frp ssl证书配置 密钥生成

已于 2023-04-25 12:18:18 修改
阅读量2k 收藏 13
点赞数 1
文章标签: ssl
于 2023-04-24 19:41:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ziqibit/article/details/130349282
版权

对于frp安全传输非常重要
这里是对传输的端口进行证书加密

frp的配置使用可以参考我的这篇博客:
链接: frp安装配置

一、生成密钥

以下命令在linux下演示,windows下命令也是一致,但是需要自己去配置,可能有很多坑,建议直接用linux生成。
放到哪里都行,我这放到了frp的目录下,如果按照我的教程安装的直接用

mkdir /usr/local/frp/cert && cd /usr/local/frp/cert

1.OpenSSL 配置文件拷贝到当前目录

openssl一般都自带,无需安装,如果没有则安装openssl

apt-get install openssl 


dnf install openssl

查找my-openssl.cnf

find / -name "openssl.cnf"

我的位置是在/etc/ssl下,复制到/usr/local/frp/cert中

cp /etc/ssl/openssl.cnf ./my-openssl.cnf

2.生成ca

直接抄

openssl genrsa -out ca.key 2048

openssl req -x509 -new -nodes -key ca.key -subj "/CN=example.ca.com" -days 5000 -out ca.crt

3.生成frps的证书

openssl genrsa -out server.key 2048

注意,下面这条两条命令的127.0.0.1改成你的公网服务器的ip,否则无法使用

openssl req -new -sha256 -key server.key \
    -subj "/C=XX/ST=DEFAULT/L=DEFAULT/O=DEFAULT/CN=server.com" \
    -reqexts SAN \
    -config <(cat my-openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:localhost,IP:127.0.0.1,DNS:example.server.com")) \
    -out server.csr

注意这一条的365是365天,如果不想麻烦就加个0吧

openssl x509 -req -days 365 -sha256 \
    -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
    -extfile <(printf "subjectAltName=DNS:localhost,IP:127.0.0.1,DNS:example.server.com") \
    -out server.crt

4.生成frpc的证书

直接抄

openssl genrsa -out client.key 2048

openssl req -new -sha256 -key client.key \
    -subj "/C=XX/ST=DEFAULT/L=DEFAULT/O=DEFAULT/CN=client.com" \
    -reqexts SAN \
    -config <(cat my-openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:client.com,DNS:example.client.com")) \
    -out client.csr

注意这一条的365是365天,如果不想麻烦就加个0吧

openssl x509 -req -days 365 -sha256 \
    -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
    -extfile <(printf "subjectAltName=DNS:client.com,DNS:example.client.com") \
    -out client.crt

二、部署到服务端(frps)

由于是在公网ip的服务器创建密钥的,所以直接修改就行

vi /usr/local/frp/frps.ini

最后面加上

# 证书,双向验证,frps验证frpc,同时frpc验证frps
tls_only = true
tls_cert_file = /usr/local/frp/cert/server.crt
tls_key_file = /usr/local/frp/cert/server.key
tls_trusted_ca_file = /to/ca/path/ca.crt

保存并重启

systemctl restart frps

三、部署到客户端(frpc)

客户端需要将生成的以下三个文件下载下来:
客户端以linux为例,windows方法一致,图形化界面就不演示了
client.crt、client.key、ca.crt

1.创建客户端的文件夹

mkdir /usr/local/frp/cert && cd /usr/local/frp/cert

上传上面的三个文件

编辑配置文件

vi /usr/local/frp/frpc.ini

在common中添加

# 证书,双向验证,frps验证frpc,同时frpc验证frps
tls_only = true
tls_enable = true
tls_cert_file = /usr/local/frp/cert/client.crt
tls_key_file = /usr/local/frp/cert/client.key
tls_trusted_ca_file = /usr/local/frp/cert/ca.crt

