CA 和 Self-signed Certificate 客户端 如何验证其合法性?

最新推荐文章于 2024-06-25 13:40:42 发布
最新推荐文章于 2024-06-25 13:40:42 发布
阅读量8.1k 收藏
点赞数
文章标签: server application exception java ssl command
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dgenerationx/article/details/3956837
版权
  • CA

         了解 CA 签发的的过程,以及他的合法性


                          http://www.texnet.com.cn/help/cklc/618.html

 

         CA 是如何 工作的?

 

                          http://technet.microsoft.com/en-us/library/cc737264.aspx

  • Self-Signed

          必须将 Self-Signed 的证书 加载 到 Trust Store 里面去

http://publib.boulder.ibm.com/infocenter/itshelp/v2r0/index.jsp?topic=/com.ibm.its.help.doc/t_adding_certificate_to_cacerts.html

 

How the Self-Signed Cert be verified?

 

1. When you connect to a SSL server, java application asks the server to send its certificate

2. Client checks if the certificate is valid (like signature, validity date etc)

3. If step 2 validates successfully, java client validate if the issuer of the certificate can be trusted. This is where the trust store comes into picture. Java, by default, goes to <jre>/lib/security/cacerts file to see if the issuer can be accepted. If the (last) issuer is not found in that trust store, it throws exception.
As I did the step as the bold words said with FTPS and it's really not throw out the exception if I didn't import the certificate into the truststore, And we need to create a TrustManager by the self-signed certificate then hande shake with the server to verfify if the server is legal or fake.


4. In theory, to test your ssl application in test mode, you can add the server certificate (given by your admin) to the default cacerts (which is very very bad approach) or create a new trust store with that certificate and use that in your application (this is preferred approach)

5. Refer to http://exampledepot.com/egs/javax.net.ssl/Client.html which explains how to use your own keystore as TrustStore.

You can use keytool -import command to create a new keystore, by importing the certificate. Check out http://exampledepot.com/egs/java.security.cert/ImportCert.html

