curl+个人证书(又叫客户端证书)访问https站点
2010-07-30 10:41 1912人阅读评论(0) 收藏举报目前,大公司的OA管理系统(俗称内网),安全性要求较高,通常采用https 的双向认证模式。
首先,什么是https,简单的说就是在SSL协议之上实现的http协议(get、post等操作)。更多的介绍参看这里。
什么是双向认证模式?对于面向公众用户的https的网站,大部分属于单向认证模式,它不需要对客户端迚行认证,不需要提供客户端的个人证书,例如https://https://www.doczj.com/doc/ae15995227.html,。而双向认证模式,为了验证客户端的合法性,要求客户端在访问服务器时,出示自己的client certificate。
以下,为SSL握手过程:
[c-sharp]view plaincopy
1.①客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,
产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。
2.②服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及
其他相关信息,同时服务器还将向客户端传送自己的证书。
3.③客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包
括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否
正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务
器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续迚行第四步。
4.④用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥
(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。
5.⑤如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立
一个随机数然后对其迚行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。
6.⑥如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数
的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的CA 是否可靠,发行CA 的公钥能否正确解开客户证书的发行 CA 的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。
7.⑦服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用
于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。
8.⑧客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主
密码为对称密钥,同时通知服务器客户端的握手过程结束。
9.⑨服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密
码为对称密钥,同时通知客户端服务器端的握手过程结束。
10.⑩SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开
始使用相同的对称密钥迚行数据通讯,同时迚行通讯完整性的检验。
单向认证模式与双向认证模式的区别,就在于第⑤、第⑥步是否要求对客户的身份认证。单向不需要认证,双向需要认证。
现在介绍如何使用curl来访问双向认证的https站点。
一、准备工作
1、首先,因为要迚行客户端认证,你应该具有了客户端的个人证书(对于公司内网,通常是由IT的管理员颁发给你的),只要你能够顺利的访问双向认证的https站点,你就具有了个人证书,它藏在浏览器上。我们要做的工作,只是把它从浏览器中导出来。从IE浏览器导出来的格式,通常为.pfx格式,从firefox导出来的格式通常为.p12格式,其实pfx=p12,它们是同一个东西,对于curl而言这种格式称为PKCS#12文件。
2、把p12格式转换为pem格式(假设你的p12文件名为:xxx.p12):
[c-sharp]view plaincopy
1.openssl pkcs12 -in xxx.p12 -out client.pem -nokeys#
客户端个人证书的公钥
2.openssl pkcs12 -in xxx.p12 -out key.pem -nocerts -nodes
#客户端个人证书的私钥
3.也可以转换为公钥与私钥合二为一的文件;
4.openssl pkcs12 -in xxx.p12 -out all.pem -nodes
#客户端公钥与私钥,一起存在all.pem中
在执行过程中,可能需要你输入导出证书时设置的密码。执行成功后,我们就有了这些文件:client.pem——客户端公钥,key.pem——客户端私钥,或者二合一的all.pem。
3、确保你安装的curl版本正确(本人折腾了两天,全因为fedora13下的curl-7.20.1有问题,更新到curl-7.21.0.tar.gz问题解决)。
二、执行curl命令
1、使用client.pem+key.pem
curl -k --cert client.pem --key key.pem https://https://www.doczj.com/doc/ae15995227.html,
2、使用all.pem
curl -k --cert all.pem https://https://www.doczj.com/doc/ae15995227.html,
使用-k,是不对服务器的证书迚行检查,这样就不必关心服务器证书的导出问题了。
有关构建安全地应用程序地起点和完整概述,请参见登陆页面. 总结 支持客户端证书身份验证.本“如何做”说明如何将应用程序配置为需要客户端证书.它还说明如何在客户端计算机上安装证书,以及在调用应用程序时如何使用证书.个人收集整理勿做商业用途 如何做:设置客户端证书 为了执行授权,服务经常需要能够对它们地调用方(其它应用程序)进行身份验证.客户端证书为服务提供了一种非常好地身份验证机制.如果您使用客户端证书,您地应用程序也会得益于客户端应用程序和服务之间地安全通道创建(使用安全套接字层[]).这样您就可以安全地在服务之间传送保密信息. 确保消息地完整性和机密性.个人收集整理勿做商业用途 本“如何做”包括调用配置为需要客户端证书地服务地分步指导. 注意:本“如何做”中地信息也适用于由承载地远程组件. 要求 以下各项介绍了推荐地硬件、软件、网络基础结构、技巧和知识以及您需要地服务包. ●带地? ? 操作系统个人收集整理勿做商业用途 ●? 开发系统 ●访问证书颁发机构() 以生成新地证书 ●一个已安装了服务器证书地服务器 有关安装服务器证书地更多信息,请参见本指南“参考”部分地“如何做:在服务器上设置”.个人收集整理勿做商业用途 本“如何做”中地过程还要求您具有使用? 开发工具进行开发地知识.个人收集整理勿做商业用途 总结 本“如何做”包括如下过程: . 创建简单地应用程序 . 将应用程序配置为需要客户端证书 . 需要并安装客户端证书 . 验证客户端证书操作 . 创建简单地应用程序 创建简单地应用程序 . 启动,创建一个名为地新应用程序.个人收集整理勿做商业用途 . 从工具箱中将一个标签控件拖放到窗体上,然后将其属性设置为.个人收集整理勿做商业用途 . 再拖放一个标签至窗体上,然后将其属性设置为.个人收集整理勿做商业用途. 将下面地代码添加到事件过程中. ; ; " " ; ;个人收集整理勿做商业用途 () { " "; } { " "; } . 在“构建”菜单中,单击“构建解决方案”
