海运的博客

StartSSL免费权威SSL证书申请图文详解

发布时间:August 7, 2012 // 分类:OpenSSL // No Comments

1.登录StartSSL并注册为用户,此略过。
2.面板添加域名认证,用于申请SSL证书的域名。
startssl添加域名验证.png
3.输入要验证的域名:
startssl填写要验证的域名.png
4.选择要验证的邮箱,用于接收验证码。
startssl选择域名验证邮箱.png
5.输入收到的验证码:
输入收到的startssl验证码.png
6.确认域名验证成功,有效期30天,期间可用于申请SSL证书。
startssl域名验证成功.png
7.申请SSL证书:
startssl新申请web服务器ssl证书.png
8.选择申请SSL证书的域名:
选择申请ssl证书的域名.png
9.输入相应子域名:
startssl子域名ssl证书.png
10.生成私钥,确认后在下步复制框内的内容保存了ssl.key文件,如在本地生成可选择跳过。
startssl私钥生成.png
11.保存证书,复制框内的文本保存为server.csr
12.证书申请完成。
startssl证书申请完成.png

Postfix/dovecot配置SMTP/IMAP SSL加密连接

发布时间:July 10, 2012 // 分类:Mail,OpenSSL // No Comments

首先生成SSL证书,如需SSL证书认证可先生成证书请求文件再转交CA认证。
Postfix配置SSL:

#https://www.haiyun.me
cat /etc/postfix/main.cf
#smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/CA/private/server.key
smtpd_tls_cert_file = /etc/postfix/CA/certs/server.crt
smtpd_tls_CAfile = /etc/postfix/CA/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

开启Postfix服务器SMTPS端口监听:

cat /etc/postfix/master.cf
smtps     inet  n       -       n       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

测试SMTP SSL是否生效:

openssl s_client -connect smtp.haiyun.me:smtps
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 65424E5937C2EE0453E796BA179DF8F8D92A523FAD5F170CFE11A64E5A0441D3
    Session-ID-ctx: 
    Master-Key: 43EC9C65F8215B3304C62A4E860116D6CA58BFE732514F5B31EC67196D993F43A19E837CA9BD48D6008A06874ED83BB0
    Key-Arg   : None
    Krb5 Principal: None
    Start Time: 1341366288
    Timeout   : 300 (sec)
    Verify return code: 19 (self signed certificate in certificate chain)
---
220 mail.www.haiyun.me ESMTP Postfix
quit
221 2.0.0 Bye

Dovecot配置SSL:

cat /etc/dovecot/conf.d/10-ssl.conf
ssl = yes
ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
ssl_key = </etc/pki/dovecot/private/dovecot.pem

测试IMAP/POP SSL是否生效:

openssl s_client -connect smtp..haiyun.me:imaps
openssl s_client -connect smtp..haiyun.me:pops
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: A6CD69E16438BB8CBEA7ABCDF74F1BDC844E00C4C7A3B2446FB87E230788D4A5
    Session-ID-ctx: 
    Master-Key: D6135140AC6BAD1AABFD85CE1A28FA66387B60CF6E6744B0F3BDCEFB82F6B7EA4FF28461E6A007DC03B91787C50CDFE0
    Key-Arg   : None
    Krb5 Principal: None
    Start Time: 1341363344
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
* OK Dovecot ready.

Openssl生成根证书、服务器证书并签核证书

发布时间:July 10, 2012 // 分类:OpenSSL // No Comments

1.修改Openssl配置文件CA目录:

cat /etc/pki/tls/openssl.cnf
dir             = /etc/pki/CA

2.生成根证书及私钥:

#https://www.haiyun.me
cd /etc/pki/CA
mkdir private crl certs newcerts #新建证书存放目录
echo '00' > serial #新建serial文件并写入初始序列号00
touch index.txt #新建index.txt空文件
openssl genrsa -out private/cakey.pem 1024 #生成CA根证书私钥
openssl req -new -x509 -key private/cakey.pem  -out cacert.pem #生成CA根证书

3.生成服务器证书私钥、证书,可用于https服务器等。

openssl genrsa -out private/server.key 1024
openssl req -new -key private/server.key -out crl/server.csr #生成证书请求文件,可提供认证CA签核,或自签名。
openssl ca -in crl/server.csr -out certs/server.crt #自签名证书

Nginx下生成配置自签名ssl证书

发布时间:March 2, 2012 // 分类:Nginx,OpenSSL // No Comments

SSL证书由于是自签名不被浏览器信任,访问时浏览器会有警告信息,也可使用经授权的StartSSL免费SSL证书
首先生成服务器证书和密钥:

openssl req -new -x509 -nodes -out server.crt -keyout server.key

将证书和密钥合成为pem文件:

cat server.crt server.key > server.pem

设置权限:

chmod 400 server.*

配置Nginx,在server段加入:

listen               443;
ssl                   on;
ssl_certificate     /www.haiyun.me/server.pem;
ssl_certificate_key /www.haiyun.me/server.key;

重启Nginx,访问www.haiyun.me即可。

/etc/init.d/nginx restart
分类
最新文章
最近回复
  • 海运: 恩山有很多。
  • swsend: 大佬可以分享一下固件吗,谢谢。
  • Jimmy: 方法一 nghtp3步骤需要改成如下才能编译成功: git clone https://git...
  • 海运: 地址格式和udpxy一样,udpxy和msd_lite能用这个就能用。
  • 1: 怎么用 编译后的程序在家里路由器内任意一台设备上运行就可以吗?比如笔记本电脑 m参数是笔记本的...
  • 孤狼: ups_status_set: seems that UPS [BK650M2-CH] is ...
  • 孤狼: 擦。。。。apcupsd会失联 nut在冲到到100的时候会ONBATT进入关机状态,我想想办...
  • 海运: 网络,找到相应的url编辑重发请求,firefox有此功能,其它未知。
  • knetxp: 用浏览器F12网络拦截或监听后编辑重发请求,修改url中的set为set_super,将POS...
  • Albert: 啊啊啊啊啊啊啊啊啊 我太激动了,终于好了英文区搜索了半天,翻遍了 pve 论坛没找到好方法,博...