與伺服器交流,如果客戶端沒有對應的版本號,就會連線失敗,伺服器端就會記一筆異常,說是sslv3_get_***xx的版本號錯誤。
12-08 20:25:42: *[180.153.5.156]: illegal read! path: host: login.oa.tencent.com
12-08 20:25:43: *** ssl_accept(): return:0, ssl_error=ssl_error_ssl, errno=0, text=error:14094410:ssl routines:ssl3_read_bytes:sslv3 alert handshake failure
異常是這樣的,當伺服器設為sslv2時,如果對方不支援sslv2,會有這樣的異常:
當伺服器設為sslv3可tlsvxx時,如果對方不支援,會出現
記得需要重啟jexus伺服器生效。
sslv3 協議漏洞『poodle』,如何在jexus 中禁用sslv2,sslv3,只啟用tls
在jws.conf中設定
jexus版本要求5.8.0以上,現在是5.8.1.3
用「 sudo curl jexus.org/5.8.x/upgrade| sh 」更新到最新版。不過這個命令的目標資料夾是 /usr/jexus
nginx伺服器部署SSL證書
1.1.1 openssl解壓 將 openssl 安裝包openssl 1.0.2d.tar.gz上傳 到目錄 home 執行 解壓命令 tar xzf openssl 1.0.2d.tar.gz 2.1.1 生成key 新建乙個目錄存放ssl證書生成檔案 m kdir ssl openssl g...
Nginx伺服器安裝SSL證書
以阿里雲伺服器為例,找到證書位置 pem檔案 是證書檔案。key檔案 證書的私鑰檔案 申請證書時如果沒有選擇自動建立csr,則沒有該檔案 把這兩個檔案放在你伺服器的指定某資料夾下 最好是你nginx檔案位置,方便管理 開啟你的nginx.conf 配置 server再重新啟動nginx 我的是 ng...
Tomcat伺服器配置SSL證書
tomcat伺服器配置ssl證書 詳見,鄙人拙文 pki ca 數字簽名等相關名詞解釋 詳見,鄙人拙文 ssl認證原理 本篇採用keytool工具進行tomcat的ssl證書配置。所以有必要先介紹一下keytool工具。keytool是jdk自帶的金鑰管理工具,包括金鑰的生成,匯出,刪除和密碼修改等...