数字证书简介及使用
2. 导出crt证书;
keytool -export -alias tomcat -keystore tomcat.keystore -file tomcat.crt -storepass 123456
3. 查看证书信息。
详细操作查看《Java中Keytool的使用总结》 链接:/share/s/3PVwdG26_Q-V2N1efb2Swew83XmaFI2jT4mB2hNmve2ZUJKK 密码:1p7u
三、数字证书获取
Java keytool生成证书: 1. 生成keystore证书;
2. 导出crt证书;
3. 查看证书信息。
详细操作查看《Java中Keytool的使用总结》 链接:/share/s/3PVwdG26_Q-V2N1efb2Swew83XmaFI2jT4mB2hNmve2ZUJKK 密码:1p7u
培训目标
学员在参加完本次培训后,能够:
A
描述数字证书的基本原理,数字证书的作用等 制作生成一个数字证书 完成在服务器端部署数字证书,启用HTTPS访问,并在浏 览器能够成功访问
B
C
培训大纲
一、导入及案例
二、数字证书概念
三、数字证书获取 四、数字证书应用
一、导入及案例
你有用过数字证书吗?字证书解决问题: 保密性 - 只有收件人才能阅读信息。 认证性 - 确认信息发送者的身份。 完整性 - 信息在传递过程中不会被篡改。 不可抵赖性 - 发送者不能否认已发送的信息。 数字证书分类: 服务器证书:密码登录、订单处理、网上银行交易等 电子邮件证书:加密邮件,证明电子邮件发件人的真实性 个人证书:身份验证和电子签名,usbkey
详细操作查看《Java中Keytool的使用总结》 链接:/share/s/3PVwdG26_Q-V2N1efb2Swew83XmaFI2jT4mB2hNmve2ZUJKK 密码:1p7u
三、数字证书获取
Java keytool生成证书: 1. 生成keystore证书;
二、数字证书概念
CA认证机构 CA机构,即证书授权中心(Certificate Authority ),或称 证书授权机构,作为受信任的第三方,承担公钥体系中公钥的 合法性检验的责任。CA中心在安全责任分散、运行安全管理、 系统安全、物理安全、数据库安全、人员安全、密钥管理等方 面,需要十分严格的政策和规程,要有完善的安全机制。 全球知名的服务器证书品牌有GlobalSign、Verisign、 Thawte、Geotrust等
三、数字证书获取
Let’s Encrypt获取证书(Redhat 6.2为例): 1. yum库设置,启用163和epel库;
2. 防火墙开放80、443端口;
3. 执行certbot-auto获取Let's Encrypt证书; 4. 证书有效期3个月,在有效期内执行更新。
详细操作查看《Let's Encrypt证书使用》 链接:/share/s/3PVwdG26_Q-V2N1efb2Swew82MMHKN0qA4J52wCIuG2o1cRY 密码:tl28
2. 个人生成:采用工具生成证书文件,不被CA机构认可, 浏览器访问会提示不安全。例如:Java keytool、 OpenSSL等。
注:身份验证级别: DV SSL(只验证Email)、OV SSL(验证Email、验证单位身份验证文件、第三方数据库核实 )、EV SSL(全球统一标准的扩展验证标准,验证Email、验证单位身份证明文件、验证申请人身份证明文件、第 三方数据库核实)。
三、数字证书获取
OpenSSL生成证书: 1. 制作根证书;
2. 制作server服务器端证书;
3. 制作client客户端证书; 4. 证书类型介绍。
详细操作查看《使用openssl生成证书》 链接:/share/s/3PVwdG26_Q-V2N1efb2Swew82NhDId32jQEu2APFKi3IsMXP 密码:46fn
数字证书简介及使用
课程简介
培训主题:数字证书简介及使用 培训对象:项目经理、开发人员、技术支持人员
培训课时:2
培训方式:讲解/自学 + 练习 本课程提供要件包括:1、PPT培训材料;2、Java中Keytool 的使用总结;3、Let's Encrypt证书使用;4、使用openssl生 成证书。
三、数字证书获取
OpenSSL生成证书: 1. 制作根证书;
2. 制ncrypt获取证书(Redhat 6.2为例): 1. yum库设置,启用163和epel库;
2. 防火墙开放80、443端口;
3. 执行certbot-auto获取Let's Encrypt证书; 4. 证书有效期3个月,在有效期内执行更新。
详细操作查看《Let's Encrypt证书使用》 链接:/share/s/3PVwdG26_Q-V2N1efb2Swew82MMHKN0qA4J52wCIuG2o1户端与服务器交互过程(RSA密钥交换)