SSL证书验证过程解读及申请使用注意事项 SSL证书和我们日常用的身份证类似,是一个支持HTTPS网站的身份证明,由受信任的数字证书颁发机构CA(如沃通CA)验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。SSL证书里面包含了网站的域名,证书有效期,证书的颁发机构以及用于加密传输密码的公钥等信息,由于公钥加密的密码只能被在申请证书时生成的私钥解密,因此浏览器在生成密码之前需要先核对当前访问的域名与证书上绑定的域名是否一致,同时还要对证书的颁发机构进行验证,如果验证失败浏览器会给出证书错误的提示。 本文将对SSL证书的验证过程以及个人用户在访问HTTPS网站时,对SSL证书的使用需要注意哪些安全方面的问题进行描述。 一、数字证书的类型 实际上,我们使用的数字证书分很多种类型,SSL证书只是其中的一种。证书的格式是由X.509标准定义。SSL证书负责传输公钥,是一种PKI(Public Key Infrastructure,公钥基础结构)证书。 我们常见的数字证书根据用途不同大致有以下几种: 1、SSL证书:用于加密HTTP协议,也就是HTTPS。 2、代码签名证书:用于签名二进制文件,比如Windows内核驱动,Firefox插件,Java 代码签名等等。 3、客户端证书:用于加密邮件。 4、双因素证书,网银专业版使用的USB Key里面用的就是这种类型的证书。 这些证书都是由受认证的证书颁发机构CA(Certificate Authority)来颁发,针对企业与个人的不同,可申请的证书的类型也不同,价格也不同。CA机构颁发的证书都是受信任的证书,对于SSL证书来说,如果访问的网站与证书绑定的网站一致就可以通过浏览器的验证而不会提示错误。 二、SSL证书申请与规则 SSL证书可以向CA机构通过付费的方式申请,也有CA机构提供免费SSL证书如沃通CA。 CA机构颁发的证书有效期一般只有一年到三年不等,过期之后还要再次申请,在ssl 证书应用中企业网站应用较多。但是随着个人网站的增多,以及免费SSL证书的推出,个人网站ssl证书应用数量也在飞速增加。在百度开放收录https网站后,预计https网站将迎来井喷。 在申请SSL证书时需要向CA机构提供网站域名,营业执照,以及申请人的身份信息等。网站的域名非常重要,申请人必须证明自己对域名有所有权。此外,一个证书一般只绑定一个域名,比如你要申请域名时绑定的域名是https://www.doczj.com/doc/ae15995227.html,,那么只有在浏览器地址是
+ CA认证和网上办事大厅客户端系统安装及使用手册 宁波市鄞州地方税务局 https://www.doczj.com/doc/ae15995227.html,
2012
目录 1、内容简介 2、办理流程 3、客户端系统—软件下载 4、客户端系统—软件安装 5、CA证书—软件安装 6、CA证书—登录使用 7、CA证书—常见问题 8、客户端操作手册 9、客户端常见问题 10、技术服务 附件资料一: 日常维护与服务说明 附件资料二:关于在全市使用网上办税的纳税人中推广电子签名身份认证技术的通知(甬地税征(2010)218号) 附件资料三:CA证书办理须知 (一) 内容简介 CA数字证书简介 政府机构或企业开发的业务系统大多是基于互联网的,需要通过广泛的、开放的互联网进行数据传输。因此,不可避免地存在着由于互联网的广泛性、开放性所带来的安全隐患,例如:用户身份认证、信息的机密性、信息的完整性、信息的不可抵赖性等。 宁波财税开发的网上办事大厅(客户端)、网上征管、个税全员申报、机打发票等互联网应用系统,涉及企业财务数据和国家财政收入等机密信息,因此,需要确保互联网数据传输的安全。根据业界实践经验,使用CA 数字证书是解决该问题的最佳选择。
使用CA证书将确保用户身份合法性和互联网数据安全 根据国家电子签名法,CA电子签名可替代手写签名或盖章 企业可以不再向财税局报送纸质报表(注:以局方通知为准) 宁波财税网上办事大厅(客户端)简介 网上办事大厅(客户端)是市财税局推出的集纳税申报、财务报表、 个税全员申报、所得税年报、机打发票等各种财税业务于一体的“一窗式” 服务终端,是所有企业涉税信息的统一出入口。“客户端”解决了企业电 脑上浏览器版本众多带来的操作使用问题、大数据量在线填写导致的网络 超时问题、以及企业端涉税软件统一管理和统一服务的问题,为广大纳税 企业提供一体化、方便、安全的办税服务。 客户端实现了所有涉税软件的整合,提供“一窗式”服务 有效避免了互联网浏览器版本不兼容问题,申报过程更稳定 不存在网络链接超时问题,支持长时间操作,以及大数据量填报 所有功能均支持CA数字证书,确保身份真实和数据传输安全 随着纸质报表的取消,真正实现“足不出户”享受办税服务 (二)办理流程 学习参加税局组织的集中培训或自学,学习CA证书及客户端操作要点客户端软件服务商常年提供免费培训,具体参见服务商网站: https://www.doczj.com/doc/ae15995227.html,/art/2011/6/2/art_1442_40000.html
SSL与TLS 区别和联系 ssl证书类型区 分 什么是ssl SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。 SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 什么是tls 安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。TLS记录协议用于封装各种高层协议。作为这种封装协议之一的握手协议允许服务器与客户机在应用程序协议传输和接收其第一个数据字节前彼此之间相互认证,协商加密算法和加密密钥。该协议由两层组成:TLS 记录协议(TLS Record)和TLS 握手协议(TLS Handshake) Ssl与tls的关系 ,是SSL 3.0的后续版本。在TLS与SSL3.0之间存在着显著的差别,主要是它们所支持的加密算法不同,所以TLS与SSL3.0不能互操作。 SSL是Netscape开发的专门用户保护Web通讯的,目前版本为3.0。最新版本的TLS(Transport Layer Security,传输层安全协议)是IETF(Internet Engineering Task Force,Internet工程任务组)制定的一种新的协议。最新版本的TLS 1.0,它建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本。两者差别极小,可以理解为SSL 3.1。 Ssl与tls的功能 1. 在互联网上传输加密过的资料以达到防窃取的目的。 2. 保持从端点A到端点B的传送路途中资料的完整性。 3. 透过SSL证书内的公共金钥加密资料传输至服务器端,服务器端用私密金钥解密来证明自己的身份。 何谓有效无效ssl(tls)证书?
