更新索引和相关依赖
创建 /var/>使用acmesh申请证书。
网站SSL证书的申请流程:
1、将CSR提交到代理商。
2、资料提交到CA。
3、发送验证邮件到管理员邮箱。
4、邮件验证。
5、颁发证书。
个人的独立网站比较适合去申请DVSSL证书,费用一般在几百元到几千元不等。1 创建目录,下载解压文件及配置权限,完成后运行程序以生成配置文件,并从输出信息中记下默认密码。
mkdir -p /opt/alist && cd /opt/alist
wget >第一部分:stunnel的安装与配置
注:在ubuntu下,stunnel的安装很简单快捷。
在synaptic(安立得工具系统下可以直接选举安装,如图示1)
在服务器环境下,直接使用apt-get install stunnel4即可。
图2
第二部分:stunnel的配置
(服务器端和客户端的配置两个方面,stunnel 客户方式不需要证书。stunnel 服务方式需要一个证书文件。)
1服务器侧的配置(server config)
(编辑:如nano或vi /etc/stunnel/stunnelconf)
1
compression=zlib
2
syslog=yes
3
debug=7
4
output=/var/log/stunnellog
5
setuid=root
6
setgid=root
7
pid=/var/run/stunnelpid
8
cert=/etc/stunnel/stunnelpem
9
key=/etc/stunnel/stunnelpem
10
client=no #注意与客户端一侧的比较
11
[squid] #这里是为SQUID项目准备
12
accept=8000
13
connect=127001:8080
注意事项:setuid需要有可以读写/var/run/stunnelpid的权限。
服务侧配置的其它说明:
connect:远程服务器的IP地址和端口
client:告诉stunnel这个配置是client配置
cert:连接是提供给对方的安全证书服务器端发送给客户端的安全认证因为我们的客户端不验证这个证书,所以使用标准的stunnel证书就可以;
accept:接受连接请求的端口(应该和客户端一致);
verify:验证级别;
1-表示如果客户提供安全证书则验证安全证书
2-表示客户必须提供安全证书并验证安全证书,此模式适合于从CA处购买的安全证书
3-表示客户必须提供安全证书并根本本地CAPath和CRLpath来验证证书是否合法,当然多选3。
1客户端一侧的(client) 配置
(编辑:/etc/stunnel/stunnelconf,注意与服务器端的比较)
1
client=yes
2
pid=/tmp/stunnelpid
3
debug=7
4
foreground=no
5
verify=0
6
[squid] #这里是为SQUID项目准备,对应服务器端的配置
7
accept=127001:9999 #接受来自客户端的请求
8
connect=server-IP:8000
说明:stunnel客户方式不需要证书。stunnel服务方式需要一个证书文件。
第三部分:Stunnel加密通道认证证书的自建(配置Stunnel生成Stunnelpem这个自验证加密文件的过程)
回顾配置Stunnelconf文件
cert=stunnelpem ; #密文
key = stunnelpem ; #自验证文件
taskbar=yes ; #是否在系统栏显示图标
client=no ; #服务端/客户端选择
[>
2019年6月20日 - 提供专用PKI管理解决方案的Sectigo宣布推出私有PKI服务,用于发布和管理用户,服务器,设备和应用程序的SSL证书,私有PKI和身份z书。
Sectigo Private PKI使企业能够通过在单一平台上管理非Microsoft设备和应用程序(包括移动,物联网(IoT),电子邮件,云和DevOps)来扩充或替换其Microsoft Active Directory服务(Microsoft CA)。
私有PKI(公钥基础结构)是一种企业品牌证书颁发机构(CA),其功能类似于公开信任的CA,但仅针对单个企业运行。 Sectigo提供能够向内部应用程序发布终端实体证书的私有根和下属。从私有CA颁发的证书仅在企业基础架构,合作伙伴和客户的受控环境中受信任。 Private PKI解决方案利用现有的Microsoft CA作为Sectigo的根,无需配置新的根证书。
Sectigo Private PKI是Sectigo证书管理器的一项功能,该平台使企业能够高效地管理私有证书并遵守公司和行业合规标准。该控制中心通过行业标准的注册协议自动在整个企业中提供证书。管理员可以发现以前颁发的证书,然后从单个平台发布,查看和管理所有证书。
Microsoft的自动证书管理允许IT管理员指示桌面和服务器在没有员工参与的情况下注册和续订证书。但是,今天的企业有无数的应用程序驻留在任何Microsoft *** 作系统之外,使管理员和员工可以手动跟踪,注册和续订证书和密钥。通过SCEP,EST,ACME和REST API等注册协议,Sectigo证书管理器可以为所有企业环境提供证书。
