ocsp和ldap 区别_HTTPS 时代 - 动态加载证书和 OCSP stapling - 《OpenResty 最佳实践》 - 书栈网 · BookStack...

最新推荐文章于 2023-04-13 14:40:17 发布
最新推荐文章于 2023-04-13 14:40:17 发布
阅读量431 收藏
点赞数
文章标签: ocsp和ldap 区别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35057804/article/details/111890274
版权
本文介绍了如何在OpenResty中动态加载PEM和DER格式的SSL证书及私钥,以及如何实现OCSP stapling以优化HTTPS连接的性能。通过lua-resty-core库和OpenSSL的API,动态设置证书和私钥,解决了预先准备所有证书的需求。同时,详细展示了OCSP stapling的查询、验证和设置过程,以减轻浏览器的证书状态查询压力并提升页面加载速度。
摘要由CSDN通过智能技术生成

动态加载证书和 OCSP stapling

一个标准的 Nginx ssl 配置必然包含这两行:

ssl_certificate example.com.crt;

ssl_certificate_key example.com.key;

Nginx 启动时会读取配置的证书内容,并经过一系列解析后,最终通过调用 OpenSSL 的 SSL_use_certificate 来设置证书。

对于匹配的私钥,Nginx 调用的是 SSL_use_PrivateKey。

于是有了个新的想法:既然 OpenSSL 允许我们动态地设置证书和私钥,也许我们可以在建立连接前才设置证书和私钥呢?

这样一来,我们可以结合 SNI,针对不同的请求域名动态设置不同的证书和私钥,而无需事先把可能用到的证书和私钥都准备好。

动态加载证书

借助 OpenResty,我们可以轻易地把这个想法变成现实。

所需的,是 ssl_certificate_by_lua* 指令和来自 lua-resty-core 的 ngx.ssl 模块。另外,编译 OpenResty 时指定的

OpenSSL 需要 1.0.2e 或以上的版本。

见下面的示例代码:

server{

listen443ssl;

server_name test.com;

# 用于满足 Nginx 配置的占位符

ssl_certificate fake.crt;

ssl_certificate_key fake.key;

ssl_certificate_by_lua_block{

localssl=require"ngx.ssl"

--清除之前设置的证书和私钥

localok,err=ssl.clear_certs()

ifnotokthen

ngx.log(ngx.ERR,"failed to clear existing (fallback) certificates")

returnngx.exit(ngx.ERROR)