现在这个时代人们都到了物质上的好,也得.到了心情上的好,但是在使用智能产品的时候都是有很多的迷茫,有很多事情都是不明白的,有很多人都想知道ssl证书是怎么一回事儿,因为他们觉得知道了这些知识在遇到问题的时候,就是可以自己去解决的。 一、ssl证书 它是一种证书的形式,它的作用也是保证在传输过程中,或者登录网页的过程中,文件的安全性和在交易的过程中的交易安全性的,人们在使用这种证书的时候也很注重他的申请机构,毕竟正规的申请机构出来的证书才是可以正常使用的,一般普通的,有时候会出现无效或者不能配置的问题,所以我们尽量去找一个正规的机构去申请。 二、购买 这个时候一定不要贪图便宜,一定要到正规的机构去购买,因为虽然别的网站比较便宜一些,但是在用的过程当中容易出现一些问题,只有到正规的机构去购买的才可以更好的使用,也相对来说更能保证文件和个人信息的安全,这也是人们在购买 ssl证书看重的安装证书的,原因也是为了保证企业的机密不被泄露,或者是个人的信息不被泄露,还有就是在交易的过程当中,不会被一些不法人员窃取信息。 三、申请
他的身体是比较简单的,只要从正规的网站申请就是可以的, 进入证书申请网站,根据他的提示,我们按照步骤操作就是可以的,只要有相关的知识操作的时间是比较快的,如果自己没有相关知识 也没有实现经验的话,那么尽量是找专.业的人员给你操作,而且申 请的时间是比较快,又可以更好的帮助你安装,这样是效果比较好的。 以上的内容就是大家想知道的关于ssl证书的一些知识,他详 细的讲解了购买方式和申请流程,以及其他的一些内容,我们可以 通过上面的内容更加的了解并使用。
农行网银打不开解决方法农业银行,您请求的业务需要提交客户端证书农行网银打不开,怎么办呢? 终于找到解决方法。 每次都提示:农业银行,您请求的业务需要提交客户端证书。 不能打开农业银行的网上银行,也不能充值了。 进入到证书支付页面的时候,农行冲值页面就提示错误信息:您请求的业务需要提交客户端证书!怪事,我明明插上Key宝的啊。难道是没有开启飞天诚信那个管理的原因么?于是我试着把飞天诚信那个应用程序打开,再重试一次,发现还是不行。这个纠结的“您请求的业务需要提交客户端证书!”,把人弄崩溃了。上网一搜一大把相同的答案:1、证书存放在IE浏览器的方法;2、证书存放在K宝中的方法。这些千篇一律的东西用了也没有什么效果。 按照网上说的办法都整过一遍,结果还是不行,直接无语了。 甚至还有的说去银行重新申请证书,那可以10块钱了,可是我用农行华大工具,把k包插上,在查看证书,有效期到2023年呢,口令也认证成功,Key 宝也正常的啊,应该不是证书的问题。 可以为什么就是不行呢,在排除Key宝与电脑故障的情况下,仔细想了想,觉得还是浏览器的问题。于是我找到了一份资料,能够应对农行:您请求的业务需要提交客户端证书的解决方法:打开IE->工具->Internet选项->内容->清除SSL状态(点击清除SSL状态后IE弹窗提示SSL缓存成功清除)->确定。重启按照支付宝流程来进行充值操作,充值成功! 首先你的K宝在家里提示“打开设备失败”(这个应该是点查看证书后显示的,不是点注册证书,点注册证书应该提示"设备中没有证书")。 这个错误提示指的是电脑没有识别到K宝里面的数据,简单说就是K宝没有插好,普通如果是K宝里面没有证书的话,至少点了查看证书会显示"智能钥匙,容器一,容器名等"所以首先建议你更换USB接口,你说银行能用说明K宝里面有证书,就是你电脑不识别导致的,然后在确定了查看证书能查到证书的情况下再登入农行证书登录,如果还是"您请求的业务需要提交客户端证书"那可以通过IE-工具-Internet选项-内容-清除SSL状态然后关闭IE重启IE后就可以解决了.补充: 第二个解决方案是在K宝能查看到证书而登不进的时候使用的,那像你说的单位电脑能用,那很明显就是你家的电脑不识别K宝导致的,解决方案一般如下:(K宝确实与U盘有区别,因为K宝里面的东西在我的电脑里是查不到新盘,改不了里面文件的) 先删除掉农行的所有驱动软件,一般从开始采单里CSP卸载还有卸载网银辅助工具.然后登入农行直接下载最新的K宝软件包连接直接给你:/wwwroot/images/upload/private/1/chinese/index/document/HDCSPSetu p.exe文件为1M不到的,运行后会自动连接农行下载,看看重装了驱动之后是不是能够解决.或者试下用其他的如呵呵,轻松找到了农行:您请求的业务需要提交客户端证书的解决方法。
Java语言使用websercive服务器绕过https安全证书访问 主要就是调用两个方法: trustAllHttpsCertificates(); HttpsURLConnection.setDefaultHostnameVerifier(hv); 将这两个方法放到开始连接url的前面就可以。 