该服务支持单个SaaS应用程序中的所有必要证书类型,通过PKI实践和安全性为整个企业提供数字身份。
SSL行业,2月里面发生的重要动态:
TLS 13已经获得IETF的批准; 最终的RFC可能会很快推出。
即将完成的TLS 13再次开始了关于拦截代理和数据中心可见性的讨论。 英国国家网络安全中心参加了这场辩论,但是正如Adam Langley指出的那样,有一些事实上的错误主张。 特别是,在12版本之前的TLS版本中,截取流量方法的一些误解是造成延迟TLS 13几个月的部署问题的原因。 在伦敦的IETF会议上,可见性问题也再次提出。
OpenSSL正试图将其代码更改为Apache许可证。 他们现在正在寻找最后的贡献者,目前还没有得到他们的更改许可证的批准。
Facebook推出了一项功能,该功能将主动将>
NSS发布了336版本,并将其Chacha20算法替换为HACL 项目的正式验证版本。
谷歌解释了其最终计划,摒弃下个月的一些赛门铁克证书以及今年晚些时候的所有剩余的证书。 正如我们上个月报告的那样,仍然有许多网站使用这些证书,这些证书很快就不再受信任,并且已经在Firefox Nightly和Chrome Beta版本中引发警告。 Mozilla TLS天文台提供了有关该主题的一些新数据。
Apple已经对HSTS进行了一些更改,以防止滥用用户跟踪功能。
Android P将加强对应用程序中TLS流量的需求,如果开发人员未明确选择加密流量,则会阻止所有非TLS流量。
Mozilla通过>
自动化证书颁发的ACME规范正在终审,并可能很快成为IETF RFC。
encryptedgooglecom子网域提供了一种通过>
Hanno Böck 发布了WolfSSL库中堆栈缓冲区溢出的详细信息。
Let's Encrypt现已支持通配符证书。
LibreSSL修复了271版中的证书验证漏洞,由Python开发人员Christian Heimes发现,他也在Python本身中实现了一种解决方法。
OpenSSL修复了两个漏洞,ASN1解析器中的堆栈耗尽以及CRYPTO_memcmp函数的HP-UX / RISC汇编代码中存在的一个错误。
研究人员发表了一篇论文,分析证书透明度日志中的证书与基准要求的一致性。
与其他浏览器一样,Safari在用户使用未受保护的>
CurveSwap是可能出现的理论攻击情形,因为部分TLS握手未经过身份验证。一篇研究论文以此为出发点来研究椭圆曲线密码学的另类应用。
Cloudflare宣布其证书透明日志,名曰Nimbus。
Tinydoh是基于>
越来越多的公司和项目宣布弃用旧的TLS版本10和11,包括:证书颁发机构DigiCert,KeyCDN公司和Python包存储库PyPI。
从4月份开始,Chrome需要从证书透明度日志中获取所有新证书的SCT。Let's Encrypt已经开始自动将它们嵌入到所有新证书中。
Mike West写了一个提案,以限制通过不安全的>
Vodafone葡萄牙公司重写了>
Kudelski安全公司解释了Manger对RSA OAEP的攻击。
Adam Langley写了一篇关于Cloudflare和Google的测试,以确定TLS 13中后量子密钥交换的可行性。后量子算法通常带有更大的密钥大小;该实验通过向TLS握手添加虚拟扩展来模拟这一点。独立于测试,思科的研究人员已经建立了一个实验性的后量子PKI,使用X509扩展为证书添加后量子能力。
Mozilla的Franziskus Kiefer写了篇关于Mozilla在HACL项目中使用正式验证的加密技术的博文
OpenSSL发布了关于RSA密钥生成中的时间问题的建议。相应的研究论文已经发表在Cryptology ePrint Archive上。
一篇论文探索了用其他实现来动态替换OpenSSL中的加密算法,在某些情况下提速显著。
论坛供应商Discourse默认博客支持>
Ian Carroll又一次以“Stripe,Inc”的名义为其子域名之一申请扩展验证证书。他已经用该名称注册了一家公司,而该公司并非知名的支付提供商Stripe。这点表明扩展验证证书没有多大价值。证书颁发机构GoDaddy已经吊销了该证书,这反过来又引发了关于撤销是否合法的辩论。 Scott Helme在博客文章中讨论了这场辩论。
一篇研究论文调查Java密钥库的安全问题。
托管官方jQuery库的域的证书已过期,并导致大量网站崩溃。因为通常的做法是从上游主机中包含jQuery并且不在本地托管它。
testsslsh工具已发布30测试版,包括支持TLS 13,检测ROBOT漏洞以及支持OpenSSL 11。
Bouncy Castle的RSA密钥生成算法的一个缺陷可能会导致素数测试的数量太低。如果可能性很低,则可能导致产生弱密钥。
BGP劫持被用来攻击Ethereum网站MyEtherWallet的访问者。这引发了一些关于BGP漏洞被用来伪造证书发布的风险的讨论 - 尽管在这种情况下没有发生这种证书伪造。洞被用来伪造证书发布的风险的讨论 - 尽管在这种情况下没有发生这种证书伪造。 Cloudflare的博客文章解释了细节。这种攻击情景并不新鲜;它在2015年黑帽会议和研究论文中进行了讨论。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)