end

--后续代码见下文

}

}

证书/私钥的格式分两种,一种是文本格式的 PEM,另一种是二进制格式的 DER。我们看到的证书一般是 PEM 格式的。

最低0.47元/天 解锁文章
肖狡售
关注
ocspldap 区别_时代亿信旗下产品_统一认证与访问控制系列_产品
weixin_34707242的博客
12-23 838
产品概述时代亿信CA数字证书认证系统是在充分研究国内CA应用现状与多年信息安全研发实践,结合PKI实际应用需求的基础上,独立研发的一套用于数字证书的申请、审核、签发、注销、更新、查询的综合系统,颁发的数字证书格式严格遵循X.509 V3规范。功能特点支持多种密码算法CA数字证书认证系统支持如下密码算法:公钥密码算法:RSA、SM2。其中RSA密钥长度1024/2048/4096比特可选,SM2支持...
ocspldap 区别_基于LDAP目录服务的OCSP实现模型
weixin_29611239的博客
12-23 848
基于LDAP目录服务的OCSP实现模型徐蕾李明【摘要】摘要提出一种基于LDAP目录服务的OCSP(OnlineCertificateStatusProtocol)实现模型。新模型使用LDAP目录数据库存储OCSP响应器中的证书撤销数据,同时记录实体间证书验证关系;响应器为服务的实体提前收集验证证书的撤销信息,提前准备签名,部分减少了OCSP响应器对撤销数据库的搜索范围和签名时间。实验结果表明,这一...
SSL证书详细介绍
迷思
02-18 5396
SSL证书详细介绍 背景介绍 每个人都有自己的身份证,身份证都是由警局进行办理,有身份证可以证明你是合法公民,没有身份证说明这个人很可能有问题。 回到正题,今天介绍的是SSL证书,那么SSL证书实际上充当上述的身份证,是一种类似于驾驶证、身份证的电子副本,不同的是,SSL证书配置在服务器上,是服务器的身份证,它是由一些合法权威的CA机构进行颁发,CA机构就类似于上述的警局,那么警局是否一定权威或者...
ocspldap 区别_iOS / Security.Framework的CRL和OCSP行为?
weixin_39889487的博客
12-31 160
I'm trying to figure out what iOS' policy is when verifying certificates using Security.Framework regarding revocation of certificates.I cannot find information about this in the docs for iOS.In the c...
ocspldap 区别_《脑梗塞ocsp分型和治疗》.ppt
weixin_42391485的博客
12-23 779
高要区人民医院People's Hospital of Gaoyao District急性脑梗死临床分型、分期治疗(个体化治疗)原则People's Hospital of Gaoyao District目录高要区人民医院脑梗死的基本知识脑梗死的分型急重型脑梗死的分期治疗People's Hospital of Gaoyao District缺血阈高要区人民医院正常情况下脑血流量为50ml/l00...
openssl-master.zip_3522..com.ivp_C++_open_opensslOcsp-master
09-20
这可能是对OpenSSL OCSP功能特别感兴趣的开发者的一个宝贵资源,他们可以深入研究OCSP响应的处理逻辑,或者改进现有的OCSP stapling实现。 总的来说,OpenSSL在Linux程序中的应用涉及到络通信安全的诸多方面,从...
PyPI 官下载 | ndg_httpsclient-0.3.3.tar.gz
01-28
1. **增强的SSL/TLS支持**:`ndg_httpsclient`对`httplib`进行了扩展,增加了对SSL/TLS协议的高级特性的支持,如SNI(服务器名称指示)、NPN/ALPN(下一代协议协商)和OCSP(在线证书状态协议)。 2. **证书验证**...
PKI术语:CRL、增量 CRL、CTL、OCSPLDAP、AIA、CDP、名称约束、证书模板
smmi的专栏
10-19 3114
1. 证书吊销列表 (CRL):由 CA 颁发的数字签名列表,其中包括由 CA 颁发而且已经被吊销的证书。该列表包括被吊销证书序列号、证书被吊销的日期和吊销原因。应用程序能够执行 CRL 检查以便确定所示证书的吊销状态,也称为基本 CRL(相对于增量CRL)。 2. 增量 CRL:包括自从发布上一个基本 CRL 以来被吊销的证书列表的 CRL。增量 CRL 经常被用于吊销大量证书,以便优化带...
PKI术语:pki,ca,数字证书,电子签名,数字信封,摘要算法,md5,ldapocsp,Usb key...
smmi的专栏
10-19 481
一、    PKI的基本概念:       PKI(Public Key Infrastructure),PKI是公开密钥基础设施,它是为络通信和上交易提供身份认证,以及数据完整性、数据保密性、数据公正性、不可否认性及时间戳服务的安全基础平台。二、    PKI的理论基础:密码体制:密码体制分为对称密码体制和非对称密码体制。非对称密码体制中又可以分为公钥密码体制、DSA(基于离散数对)的密码体...
