ssl3

最新推荐文章于 2023-10-24 14:27:37 发布
最新推荐文章于 2023-10-24 14:27:37 发布
阅读量242 收藏
点赞数
文章标签: Weblogic IE 浏览器 Linux 配置管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_7782/article/details/81643155
版权

一、步骤:
1、安装OPENVPN软件生成带签名的证书
2、将证书导入Weblogic服务器并配置使用新证书
3、将证书导入ISA服务器并建立发布规则发布内部网站

二、准备工作:
去openVPN.net下载安装openVPN
三、现在开始制作证书:

开始-程序-附件-命令提示符,进到openvpn的easy-rsa目录,比如:
c:\program files\openvpn\easy-rsa>;_
输入:
init-config 回车
会 产生几个文件,切换出来,用UltraEdit打开vars.bat文件,修改其中的KEY_COUNTRY(国家2位字母), KEY_PROVINCE(省2位字母), KEY_CITY(城市), KEY_ORG(组织),  KEY_EMAIL(电子邮箱)这几个参数,免去后面制证时反复输入的麻烦。保存退出,返回使用命令提示符界面。

依次输入以下两个命令,当然是分别回车喽:
vars
clean-all  (这两个是准备工作)

1)建立CA根证书
接着输入build-ca  回车(这个就是建立CA根证书啦)
然后显示:
ai:/usr/share/openvpn/easy-rsa # ./build-ca
Generating a 1024 bit RSA private key
............++++++
...........++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:          国家名2位字母,默认的参数就是我们刚才修改过的。
State or Province Name (full name) [GD]:    省、州名2位字母
Locality Name (eg, city) [Shenzhen]:        城市名
Organization Name (eg, company) []:        组织名,我填LTD
Organizational Unit Name (eg, section) []:          组织里的单位名,我填ISD
Common Name (eg, your name or your server's hostname) []:这个是关键,应该输入颁发根证书单位的域名,不过因为是根证书,所以怎么填都无所谓。只有服务器证书才需要认真填。我填RootCA
Email Address [me@myhost.mydomain ]: 电子邮箱
好了,CA根证书制作完成!在keys目录下,它的名字就叫ca.crt,CA的私钥是ca.key

2)现在制作服务器证书:
在命令提示符下,输入
build-key-server server  回车
你会看到和上面很相似的东西
但要注意这里的Common Name (eg, your name or your server's hostname) []:这个才是真正的关键。这里应该输入服务器的域名比如 www.xxx.com 如果没有域名,就应该填ip,
接下来看到:
a challenge password []:填不填随便,我填test
an optional company name []: 填不填随便,我填test
sign the certificate? [y/n] 敲y回车。用CA根证书对服务器证书签字认证。
1 out 1 certificate requests certified,commit? [y/n] 敲y回车,确认。
好了,建好了在keys目录下的server.crt(证书)和server.key(私钥)
3)现在制作客户端证书:
在命令提示符下,输入
build-key client  回车
又是一通国家省市组织等等,comman name我填192.168.1.3
然后
a challenge password []:填不填随便,我填test
an optional company name []: 填不填随便,我填test
sign the certificate? [y/n] 敲y回车。用CA根证书对客户端证书签字认证。
1 out 1 certificate requests certified,commit? [y/n] 敲y回车,确认。
好了,建好了在keys目录下的client.crt(客户端证书)和client.key(私钥)等等, .crt的客户端证书是不能使用的,必须把它转化为.pfx格式的文件!!所以,还是在命令提示符下,输入
openssl 回车
看到openssl>;
再输入
pkcs12 -export –in keys/client.crt -inkey keys/client.key -out keys/client.pfx
回车,
看到Enter export password:会要求你建立客户端证书的输出密码,我填test,
verifying-Enter export password再确认一遍test


四、证书生成完毕,现在要将证书生成并导入Weblogic使用的JKS证书格式
1、用UltraEdit打开client.key,将其另存为clientpk.pem

2、用UltraEdit打开client.crt,删除-----BEGIN CERTIFICATE-----以上所有行,另存为clientca.pem

3、用UltraEdit打开clientca.pem,再打开clientpk.pem,将clientpk.pem内容复制到下面,将其另存为clientcrt.pem,记住中间不要有空行,最后要有一空行