具体实现如下面:直接复制就可以 /** * 跳过https访问webserivce的方法start */ HostnameVerifier hv = new HostnameVerifier() { publicboolean verify(String urlHostName, SSLSession session) { System.out.println("Warning: URL Host: " + urlHostName + " vs. " + session.getPeerHost()); returntrue; } }; privatestaticvoid trustAllHttpsCertificates() throws Exception { https://www.doczj.com/doc/ae15995227.html,.ssl.TrustManager[] trustAllCerts = new https://www.doczj.com/doc/ae15995227.html,.ssl.TrustManager[1]; https://www.doczj.com/doc/ae15995227.html,.ssl.TrustManager tm = new miTM(); trustAllCerts[0] = tm; https://www.doczj.com/doc/ae15995227.html,.ssl.SSLContext sc = https://www.doczj.com/doc/ae15995227.html,.ssl.SSLContext .getInstance("SSL"); sc.init(null, trustAllCerts, null); https://www.doczj.com/doc/ae15995227.html,.ssl.HttpsURLConnection.setDefaultSSLSocketFactory(sc .getSocketFactory()); } staticclass miTM implements https://www.doczj.com/doc/ae15995227.html,.ssl.TrustManager, https://www.doczj.com/doc/ae15995227.html,.ssl.X509TrustManager { public java.security.cert.X509Certificate[] getAcceptedIssuers() { returnnull; } publicboolean isServerTrusted( java.security.cert.X509Certificate[] certs) { returntrue; } publicboolean isClientTrusted( java.security.cert.X509Certificate[] certs) {
ssl证书购买申请流程 一、准备相关材料 1)提供域名信息; 2)提供最终用户联系人信息(包括名称、地址、电话、邮件、职位) 3)提供证书签名请求(会提供指导文档支持) 4)营业执照复印件 二、签定购买合同 买卖双方签定数字证书购买合同,可以以传真,扫描,快递等方式完成。 三、客户方付款 以电汇,支票等方式向CA机构支付数字证书款项。 四、提交数字证书申请资料 购买SSL证书的客户请提交以下资料: 1 最新年检的企业法人营业执照副本复印件 2 填写《SSL证书申请表》 3 提交CSR。 五、等待审核验证。 CA机构wosign会严格的按照国际标准来做身份鉴证。 六、签发证书 最终数字证书以邮件的形式发到申请表中技术联系人的邮箱,并协助进行证书安装。 ssl证书是什么 ssl证书是数字证书中的一种,由受信任的数字证书颁发机构CA如[沃通CA]在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能,因其要配置在服务器上,所以也称SSL服务器证书。由合法CA机构颁发的ssl证书遵循ssl协议,通过在客户端浏览器和Web服务器之间建立一条SSL安全通道,对传送的数据进行加密和隐藏;确保数据在传送中不被篡改和窃取,保障数据的完整性和安全性,ssl安全协议是由网景(Netscape Communication)公司设计开发主要用来提供对用户和服务器的认证,目前已成为该领域中全球化的标准。ssl 证书购买申请流程ssl证书广泛应用于网上银行,金融系统,购物网站以及政府组织机构等领域,用来保障网站客户端与服务器端的数据传输安全和网站真实身份认证。
ssl证书需要到合法的第三方CA机构申请购买,国产SSL数字证书使用更方便也更安全。建议广大站长在ssl证书的时候要注意以下几点: 1、选择国产合法CA机构购买ssl证书!为什么不买国外的?“棱镜门”事件只能让你"呵呵"了! 2、选择全球信任的ssl证书签发机构!并不是所有CA机构签发的ssl证书都受浏览器信任,不受浏览器信任的ssl证书会报错“该证书不受信任”。 3、选择通过国际WebTrust认证的CA机构,WebTrust认证门槛高,中国目前只有三家合法CA通过了WebTrust认证。 4、选择访问速度快并且售后服务好的ssl证书签发机构。 关于ssl证书费用问题,不同品牌和类型的ssl证书价格上存在很大差异。品牌上面,国产证书相交国外证书性价比更高,安全性也不低于国外证书。无论是从性能价格优势上还
上海域联软件技术有限公司 PKI/CA系统解决方案 1 前言 (2) 2 应用安全需求概述 (2) 3 域联PKI/CA系统简介 (3) 3.1 认证体系设计 (3) 3.2 域联PKI/CA系统功能模块 (5) 3.2.1 证书签发 (5) 3.2.2 证书生命周期管理 (5) 3.2.3 CRL服务功能 (6) 3.2.4 目录服务功能 (6) 3.2.5 CA管理功能 (6) 3.2.6 日志与审计功能 (6) 3.2.7 CA密钥管理 (7)