伤神v
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EMQ X MQTT 服务器启用 SSL/TLS 安全连接
emqx_broker的博客
07-13 5983
作为基于现代密码学公钥算法的安全协议,TLS/SSL 能在计算机通讯网络上保证传输安全,EMQ X 内置对 TLS/SSL 的支持,包括支持单/双向认证、X.509 证书、负载均衡 SSL 等多种安全认证。你可以为 EMQ X 支持的所有协议启用 SSL/TLS,也可以将 EMQ X 提供的 HTTP API 配置为使用 TLS。本文将介绍如何在 EMQ X 中为 MQTT 启用 TLS。 SSL/TLS 带来的安全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中,很
J2EE工程实现中常见安全问题解决对策
纯月部落
05-16 1992
by fleshwound (http://www.smatrix.org)(注:这是我们的完整设计中的一部分,其它有些部分尚要求保密,希望这个拙文能给做J2EE项目的兄弟们带来点帮助,有任何关于JAVA安全和密码学理论和应用的问题可以来我们的论坛:http://bbs.smatrix.org)   近年来,随着互连网和计算机的普及,电子商务和电子政务成为当今社会生活的重要组成部分,以网上订购和网
MySQL 5.7.42 主从复制环境搭建
fanzhuozhuo的博客
06-25 763
本次安装环境:OS版本:Red Hat Enterprise Linux Server release 6.8 (Santiago)MySQL版本:5.7.42架构:同一台机器,多实例安装搭建ip地址:10.1.11.250安装方式:采用MySQL二进制安装。
首款物联网防火墙himqtt开源
corpcorp的博客
10-25 591
随着5G的推进和物联网的快速推进,MQTT已然是物联网(Internet of Things,IoT)不可或缺的标准协议,预计到2025年将有超过750亿台设备连接到互联网,但物联网方面的防火墙很少。 himqtt是首款完整源码的高性能MQTT物联网防火墙 - MQTT Application FireWall,C语言编写,采用epoll模式支持数十万的高并发连接,并且兼容ModSecurity部...
Linux系统:CentOS 7 CA证书服务器部署
cronaldo91的博客
08-27 6441
证书请求文件:CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书的私钥签名就生成了证书文件,也就是颁发给用户的证书。HTTP 明文传输,数据都是未加密的,安全性较差,HTTPS(SSL+HTTP) 数据传输过程是加密的,安全性较好。功能:证书发放、证书更新、证书撤销和证书验证
初识百度天工
asqx5580的博客
04-01 506
百度天工服务分为物接入IOT Hub、物解析IOT Parser、物管理IOT Device、时序数据库TSDB、规则引擎Rule Engine还有物可视IOT Visualization,目前物可视在官方公测阶段,需要开发者在物可视界面申请。   首先打开百度云https://cloud.baidu.com/?from=console,登录自己的百度账号,进入到控制台,然后点击...
java 使用CA认证
热门推荐
借物小人的博客
05-11 1万+
本文转自: 数字证书简介及Java编码实现 CA认证原理以及实现 java CA证书制作和代码中使用 名词大意 秘钥库:存储了公钥和私钥信息,一个秘钥库可以存储多对的密钥对(密钥对可以理解为就是数字证书),通过alias别名来取出需要的密钥对,存放于服务器,xxx.keystore文件 数字证书:只能存储公钥,可以从xxxx.keystore中导出某个密钥对的公钥证书,存放于客户端,xxx.ce...
openssl-self-signed-certificate-generator
04-20
"openssl-self-signed-certificate-generator"是一个实用工具,它帮助用户快速创建自签名的SSL证书,这对于测试环境或者个人项目来说非常方便,因为它们不需要权威证书颁发机构(CA)的验证。 首先,我们来理解什么...
前端开源库-openssl-self-signed-certificate
08-30
5. **验证证书**:生成证书后,你可以使用`verify`命令检查其有效性。 ``` openssl x509 -noout -text -in certificate.crt ``` 6. **在Web服务器上配置**:最后,将生成的`certificate.crt`和`private.key`文件...
self-signed-ssl:使用OpenSSL生成自签名TLS证书
03-21
用法self-signed-tls [OPTIONS]self-signed-tls --trust -c US -s California -l 'Los Angeles' -o 'Example Org' -u 'Example Unit'self-signed-tls --ca-key=/path/to/CA.key --ca-cert=/path/to/CA.pem --ca-only...
create-ssl-certificate创建自签名SSL证书的命令行工具
08-10
自签名SSL证书是一种不经过权威证书颁发机构(CA验证,而是由自己签署的证书,通常用于测试环境或者内部网络。本文将详细介绍如何使用`create-ssl-certificate`这个基于Node.js的命令行工具来创建自签名SSL证书。 ...
cert-manager-cluster-issuers:kustomization组件目标,它将安装两个Cert-Manager ClusterIssuer对象(PSI Public-SIgned-Issuer和SSI Self-Signed-Issuer)
04-12