4、相同办法生成serverpk.pem,serverca.pem,servercrt.pem

5、 将此六个文件 clientpk.pem,clientca.pem,clientcrt.pem,serverpk.pem,serverca.pem,servercrt.pem 用FTP传到/home/weblogic/bea/jdk142_05/bin下,并修改所属权限为Weblogic用户 命令: chown weblogic 文件名

6、用Weblogic用户登陆linux,进入/home/weblogic/bea/jdk142_05 /bin目录,由于要用到Java命令,所以先定义下环境变量:$export  CLASSPATH=/home/weblogic/bea/weblogic81/server/lib/weblogic.jar
7、生成客户端使用的JKS证书并将之前生成的证书导入进JKS文件中:
./keytool -import -trustcacerts -file clientca.pem -alias clienttrust -keystore testtrust.jks -storepass test

8、将服务器证书也导进JKS文件:
./keytool -import -trustcacerts -file serverca.pem -alias servertrust -keystore testtrust.jks -storepass test

9、生成服务器使用的JKS证书并将之前生成的证书导入进JKS文件中:
./java utils.ImportPrivateKey -keystore test.jks -storepass test -storetype JKS -keypass test -alias TESTSERVER -certfile clientcrt.pem -keyfile clientpk.pem -keyfilepass test

10、将服务器证书也导进JKS文件:
./java utils.ImportPrivateKey -keystore test.jks -storepass test -storetype JKS -keypass test -alias 192.168.1.3 -certfile servercrt.pem -keyfile serverpk.pem -keyfilepass test

五、设置weblogic服务器SSL设置
1、启动weblogic,用IE进入Console( http://testserver:7001/console/ )。展开Servers,单击myserver,在右边的配置栏中(Configuration Tab) ,选择Keystores & SSL

2、单击Change,选择Custom Identity and Custom Trust,单击Continue,填入以下值。
1)Custom Identity:
Custom Identity Key Store File Name:/home/weblogic/bea/jdk142_05/bin/test.jks
Custom Identity Key Store Type: JKS
Custom Identity Key Store Pass Phrase: test
Confirm Custom Identity Key Store Pass Phrase: test
2)Custom Trust
Custom Trust Key Store File Name: /home/weblogic/bea/jdk142_05/bin/testtrust.jks
Custom Trust Key Store Type: JKS
Custom Identity Key Store Pass Phrase: test
Confirm Custom Identity Key Store Pass Phrase: test
3、单击Continue,准备对 Review SSL Private Key Settings 进行设置。
Private Key Alias: 192.168.1.3
Passphrase: test
Confirm Passphrase: test
最后重新启动weblogic完成。可以用IE打开试试看:https://testserver

六、在ISA上发布SSL网站
1、将客户端证书及根证书导入ISA2004服务器
1)将第三部生成的ca.crt及client.pfx拷贝进ISA服务器
2)在ISA服务器上执行:开始>运行>mmc打开mmc管理控制台,文件>添加/删除管理单元>添加> 选择"证书" >添加> 计算机帐户>下一步>完成。关闭。确定
3)控制台根节点>证书(本地计算机)>证书>右键选"所有任务">导入>下一步>浏览到client.pfx>下一步>输入密码test>下一步>完成。
4)控制台根节点>证书(本地计算机)>受信任的根证书颁发机构>证书>右键选"所有任务">导入>下一步>浏览到ca.crt>下一步>下一步>完成。