1前言 以Internet为代表的全球性信息化浪潮迅猛发展,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,从典型的如金融业务系统、网上证券交易业务系统、企业内部应用系统,逐渐扩展到政府办公系统应用。在这股浪潮的推动下,为了提高企业的办事效率,各个企业纷纷利用先进的IT技术来降低政务办公的成本和加强信息管理,广泛的开展电子政务。 由于业务发展的需要,用户也建设了自己的各种应用信息系统,为了保证系统的正常运转,有必要采取安全的措施来保障各个应用系统运行的安全。本文主要目的是旨在分析用户的系统安全需求,然后阐明采用PKI/CA技术,来保障用户的信息系统安全。 2应用安全需求概述 随着用户信息系统的建设,大量的办公业务数据文件通过网络相互传递,同时大量的数据文件也保存于文件服务器之上。如果不能保证这些系统的用户登录认证安全,保证这些数据的传输安全,其后果是可想而知的。此外,在实现资源和数据共享的同时,也面临巨大的威胁和风险,我们必须对这些资料进行严格控制,保证只有被授权的人员才能够访问合法的资源,并且对于每个人产生的信息,需要保留相应的记录。由于互联网的广泛性和开放性,给应用系统带来了很多安全隐患,主要体现在如下几个方面: (1)身份认证 目前,应用系统是采用“用户名+密码”的方式来验证访问用户的身份。采用“用户名+密码”的方式登录应用系统时,用户输入的用户名和密码都是通过明文的方式,传输给系统服务器,系统服务器根据用户提交的用户名和密码,查询数据库,来判断用户的身份是否真实。这种方式存在巨大的安全隐患,非法用户可以通过口令攻击、猜测或窃取口令等方式,假冒合法用户的身份,登录系统进行非法操作或获取机密信息。因此,需要采用安全的手段,解决应用系统身份认证需求。 (2)访问控制 对于系统的不同用户,具有不同的访问操作权限。因此,应用系统在身份认证的基础上,需要给不同的身份授予不同的访问权限,使他们能够进行相应授权的操作。因此,需要采用有效的手段,解决应用系统访问控制的需求。 (3)信息机密性和完整性 通过应用系统传输很多敏感资料,如通过应用系统,需要通过开放的互联网,非法用户很容易监听网络传输的数据甚至篡改相关数据,或者入侵到应用系统,窃取有关资料。因此,需要采用有效的方式保证应用系统传输数据的机密性和完整性。 (4)信息抗抵赖 信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖。在应用系统中传输的很多信息,都需要实现信息抗抵赖。比如财务部进行财务汇报时,如果采用纸质的方
如何通过SSL证书开启服务器443端口 前阵子遇到个问题,因为我们的网站是外贸网站,需要通过Paypal付款,但是,客户通过PP付款之后居然不能生成订单号,后来发现服务器的443端口是关闭状态,好了,问题来了:如何开启服务器的443端口呢? 深圳国际快递https://www.doczj.com/doc/ae15995227.html,在这里分享一下开启443端口的经验: 第一:当然是配置硬件,把防火墙令443端口放行!具体办法朋友可以去百度一下哈,其实落伍里面也有! 第二,创建SSL证书,我个人觉得这个比较重要,下面把具体的方法分享给一下。 #LoadModule ssl_module modules/mod_ssl.so 的#去掉,开启SSL功能。 然后我们要新建一个SSL虚拟目录,监听443端口 一般情况下我使用centos的虚拟列表都会放到/etc/httpd/conf.d/目录下 依旧是在这个目录下新建一个ssl.conf,并且在你的网站列表新建一个ssl文件夹,我的习惯是/var/www/vhosts/ssl 将你的server.crt和ca-server.crt文件以及你原来生成的server.key文件一起上传到ssl文件夹内。 进入/etc/httpd/conf.d/ 输入 vi ssl.conf 使用vi编辑器编辑ssl.conf内容如下
https握手与密钥协商过程 https握手与密钥协商过程 基于RSA 握手和密钥交换的客户端验证服务器为示例详解握手过程。 1.client_hello 客户端发起请求,以明文传输请求信息,包含版本信息,加密套件候选列表,压缩算法候选列表,随机数,扩展字段等信息,相关信息如下: 支持的最高TSL协议版本version,从低到高依次SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2,当前基本不再使用低于TLSv1 的版本; 客户端支持的加密套件cipher suites 列表,每个加密套件对应前面TLS 原理中的四个功能的组合:认证算法Au (身份验证)、密钥交换算法KeyExchange(密钥协商)、对称加密算法Enc (信息加密)和信息摘要Mac(完整性校验); 支持的压缩算法compression methods 列表,用于后续的信息压缩传输; 随机数random_C,用于后续的密钥的生成; 扩展字段extensions,支持协议与算法的相关参数以及其它辅助信息等,常见的SNI 就属于扩展字段,后续单独讨论该字段作用。 2.server_hello+server_certificate+sever_hello_done (a) server_hello, 服务端返回协商的信息结果,包括选择使用的协议版本version,选择的加密套件cipher suite,选择的压缩算法compression method、随机数random_S等,其中随机数用于后续的密钥协商; (b)server_certificates, 服务器端配置对应的证书链,用于身份验证与密钥交换;
数字证书驱动及客户端安装操作指引 广州市数字证书管理中心 二○一二年十月十日
目录 一、用户须知 (3) 二、安装要求 (3) 三、安装数字证书驱动程序 (5) 四、安装数字证书客户端 (9) 五、数字证书客户端功能介绍 (11) 1、证书注册功能 (11) 2、数字证书功能 (14) 3、系统设置功能 (26) 4、软证书功能 (28) 六、软件的卸载 (33)