二、数字证书概念
客户端与服务器交互过程(DH迪菲-赫尔曼密钥交换)
培训大纲
一、导入及案例
二、数字证书概念
三、数字证书获取 四、数字证书应用
三、数字证书获取
数字证书获取方式: 1. CA机构申请:需要到相应机构提交相关材料申请证书, 证书分为 域名型证书(DV SSL)、企业型证书(OV SSL) 、增强型证书(EV SSL),根据申请证书安全级别越高, 提交申请的材料要求越严格,价格也越贵。例如: GlobalSign、Verisign、WoSign、Let’s Encrypt等
三、数字证书获取
Java keytool生成证书: 1. 生成keystore证书;
keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -validity 3650 -keystore
tomcat.keystore
2. 导出crt证书;
3. 查看证书信息。
三、数字证书获取
OpenSSL生成证书: 1. 制作根证书;
2. 制作server服务器端证书;
3. 制作client客户端证书; 4. 证书类型介绍。
详细操作查看《使用openssl生成证书》 链接:/share/s/3PVwdG26_Q-V2N1efb2Swew82NhDId32jQEu2APFKi3IsMXP 密码:46fn
你有没有碰见这些状况
一、导入及案例
来自OpenSSL的紧急安全警告(CVE-2014-0160): OpenSSL出现“Heartbleed”安全漏洞。这一漏洞让任何人 都能读取系统的运行内存,全球三分之二的网站的服务器 都处于危险之中。该漏洞在互联网又称为“heartbleed bug”, 中文名称叫做“心脏出血”、““击穿心脏””等。 Heartbleed漏洞是由安全公司Codenomicon和谷歌安全 工程师发现的,并提交给相关管理机构,随后官方很快发布了漏洞的 修复方案。2014年4月7号,程序员Sean Cassidy则在自己的博客 上详细描述了这个漏洞的机制。
OpenSSL Heartbleed
一、导入及案例
Mozilla封杀沃通和StartSSL证书风波
Mozilla 基金会2016年10月22日对沃通(WoSign)及被其秘密收购的 StartCom(著名的 StartSSL 即其旗下产品)这两个 CA 一年内新签发的所有 SSL 证书进行封杀。Mozilla 的工程 师是在对这两个 CA 签发了一系列可疑的 SSL SHA-1 证书进行调查之后(调查报告),宣布 了这个禁令。Mozilla 列举了沃通存在的诸多问题: 1.StartCom 允许证书倒填日期 2. 沃通秘密收购了 StartCom 3. 只要认证子域名就可以签发根域名证书 4. 允许任意端口验证 5. 签发了 392 个相同序列号的证书 谷歌(Google)已于10月31日在博客中宣布从Chrome 56版本开始不再信任WoSign 在10月 21日以后签发的SSL证书,在此日期之前签发的证书会(may)继续信任,但不能保证所有证书 都会被信任。 苹果(Apple)已决定从12月1日起不再信任WoSign根证书签发的SSL证书。为此,沃通 (WoSign)决定不再在 数字证书商店 销售WoSign根证书下签发的各种SSL证书,但不排除为某 些有需求的用户仍然从WoSign根证书下签发SSL证书。
三、数字证书获取
Let’s Encrypt获取证书(Redhat 6.2为例): 1. yum库设置,启用163和epel库;
2. 防火墙开放80、443端口;
3. 执行certbot-auto获取Let's Encrypt证书; 4. 证书有效期3个月,在有效期内执行更新。
详细操作查看《Let's Encrypt证书使用》 链接:/share/s/3PVwdG26_Q-V2N1efb2Swew82MMHKN0qA4J52wCIuG2o1cRY 密码:tl28
培训大纲
一、导入及案例
二、数字证书概念
三、数字证书获取 四、数字证书应用
二、数字证书概念
什么是数字证书? 数字证书就是互联网通讯中标志通讯各方身份信息的一串数 字,提供了一种在Internet上验证通信实体身份的方式,数字 证书不是数字身份证,而是身份认证机构盖在数字身份证上的 一个章或印(或者说加在数字身份证上的一个签名)。它是由 权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身 份。
三、数字证书获取
Let’s Encrypt获取证书(Redhat 6.2为例): 1. yum库设置,启用163和epel库;
2. 防火墙开放80、443端口;