 2、建立SSL发布规则
1) 防火墙策略右键>新建>安全web发布规则>输入testserver(ssl)>ssl桥>下一步>允许> 下一步>加密到客户端和web服务器的连接>下一步>计算机名或IP地址:192.168.1.3>下一步>输入你网站的 域名 www.xxx.com >下一步>新建>
输入80/443>侦听来自这些网络的请求选择"外部">下一步>勾选启用HTTP跟启用SSL>选择>选择刚才导入的证书>确定>下一步>完成>下一步>下一步>完成

iteye_7782
关注
Ceph入门到精通-SSL_read() failed (SSL: error:140943F2:SSL routines:SSL3_READ_BYTES:sslv3 error in nginx
隔壁老瓦的专栏
12-13 999
Asked 6 years, 6 months agoModified 3 years, 6 months agoViewed 10k times I do not understand this error when I in nginx I have SSL3 enabled, it only happens to me with this subdomain. The rest of subdomains I have the same and they work.My : Chrome er
mosquitto日志报错SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
weixin_34363171的博客
04-09 8106
参考文章 Mosquitto服务器的搭建以及SSL/TLS安全通信配置 Mosquitto SSL Configuration -MQTT TLS Security 读者Abhinav Saxena的评论 OpenSSL - error 18 at 0 depth lookup:self signed certificate 系统版本...
SSL3.0
jason927的专栏
08-14 3609
<br />加密技术的应用是多方面的,但最为广泛的还是在电子商务和VPN上的应用。 <br />  1、在电子商务方面的应用 <br />  电子商务(E-business)要求顾客可以在网上进行各种商务活动,不必担心自己的信用卡会被人盗用。在过去,用户为了防止信用卡的号码被窃取到,一般是通过电话订货,然后使用用户的信用卡进行付款。现在人们开始用RSA(一种公开/私有密钥)的加密技术,提高信用卡交易的安全性,从而使电子商务走向实用成为可能。 <br />  许多人都知道NETSCAPE公司是Internet
报错:SSL routines:ssl3_get_record:wrong version number
i-cat的博客
10-24 1万+
http和https的区别
禁止服务器的协议,Windows 服务器禁用 SSL 2 和 SSL 3 协议
weixin_33356544的博客
07-31 4143
[TOCM]一、前言首先说明一下,SSL 2 和 SSL 3 协议是两种过时的协议,原因是它们存在很严重的漏洞,所以我们要在服务端禁用 SSL 2 和 SSL 3 协议,以避免一些安全问题。SSL 2 协议:漏洞名为 DROWN(溺水攻击 / 溺亡攻击)。DROWN 漏洞可以利用过时的 SSL 2 协议来解密与之共享相同 RSA 私钥的 TLS 协议所保护的流量。SSL 3 协议:漏洞名为 POO...
解决SSL routines:ssl3_get_server_certificate:certificate verify failed
黑夜开发者的博客
01-18 6493
产生原因 php中opensslssl证书过期了 解决方案 先通过命令 php -r "print_r(openssl_get_cert_locations());" 输出目前所用的证书文件。从输出结果中定位到文件位置,即default_cert_file的指向。然后替换掉这个证书。 cd ~ && wget http://curl.haxx.se/ca/cacert.pem 然后用cacert.pem的内容替换default_cert_file所指向的文件内容。 继续编辑php.ini
SSL3、TLS1.0、TSL1.1、TLS1.2、TLS 1.3协议版本间的差异
SSL加密技术
11-20 2万+
下面主要为大家介绍SSL和TLS协议的各版本之间的差异。自SSL3以来,协议核心并没有大幅改变。TLS1.0为了迎合使用另一个名称进行了有限的改变,发布TLS1.1的首要目标是为了解决几个安全性问题。TLS1.2引了已验证加密,清理了散列,另外去掉了协议中的硬编码基元。TLS1.3是目前最新协议,有望成为有史以来最安全版本。 1、SSL3 SSL3于1995年末发布,为了弥补先前协议版本的诸多弱点,SSL3从头开始设计了一套协议,并一直沿用到了最新版本的TLS。 2、TLS1.0 TLS1.0于19
failed (SSL: error:14094085:SSL routines:ssl3_read_bytes:ccs received early) 错误解决方法
cbuy888的博客
05-24 8141
上面是查看nginx 错误日志时发现在的 原nginx.conf配置项如下 server { listen 443; server_name shopmall.xds1668.com; root /data/www/shopmall/web; include common.conf; ssl on; ...
python3中pip3安装出错,找不到SSL的解决方式