一、用户须知 1、请到广州市数字证书管理中心网站下载数字证书客户端安装包:https://www.doczj.com/doc/ae15995227.html,/ 2、该压缩包包含以下三个文件 数字证书USB驱动程序; 数字证书客户端安装程序; 数字证书驱动及客户端安装操作指引。 在安装“数字证书USB驱动程序”及“数字证书客户端程序” 前请先查看“数字证书驱动及客户端安装操作指引”,然后再按照安装步骤先安装“数字证书USB驱动程序”,接着安装“数字证书客户端程序”。 3、目前数字证书客户端主要功能包括以下几部分: 数字证书注册 数字证书管理和测试 欠费提醒和控制 二、安装要求 操作系统版本: windows XP、windows2003、windows7(需兼容32位,暂不支持纯64位系统) 硬件要求: CPU:800MHZ或以上 内存:256M或以上 其中安装了windows7的用户请注意,进行安装前需要按以下步骤调节系统:
1、点击屏幕左下角“开始”; 2、在搜索栏输入UAC ,点击旁边的“搜索”按钮,如 图: 3、点击上方的“更改用户账号控制设置” 4、把滑动按钮拉到“从不通知”,如图:
5、点击“确定”后即可继续安装数字证书客户端。 6、待完成安装数字证书驱动程序和数字证书客户端后,按 照以上步骤把滑动条拉回原来位置。 三、安装数字证书驱动程序 注意:在安装驱动程序前如果已经插入了数字证书,请先拔出数字证书再进行安装。 (1)双击USB驱动包.exe,如下图:
天威诚信SSL证书工具使用说明 天威诚信SSL证书工具专业版,集CSR生成、CSR校验、证书格式转换和证书配置检测于一体,在客户端上即可完成CSR 在线自动生成并能快速校验CSR信息,实现不同证书间的格式互转,快速有效的检测出证书的安装状态,操作简单,易于上手,是SSL证书安装使用过程中不可或缺的得力干将。 一,CSR生成 按照工具提示的信息填写您申请证书的真实信息,点击生成CSR文件。下图为填写示例:
*注:目前主流密钥算法为RSA,长度为2048位,签名算法为SHA256。 通过点击保存私钥文件和CSR文件,保存文件到本地。私钥文件您需要在本地备份并妥善保管,CSR申请文件需要提交给商务人员。 二,CSR校验 字符串校验:您可以打开制作的CSR文件,并把字符串复制到空白框中并点击“验证CSR 文件”。
文件校验:通过添加本地CSR文件并进行验证。 二,证书格式转换 1,PEM转JKS 1,首先准备好server.pem证书文件和server.key私钥文件。 2,将证书签发邮件中的包含服务器证书代码的文本复制出来(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中。在服务器证书代码文本结尾,回车换行不留空行,并粘贴中级CA证书代码(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,每串证书代码之间均需要使用回车换行不留空行),修改文件扩展名,保存包含多段证书代码的文本文件为server.pem文件。 3,在源证书文件中录入server.pem,源私钥文件中录入server.key文件。(如果您的.key 私钥文件没有设置密码,源私钥密码处可以为空) 4,在“目标证书别名”选择中这是JKS文件密钥别名,并在“目标证书密码”中设置JKS 文件密码。
https证书申请流程 https 证书即ssl数字证书,是广泛用于网站通讯加密传输的解决方案,是提供通信保密的安全性协议,现已成为用来鉴别网站的真实身份,以及在浏览器与WEB 服务器之间进行加密通讯的全球化标准。 常见的https证书(ssl数字证书)由于他的加密强度不一样,分为以下几种类型,通常各个ssl数字证书的申请流程都分别需通过五个步骤: 步骤一:首先登陆GlobalSign官网; 根据自己的实际需要,选择证书类型; 步骤二:签署合同;确认支付方式; 步骤三:准备CSR 并选择确认方式; 步骤四:在线提交申请; 步骤五:确认申请;颁发证书。 各个ssl数字证书申请细则: DVSSL(域名型数字证书): 确认信息——发送电子版合同——签字确认——银行付款——开发票——颁发 需提交CSR 和管理员邮箱(admin,Admintrator, webmaster,postmaster,hostmaster 邮箱)。 OVSSL(企业型数字证书): 确认信息——发送电子版合同——签字确认——银行付款——开发票——提供资料(CSR,公司信息,管理员邮箱,企业营业执照副本复印件加盖最新的年检章或企业公章,第三方认证)——审核资料(若公司中英文名称不一致,则需提供邓白氏公司出具的邓白氏编码或外商投资企业备案登记)——审核通过颁发证书,一般为2-3个工作日内颁发、
EVSSL(增强型数字证书): 确认信息——发送电子版合同——签字确认——银行付款——开发票——提供资料(CSR,域名,公司信息,管理员邮箱,企业营业执照副本复印件加盖最新的年检章或企业公章,邓白氏编码或律师事务所出具的律师函)——审核资料(若公司中英文名称不一致,则需提供邓白氏公司出具的邓白氏编码或外商投资企业备案登记)——审核通过颁发证书,一般为7个工作日内颁发。 目前越来越多的网站会安装有权威机构(如GlobalSign)发布的ssl数字证书,使用ssl数字证书可以给企业主与客户之间提供数据安全的保障,同时为企业网站带来更多的访问者,带来更多的客户。
开票服务器证书申请 --详细操作说明