ssl证书 友好名称_什么是SSL证书CN(通用名称)和用法?
热门推荐
cunjiu9486的博客
10-06 1万+
ssl证书 友好名称Common Name or CN is generally used in SSL Certificates. CN is used to define the server name which will be used for secure SSL connection. Generally this SSL certificate used to secure conn...
SSL通信证书详解
sinat_33822516的博客
04-11 3052
Https通信中,客户端需要验证服务器提供的数字证书。数字证书中包含了公钥以及其他一些信息。那么数字证书中的参数是什么意思呢? 这里列举一个证书(自签名证书) 生成证书的方式:https://blog.csdn.net/sinat_33822516/article/details/81057646 1.版本 这个很好理解,就是证书的版...
Openresty(nginx) + ldap 验证
haodayizhizhuzhu的博客
02-17 895
openresty ldap 验证登录
如何使用工作证书验证根证书
chali1314的博客
09-08 1391
工作证书对根证书的验证主要是验证根证书的公钥。 已知根证书的格式为pem,工作证书格式为crt,验证流程为 1、读取根证书pem文件,获取根证书公钥; 2、读取工作证书文件,获取工作证书; 3、使用工作证书验证根证书公钥,验证通过,则说明该工作证书是根证书下发的 具体代码片段如下: /** * 根据根证书获取根证书公钥 * * @param rootCertPath 根证书路径 * @return * @throws Exception ...
数字证书的相关专业名词(下)---OCSP及其java中的应用
最新发布
学习不止境的博客
04-13 3524
该篇文章讲述如何获取OCSP地址以及通过OCSP地址获取OCSP响应结果
trust CA 证书不完整导致return code: 21 (unable to verify the first certificate)
weixin_40455124的博客
07-05 2326
Self-signed CA在https请求时候会返回证书不可信,而trust CA如果不是完整(三段模式)的证书,那么在使用代码进行https访问时候的时候,会返回: return code: 21 (unable to verify the first certificate) 而web访问是没有问题。 如何检测是否完整,可以使用openssl s_client -showcerts -connect xxx.xxx.com:443 进行检测,以下为一个完整CA的示意 openssl s_client
CA策略发布目录SPC
yhl4k的博客
03-31 4828
CA策略发布目录(CPS) 什么是PKI 公钥基础设施(PKI)是基于公钥理论和技术建立的络信息安全技术体系,是一种遵循标准的、为用户提供公钥证书管理、密钥管理、络信息安全应用或安全管理的基础设施。它为络内实体的认证、证书管理、数字签名、数据加密和络信息的机密性、真实性、完整性、不可否认性与存取控制等安全需求提供了具有普适性的基础技术。它属于国家信息安全标准之一。PKI架构包括络基础设施、安全支撑平台、应用支撑平台、安全业务应用和系统安全管理等。由于该系统是用公钥密码体制和技术来提供和实施安全
CRL和OSCP、LDAP
lingdukafeibj的博客
04-27 2986
签名验签服务器规范明确写出签名验签服务器应支持与CA基础设施的连接功能,包括CRL连接配置、OSCP连接配置。看完后一头雾水,首先需要了解什么是CRL 1、证书吊销列表(Certificate Revocation List,简称:CRL) 是PKI系统系统中的一个结构化的数据文件,该文件包含了证书颁发机构(CA)已经吊销的证书的序列号及其吊销日期。CRL文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间、以及采用的签名算法等。证书吊销列表最短的有效期为1个小时,一般为1天,甚至1个月不等,
openssl对SSL证书及密钥操作说明
adrninistrat0r的博客
03-01 4966
1. 使用OpenSSL自建CA OpenSSL是一个免费的、开源的加密库,用于处理数字证书,提供了一些命令行工具。部分工具可以提供证书颁发机构的相关功能。 使用OpenSSL可以自建测试CA,OpenSSL的使用文档为 https://www.openssl.org/docs/manmaster/man1/ 。 使用OpenSSL自建CA可参考 https://www.madboa.com/ge...
ITU-T X.509标准:公开系统互连的公钥与属性证书框架
"X.509 信息技术 - 开放系统互连 - 目录:公钥和属性证书框架" X.509是国际电信联盟(ITU-T)制定的一个推荐标准,属于其X系列标准的一部分,该标准详细定义了公钥和属性证书的框架。X.509标准在开放系统互连(OSI...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值