09-18
完成上述步骤后,Python3应该能够找到SSL模块,你可以在Python3环境中验证`import ssl`是否成功。当SSL问题解决后,使用`pip3`安装其他Python包(如numpy)也应该能正常进行。 总的来说,遇到“找不到SSL的解决方式...
SSLError(SSLError(1, '_ssl.c:510: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:
阿喵的博客
12-18 2981
关于pip版本的查看和更换pip版本 pip list 查看pip安装的包的版本 pip -V 查看pip本身的版本 easy_install pip=9.0.1 SSLError: [Errno 1] _ssl.c:504: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify f
一文讲清SSL协议
you are sherlocked by me!
10-15 4650
OSI七层模型 计算机网络的OSI七层模型和TCP/IP四层模型想必大家都知道。其中SSL/TLS是一种介与于传输层(比如TCP/IP)和应用层(比如HTTP)的协议。它通过"握手协议(Handshake Protocol)"和"传输协议(Record Protocol)"来解决传输安全的问题。SSL/TLS是一个可选层,没有它,使用HTTP也可以通信,它存在的目的就是为了解决安全问题,这也就是HTTPS相对于HTTP的精髓所在 SSL协议 SSL(Secure Sockets Layer)最初由N
Android5.0以下https兼容ssl3的问题
Mr_Tony的专栏
04-27 1520
低版本兼容https的问题
诡异的错误:OpenSSL.SSL.Error: [('SSL routines', 'ssl3_get_record', 'decryption failed or bad record mac')
欢迎来到打不死的小强的专栏
02-27 3万+
最近在学习pytorch,所以必须首先配置环境,但是在此期间出现了如题所述的错误,更奇怪的是当自己要安装opencv是竟然出现了同样的错误(以上均是在服务器上进行的),真是令人发指。。。。 首先看错误信息: Traceback (most recent call last): File &quot;/home/zqzhu/anaconda3/lib/python3.7/site-packages/pip...
“error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed”解决方法
crazy22222的博客
09-27 1万+
使用git通过https方式从github clone git repo源码时,报错如下: 1 2 3 Cloning into 'git'... fatal: unable to access 'https://github.com/git/git.git/': SSL certificate problem, verify that th...
SSL与TLS的区别以及介绍
聪明的狐狸
01-14 3014
SSL与TLS的区别以及介绍       SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。   TLS:(Transport Layer Secur
HTTPS、SSL、TLS三者之间的联系和区别
热门推荐
Enweitech Software Works
08-17 23万+
SSL(Secure Socket Layer 安全套接层)是基于HTTPS下的一个协议加密层,最初是由网景公司(Netscape)研发,后被IETF(The Internet Engineering Task Force - 互联网工程任务组)标准化后写入(RFCRequest For Comments 请求注释),RFC里包含了很多互联网技术的规范! 起初是因为HTTP在传输数据时使用的是明...
ssl routines:ssl3_read_bytes:tlsv1 alert decrypt error:ssl\record\rec_layer_
最新发布
12-07
这个错误消息通常意味着SSL/TLS协议在解密数据时遇到了问题。ssl routines:ssl3_read_bytes:tlsv1 alert decrypt error:ssl\record\rec_layer_这个错误表示SSL库在解密过程中出现了问题,可能是由于加密密钥不匹配、证书问题、协议版本不兼容或者数据损坏等原因导致的。 要解决这个问题,可以尝试以下几种方法: 1. 检查证书和密钥:确保服务器端和客户端使用的证书和密钥是匹配的,且没有过期或者被吊销。 2. 更新SSL/TLS协议版本:尝试升级SSL/TLS协议的版本,以确保其和服务器端的配置是兼容的。 3. 检查数据完整性:检查数据在传输过程中是否受到了损坏,可以通过重新传输或者使用校验和来验证数据的完整性。 4. 联系服务提供商:如果以上方法都无法解决问题,可以联系SSL证书或者服务器提供商寻求帮助,他们可能会提供更专业的支持和解决方案。 总的来说,ssl routines:ssl3_read_bytes:tlsv1 alert decrypt error:ssl\record\rec_layer_错误通常是由SSL/TLS协议配置或者数据传输过程中的问题引起的,需要通过仔细排查和解决来解决。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值