配置 `SSI Self-Signed-Issuer` 时,你需要指定 CA 私钥和证书,或者让 `Cert-Manager` 自动生成它们。 `Kustomization` 是 Kubernetes 的一种资源定制工具,允许用户通过 YAML 文件来声明式地管理和更新资源。在 `...
编译Elasticsearch问题
Felix_阳的博客
01-03 269
大意是运行elasticsearch运行需要1.8但是构建项目需要1.10。 所以是不支持jdk版本造成的构建失败。 如果不想修改系统环境变量,可以修改es源码中的文件“BuildPlugin.groovy”中,将 final String javaHome = System.getenv('JAVA_HOME') 修改为 final String javaHome = "C:\\Pro...
Windows server下MySQL数据库的安装及常见问题(含安装包)
weixin_46082660的博客
06-03 2472
Windows下MySQL数据库的安装及常见问题(含处理办法)mysql安装方法及启动MySQL数据库安装出现的问题启动MySQL服务报错启动MySQL服务报错3534启动MySQL服务报错3523启动MySQL服务报错提示发生系统错误193启动MySQL数据库报错mysql -u root -p报错ERROR 2003 (HY000): Can't connect to MySQL server on 'localhost' (10061)mysql -u root -p报错ERROR 1130 (HY0
linux eclipse 错误:to generate dependencies you must specify either
jonathanlin2008的专栏
11-18 3478
<br />在linux下面下了一个最新版本<br />Version: 3.6.1<br /> Build id: M20100909-0800<br />下来之后第一件事就是用它内部自带的helloworld进行测试,谁知道竟然出错了,给出<br />to generate dependencies you must specify either -M or -MM<br />我想自带的程序应该不会有错误,不过为了保险,我还是用g++检查了一下程序,发现可以正常生成及运行。<br />于是就怀疑是ec
使用 OpenSSL为WindowsServer远程桌面(RDP)创建自签名证书 (Self-signed SSL certificate)
生活在底层的低级码农
08-04 1万+
前言 笔者查阅很多资料,才写成此文章,如有错误,请读者们及时提出。 一般大家使用远程桌面(Remote Desktop)连接Windows Server时,总会有一个警告提示,如图1 图1 出现此警告的原因为证书为服务器的自签名证书,我们的客户端无法识别,故笔者思考,如何使用证书安全的使用远程桌面(RDP)。 解决方法: 使用WIndowsServer自带的”AD证书服务”,...
用脚本(openssl)搭建一个self-signed certificate的https server
勤劳的小蜜蜂
08-17 964
网上有很多介绍如何创建self-signed certificate的文章,但是有个缺点是每一步必须输入多个参数,写脚本的时候就得写成交互式的,为了写脚本的方便性,本文通过配置文件来创建一个self-signed certificate。 1. 先创建一个文件夹:     mkdir /etc/httpd/ssl 2.  cd /etc/httpd/ssl 3. 写一个配置文件self_s
CA自签名证书,并给服务器颁发证书
weixin_34248258的博客
01-27 1071
https CA自签名证书,并给Webserver颁发证书 # **CA主机执行命令** [root@centos7 ~]# cd /etc/pki/CA [root@centos7 CA]# touch index.txt [root@centos7 CA]# echo 01 > serial 生成私钥文件 [root@centos7 CA]# (umask 077;openssl ge...
idea git SSL certificate problem: self-signed certificate
最新发布
07-12
当你在IntelliJ IDEA中使用Git时遇到SSL证书问题,通常是因为你正在连接到的是一个自签名证书的GitHub、GitLab或其他托管服务。这种情况常见于开发者在本地环境中搭建Git服务器,或者一些测试环境下的证书未通过官方认证。 错误消息“self-signed certificate”意味着 IntelliJ IDEA检测到了一个来自不受信任源头的证书,因为该证书没有从知名的公共证书颁发机构(CA)签发。解决这个问题有几种方法: 1. **忽略警告**:临时忽略SSL验证,但这并不是长久之计,因为可能存在安全风险。在命令行中添加`--no-check-certificate`选项,或在IDEA的设置里找到Git配置,设置`sslVerify=false`。 2. **添加例外**:如果你能获取到证书文件(.crt 或 .pem),可以将其导入到IDEA的信任存储里。在Windows上通常是 `%USERPROFILE%\.gitconfig`,Linux/Mac则是`~/.ssh/ca-certificates.crt`,然后将证书添加进去。 3. **安装证书**:如果证书由受信CA签发,但IDEA尚未识别它,你需要下载并安装这个证书到系统信任的位置。这通常涉及到操作系统的证书管理工具,如Windows的证书管理控制台或Mac/Linux的ca-certificates包。 4. **修改远程仓库设置**:如果是GitLab或GitHub的问题,你可以尝试更新它们的安全设置,将自签名证书视为有效,但这需要对方的支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值