航天信息股份有限公司 2012-09-11 目录 1、证书申请简介 (3) 2、开始申请证书 (3) 2.1登陆申请开票服务器证书网站 (3) 2.2网站功能说明 (4) 2.3证书申请具体操作 (5) 2.3.1企业信息设置 (5) 2.3.2申请服务器证书 (6) 2.3.3申请客户端证书 (8) 2.3.4申请tomcat证书 (14) 2.3.5申请管理员软证书 (15) 3、证书的使用 (21) 3.1软证书的使用 (21) 3.2硬证书的使用 (21) 3.3管理员证书的使用 (22)
开票服务器V3.0证书申请 1、证书申请简介 每一个企业服务器用户,都要通过登录网站https://https://www.doczj.com/doc/ae15995227.html,:6002/frontra4/logon.do申请四类证书:服务器证书、客户端证书、tomcat证书、管理员证书。其中服务器证书、tomcat证书为软证书,安装于服务器端;客户端证书为硬证书,用于开票服务器客户端的使用,管理员证书既可以申请软证书(优选软证书),也可以申请硬证书,用于管理端的使用。 2、开始申请证书 2.1登陆申请开票服务器证书网站 【第一步】:安装“kpAdmin”证书,双击安装即可,安装密码:111111。按照默认安装提示,一步一步向下安装完。 【第二步】:登录申请证书的网站:https://https://www.doczj.com/doc/ae15995227.html,:6002frontra4/logon.do 将此网站地址加入到浏览器的受信站点中。具体见下图 注:要选中“对该区域中的所有站点要求服务器验证(https:)”。
1 HTTP及HTTPS HTTP是一个客户端和服务器端请求和应答的标准(TCP)。客户端是终端用户,服务器端是网站。通过使用Web浏览器、网络爬虫或者其它的工具,客户端发起一个到服务器上指定端口(默认端口为80)的HTTP请求。(我们称这个客户端)叫用户代理(user agent)。应答的服务器上存储着(一些)资源,比如HTML文件和图像,本质上是一种不安全的请求交互方式。 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https://URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司(Netscape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。 2 HTTP和HTTPS区别 https协议需要到ca申请证书,一般免费证书很少,需要交费。 http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议http 和https使用的是完全不同的连接方式用的端口也不一样:前者是80,后者是443。 http的连接很简单,是无状态的HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议要比http协议安全 HTTPS解决的问题: (1)信任主机的问题。 采用https 的server 必须从CA 申请一个用于证明服务器用途类型的证书。 该证书只有用于对应的server 的时候,客户度才信任次主机。所以目前所有的银行系统网站,关键部分应用都是https 的。客户通过信任该证书,从而信任了该主机。其实这样做效率很低,但是银行更侧重安全。这一点对我们没有任何意义,我们的server,采用的证书不管自己issue 还是从公众的地方issue,客户端都是自己人,所以我们也就肯定信任该server。 (2)通讯过程中的数据的泄密和被窜改。 1)一般意义上的https,就是server 有一个证书。 a) 主要目的是保证server 就是他声称的server。这个跟第一点一样。 b) 服务端和客户端之间的所有通讯,都是加密的。 i、具体讲,是客户端产生一个对称的密钥,通过server 的证书来交换密钥。一般意义上的握手过程。 ii、加下来所有的信息往来就都是加密的。第三方即使截获,也没有任何意义。因为他没有密钥。当然窜改也就没有什么意义了。 2)少许对客户端有要求的情况下,会要求客户端也必须有一个证书。
一、测试环境配置 (1) 1、win2003系统_1 (1) 1.1. 安装IIS以承载CA证书服务 (1) 1.2. 安装证书服务,CA的公用名称设置为TestCA (1) 2、win2003系统_2 (2) 2.1. 安装IIS (2) 3、win2003系统_3 (2) 二、配置过程 (3) 1、win2003系统_2申请并配置IIS 的SSL的服务端证书 (3) 1.1. 生成证书申请文件 (3) 1.2. 提交证书申请 (8) 1.3. 颁发证书 (8) 1.4. 上安装证书 (9) 1.5. 将web站点配置为要求SSL 访问 (11) 1.6. 测试IE使用SSL浏览 (11) 2、win2003系统_3申请安装客户端证书ClientCert2003 (12) 3、在win2003系统_2上设置客户证书映射 (12) 3.1. Web服务器上导入客户端证书 (12) 3.2. 导入客户端证书的根证书 (13) 3.3. 设置IIS中网站的客户端证书映射 (16) 3.4. Web网站读取客户端映射的windows账户 (18) 三、测试 (18)