保存并重启

systemctl restart frpc

四、其它情况

如果使用stcp或者xtcp,这时候访问也需要配置证书,否则无法使用,方法同部署到客户端的

ziqibit
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 10
    评论
winsw安装FRP服务配置脚本工具
03-16
利用winsw将FRP安装成系统服务,但是winsw也需要使用到命令行窗口,不方便; 因此写了一个bat脚本文件,将winsw的常用命令进行了集成,双击运行bat脚本,选择需要的操作即可,非常方便。
十分钟教你配置frp实现内网穿透
热门推荐
诗雨远方的博客
11-30 45万+
十分钟教你配置frp实现内网穿透 一、frp的作用 利用处于内网或防火墙后的机器,对外网环境提供 http 或 https 服务。 对于 http, https 服务支持基于域名的虚拟主机,支持自定义域名绑定,使多个域名可以共用一个80端口。 利用处于内网或防火墙后的机器,对外网环境提供 tcp 和 udp 服务,例如在家里通过 ssh 访问处于公司内网环境内的主机。 二、配置说明 1、...
frp 和 nginx的安装,ssl证书制作
weixin_47296041的博客
01-05 1922
前提概要: 下面的配置使用于如下框架: 一、frp的安装 frp的下载地址:https://github.com/fatedier/frp/releases 解压后: 脚本主要分为服务端与客户端文件 1)服务器端用到的是frps和frps.ini 2)客户端用到的是frpc和frpc.ini 服务器frps.ini配置,我的服务端Ip是192.168.11.167: [common] bind_port = 7000 subdomain_host = wellav.com token =
FRP进阶篇之安全认证
qq_53058639的博客
02-21 832
通过上次的《FRP入门篇》相信大家对于FRP有了初步的了解,在该文章提到FRP可以将内网服务以安全方式中转暴露到公网中,那么本文重点讲述在FRP中对安全的通信加、BasicAuth鉴权、TLS双向身份验证的操作使用。FRP之入门篇_不甘于平凡的溃败的博客-CSDN博客_frps将 frpc 与 frps 之间的通信内容加传输,将会有效防止传输内容被截取。加算法采用aes-128-cfb,如果传输的报文长度较长,通过对传输内容进行压缩,可以有效减小 frpc 与 frps。
使用frp+nginx内网穿透并配置https
axe的专栏
11-28 3062
使用frp+nginx内网穿透并配置https
【精品】使用FRP内网穿透后,登陆问题,Permission denied (publickey,gssapi-keyex,gssapi-with-mic)
liurugongzi123的博客
06-08 634
【精品】使用FRP内网穿透后,登陆问题,Permission denied (publickey,gssapi-keyex,gssapi-with-mic)
frp配置https内网穿透测试环境
ky1in93的博客
07-18 1075
微信支付需要提供回调接口,要求是公网的,https的,通常可使用解决,但此文讲述如何使用frp 搭建https的内网穿透。方法是 使用frp搭建服务端与客户端的http连接,然后使用nginx配置域名的https,然后转发到frp的http上。
frp服务端配置文件
08-12
frp服务端配置文件,包含frp服务端 ip、端口、用户名及码的配置
frp,多web核心配置方法
04-06
1.多web核心配置支持 Frp的custom_domains只能设置域名,一般需要设置 手工进入文件地址:C:\Windows\System32\drivers\etc\hosts,增加: 120.25.104.80 frps1.xx.com ==>> frps1是每台机器都不一样的 对于linux...
配置frp实现内网穿透.docx
11-07
Linux系统上配置frp实现内网穿透方法,请需要的朋友们尽快下载 Linux系统上配置frp实现内网穿透方法,请需要的朋友们尽快下载
frp配置教程.txt
08-22
FRP内网穿透的客户端配置文件,可以根据以上内容简单修改,即可用于Padavan路由器中,方便简单。
IPSecVPN与SSLVPN
qq_61807674的博客
05-17 927
突出验证的重要性和安全性,而sslvpn注重校验用户身份及访问权限的特点完全契合零信任体系,vpn本身对于企业办公的助力良多,而vpn自身安全保障不足,普通网络结构下的vpn存在巨大风险,容易产生盗取账号、冒用,已致内网失陷等严重安全事件,sslvpn基于高层协议的特殊性可以严格管控用户权限,摒弃了原先vpn默认可访问所有资源的老套路,防患于未然。当然了,不是说ipsecvpn就在认证上次于sslvpn,sslvpn基于应用层,高层协议的强项是对用户身份认;IPsecVPN与SSLVPN。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)解法