本文给出了如何配置IIS通过SSL安全通道进行访问的方法,并在此基础上详细讨论了IIS 如何设置要求对客户端提供客户端证书进行身份验证。IIS端SSL服务器证书申请和安装,从而配置SSL安全访问通道。客户端证书的申请和安装,IIS端如何映射客户端证书到服务器上 的windows账户等等。 一、测试环境配置 准备三台机器,都是windows 2003操作系统,每台机器的作用,和其上需要安装的服务 和配置如下: 1、win2003系统_1 ip:192.168.1.11 机器名:win2003base1 服务器作用:这个服务器是用来安装证书服务,作为一个CA提供证书服务。 1.1.安装IIS以承载CA证书服务 1.2.安装证书服务,CA的公用名称设置为TestCA 在安装证书服务过程中会生成一个证书服务的证书,一个自己颁给自己的证书作为这个 CA的根证书:
基于安全协议的https的页面测试脚本 一、loadrunner8.1 HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版。 在使用https协议不管是服务器端还是客户端都需要使用到ca证书来进行访问。 一般来说,性能测试为所常见的为客户端使用https打开页面的方式。 在这个情况下,首先是处理https访问过程中的证书 1.证书的准备 常见的证书为:*.pfx,*.p12格式,该种格式的证书可以通过双击运行安装到IE浏览器上。用户在访问的时候就可以使用到。 但这些证书并不是LoadRunner所使用的类型,因此需要对其进行转换。将其转换为*.pem 格式。 转换方法如下: ●安装openssl后 ●运行C:\
选择后,单击New Enty 红框中的配置为服务器的ip(或者域名)和端口号(ssl默认端口443),按照测试所需要的实际地址进行配置。 配置后,将Use specified client-side certificate[Base64/PEM]钩选,为使用客户端证书访问。 单击...选择刚刚转换生成的客户端证书。 如果你为证书有设置密码,在这里也需要输入。
目录 一、专业化认证网上申请流程 (2) 二、OU考试帐号的绑定与关联 (3) 三、OPN新加盟申请指导 (5)
一、专业化认证网上申请流程 使用OPN管理员帐号登入网址:https://https://www.doczj.com/doc/ae15995227.html,/prmportal_chs 然后按如下步骤操作:
二、OU考试帐号的绑定与关联 首先,需要明确,这项操作会使用2套用户名+密码(Oracle与PearsonVUE): 1、OPN门户个人访问权:即将您的https://www.doczj.com/doc/ae15995227.html,账户与您的公司进行关联 2、实施专家考试成绩认证与关联:在您的PersonVue和CertView账户中添加OPN公司ID
一、OPN门户个人访问权: 门户访问权是您更新档案的一个关键组成部分。您必须首先创建一个https://www.doczj.com/doc/ae15995227.html,账户,随后将账户与您的公司关联起来。创建账户并与您的公司进行关联将使您或扽专为您业务量身定制的关键信息、工具以及营销信息的访问权限。通过创建这个账户,您还会获得重要的OPN合作伙伴通讯。 步骤: ●若您还没有一个Oracle个人访问权限账户: ●请访问https://www.doczj.com/doc/ae15995227.html,/partners的OraclePartnerNetwork门户,单击’Join Now’ ●单击Additional Resource下的‘Get Portal Access’ ●按照“第一步:创建个人https://www.doczj.com/doc/ae15995227.html,账户或登录”进行操作,如果您已经拥有账 户,可在页面顶端登录(请使用您的公司邮箱) ●按照“第二步:关联到您的公司”进行操作(请注意您需要的注册类型,并确保已 有需要输入的公司ID) 如果您不知道公司ID,请联系800/400-820-5531 二、实施专家考试成绩认证与关联: 确保您的认证实施专家资格对于您所在的公司的专业工作有价值。在您的PersonVue和CertView账户中添加OPN公司ID 首先,请将公司ID添加到您的Pearson Vue个人档案中 1、访问https://www.doczj.com/doc/ae15995227.html,/oracle 2、选择My Account 3、登录 4、选择Update Profile 5、选择Additional Information 6、选择Oracle Certification Program 7、输入您在进行https://www.doczj.com/doc/ae15995227.html,账户关联过程中使用的公司ID 然后,激活您的Certview账户,以实现您的OPN公司ID与您的PearsonVue档案成绩关联 1、访问https://www.doczj.com/doc/ae15995227.html,(需要https://www.doczj.com/doc/ae15995227.html,账户单点登录) 2、单击页面右上角的My Preferences链接 3、在“Welcome to the Oracle Certification Candidate Information Interface”部分下,使用https://www.doczj.com/doc/ae15995227.html,账户单点登录信息进行登录 4、在所显示的验证表格中,提交您的PearsonVue档案内所显示的数据 如登陆后在Certification Status中出现您的Name和Testing ID,如下图所示,即表示成功。