diaya的专栏
05-13 232
2. 本地组策略编辑器-->计算机配置-->管理模板-->网络-->SSL配置设置-->启用“SSL。3. 将原有的码套件值清空,拷入下面的值,保存设置,并重启服务器即可。1.运行gpedit.msc,进入本地组策略编辑器。
Openssl 安装
gaohongfeng1的博客
05-17 741
make。
【免费SSL】免费通配符SSL证书申请(不限数量,永久免费)
SSL证书分享
05-18 403
通配符证书旨在一张证书保护主域名以及其所有二级子域名安全,申请免费的通配符SSL证书不像标准单域名SSL证书那样普遍,绝大多少平台都不提供免费的通配符证书,但仍有少数服务商提供这样的服务。以下是免费通配符证书的申请流程。1、登录:登录免费证书服务商JoySSL官网,创建账号,填写注册信息是填写230915即可永久使用免费通配符证书。5、下载安装:下载证书并部署安装,(证书包里包含证书文件和帮助文档,可以按照指南进行部署安装)3、申请:点击申请,填写域名信息、单位信息(个人信息)、自动化生成CSR文件。
​​​​​​​JoySSL的免费证书应该如何申请
最新发布
2402_83162493的博客
05-20 330
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。根据您的需求选择合适的SSL证书类型,如DV(域名验证)、OV(组织验证)、EV(扩展验证)证书,或国SM2算法证书、IP安全证书等。一旦证书签发成功,您可以在JoySSL管理后台下载相应的SSL证书文件(包含私、公证书、中间证书等)。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。完成验证后,JoySSL将对您的申请进行审核,并在验证无误后签发SSL证书。对于DV证书,只需验证域名所有权。
使用Prometheus + Blackbox-exporter快速监控一个网站性能和SSL过期时间
出发之前永远是梦想,上路之后永远是挑战。
05-17 969
本文实验环境操作系统:Centos 7.9Prometheus版本:2.28.0Blackbox-exporter版本:0.25.0Blackbox Exporter是Prometheus社区提供的官方黑盒监控解决方案。它允许用户通过HTTP、HTTPS、DNS、TCP以及ICMP的方式对网络进行探测。黑盒监控是以用户的身份测试服务的外部可见性,常见的黑盒监控包括HTTP探针、TCP探针等用于检测站点或者服务的可访问性,以及访问效率等。
申请免费SSL通配符/泛域名证书教程
u012062803的博客
05-20 217
申请免费的SSL通配符/泛域名证书可以让您用一张证书保护同一个主域名下的所有子域名,这对于拥有多个子域名的网站来说非常方便且经济。完成验证后,等待证书签发。在您的域名管理后台,根据JoySSL提供的指引添加相应的DNS记录或进行其他形式的验证(如HTTP验证或电子邮件验证)。不是所有CA都提供免费的通配符证书服务,JoySSL提供的免费选项可能随时间变化,请务必查看最新的服务条款和可用性。对于企业级需求或需要更高信任度的网站,可能需要考虑付费的OV或EV通配符SSL证书,这些通常需要更严格的验证过程。
【MySQL精通之路】MySQL8.0新增功能-重用SSL会话
Anakki的博客
05-16 902
除了mysql和mysqlshow,SSL会话重用还适用于mysqladmin、mysqlbinlog、mysqlcheck、mysqldump、mysqlimport、mysqlpump、mysqlslap、mysqltest、mysql_migrate_keyring、mysql_secure_installation和mysql_upgrade。通过从已建立的会话中提取会话票证,然后在建立下一个连接时提交该票证,如果可以重用会话,则可以降低总体成本。,但该会话无法重用,则默认情况下会返回一个错误。
frp 配置证书无效
03-09
frp是一款用于内网穿透的工具,可以帮助用户在公网上访问位于内网的服务。关于frp配置证书无效的问题,可能有以下几个原因: 1. 证书文件错误:请确保证书文件的路径和名称正确,并且证书文件是有效的。可以尝试重新生成证书文件或者使用其他有效的证书文件。 2. 证书格式错误:frp要求使用PEM格式的证书文件,如果证书文件格式不正确,可能会导致配置无效。请确保证书文件是PEM格式,并且包含正确的公和私。 3.*** 证书过期或无效:如果证书已经过期或者被吊销,可能会导致配置无效。请检查证书的有效期,并确保证书是有效的。 如果以上方法都无法解决问题,建议查看frp的官方文档或者寻求相关技术支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ziqibit

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值