一、安装Nginx和OpenSSLyum install nginx openssl -y二、SSL 服务器 / 客户端双向验证证书的生成创建一个新的 CA 根证书,在 nginx 安装目录下新建 ca 文件夹,进入 ca,创建几个子文件夹mkdir ca && cd ca
mkdir newcerts private conf server
# newcerts 子目录将用
下载官方网站:https://nginx.org/en/download.html Windows下安装安装下载后解压(切记不能含有中文路径!!),文件结构如图(我解压的路径就有中文,记得拷贝放置于英文目录下即可!):启动两种方法:1) 直接双击该目录下的"nginx.exe",即可启动nginx服务器;2) 命令行进入该文件夹,执行start nginx命令,也会直接启动nginx服务
在Java应用中实现国密的双证书体系是一项关键的技术任务,尤其是在安全性和合规性日益重要的环境下。通过这篇博文,我将详细记录下如何解决“Java 国密双证书”相关的问题,包括所需的环境准备、分步指南、配置详解、验证测试、排错指南和扩展应用。
## 环境准备
### 软硬件要求
在进行国密双证书配置之前,需要准备如下软硬件环境:
- **硬件要求**
- 最低运行内存:8GB
国内做2B(to Biz)或2G(to Gov)产品和解决方案的企业都绕不过国密算法,越来越多的国内甲方在采购需求中包含了基于国密算法的认证、签名、加密等需求。对于国内的车联网平台来说,支持基于国密的双向认证也是大势所趋。在这篇文章中,我就来说说如何基于国密算法实现双向认证,即使用国密算法的安全传输层双向认证。一. 简要回顾基于TLS的双向认证在《Go语言精进之路》[1]第2册的第51条中,我详细
转载
2024-03-13 23:09:30
949阅读
SM2是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法,基于ECC。其签名速度与秘钥生成速度都快于RSA,非对称加密,该算法已公开SM3是中华人民共和国政府采用的一种密码散列函数标准,由国家密码管理局于2010年12月17日发布。SM3主要用数字签名及验证、消息认证码生成及验证、随机数生成等,其安全性及效率与SHA-256相当。可以用MD5作为对比理解。校验结果为256位,不可逆
国密Nginx容器实战1.背景 目前国密SSL(TLCP)已经逐步开始推广并实际使用,国密SSL实验室提供了国密版OpenSSL,并且可以与Nginx集成,可以比较方便的搭建国密SSL反向代理或者国密SSL服务器。 国密SSL实验室并没有提供Docker的样例,考虑到Docker的广泛性,本文描述了在Docker里面部署国密SSL的Nginx的的完整构建过程,仅供学习和参考之用。运行环境为Cent
6月12日任务12.17 Nginx负载均衡12.18 ssl原理12.19 生成ssl密钥对12.20 Nginx配置ssl 12.17 Nginx负载均衡通过学习了Nginx代理,那么当只有一台机器的时候可以说是代理,如果有多台机器的时候,那就不能够单靠代理了,需要设置负载均衡。比如有5个用户访问web服务器,如果其中一个服务器挂了,那么用户1不会再去请求web服务器1,而是自动分配
前言https到底是什么,总说的tsl和ssl到底是什么。https的本质https的本质,其实就是http披上了ssl和tls的外套,http属于应用层协议,而ssl(安全套接字)和tls(运输层安全)都属于传输层协议。加密的基本概念明文http协议就是明文传输的,明文就是未被加密过的原始数据。密钥通常是一个字符串或者是一个数字,进行加密和解密算法使用,公钥和私钥都是密钥,只不过公钥是对外开放的
一位朋友向我打听什么是RSA国产证书?我们用的较多说法是,国际算法的RSA证书,国密算法的SM2证书,那么有没有RSA国产证书呢?RSA国产证书的提法并不标准,它来源一个安全通告,2019年11月30日 首都网警《关于OPENSSL加密组件存在重大风险隐患的预警通报》。全文如下:近日,据国家网络与信息安全信息通报中心监测发现,互联网SSL协议实现组件OPENSSL部分版本存在重大安全隐患
前言加密是通过“加密算法”将明文加密成密文,可以通过“密钥”和“解密算法”将密文还原成明文。密码学中应用最为广泛的三类算法:对称算法(分组密码算法):AES/DES/SM4* 非对称算法(公钥密码算法):RSA/SM2* 摘要算法(杂凑算法):MD5/SHA-I/SM3### 一.国密算法概述国密算法是我国自主研发创新的一套数据加密处理系列算法。从SM1-SM4分别实现了对称、非对称、摘要等算法功
转载
2024-01-16 18:34:08
62阅读
国密算法在主流操作系统、浏览器等客户端中,还没有实现广泛兼容。因此,在面向开放互联网的产品应用中,国密算法无法得到广泛应用。比如,在SSL证书应用领域,由于国际主流浏览器不信任国密算法,如果服务器部署国密SM2 SSL证书,可能直接导致网站系统在用户端无法访问。实现基于国密算法的HTTPS加密认证,最大的应用难点在于,国密算法应用生态的建设以及对主流应用生态的兼容。建立完整的国密全生态支持体系不仅
转载
2023-11-15 20:19:52
232阅读
网络通信,有3点是必须要保护的:通信内容必须保密,不能被第三方看到通信内容必须完整,不能被第三方篡改通信双方身份必须确认,不能被第三方“截胡”怎么才能做到以上3点了? 1、通信内容必须保密,不能被第三方看到 这个简单,加密呗!有对称加密和非对称加密。对称加密消耗的算力远比非对称加密小,所以这里首选对称加密;目前业界最流行的对称加密是AES,这里不妨选择AES试试;那么问题又来了:对
转载
2024-06-18 20:33:12
292阅读
三.需要解决的问题前文我们了解了https,并梳理了国密https的流程。那么完成这些流程的目的是什么呢?又是怎么来保护数据的安全性呢?我们继续...上文我们说到只有http通信的站点如同在“裸奔”,在客户端和服务端通信的时候有巨大的安全隐患。而安全隐患主要有三个方面:明文传输,数据篡改,站点劫持。知道了问题,我们只需要对症下药:明文传输 ->数据加密传输。数据可篡改->数据完整性校验
转载
2023-12-06 19:06:33
141阅读
gmssl国密证书生成方式:国密多级ca证书,国密加密证书,国密签名证书
原创
2020-04-29 14:17:25
10000+阅读
最近使用开源项目tjfoc/gmsm 做国密研究,由于他没有具体说怎么生成证书的,期间对于生成他对应的国密证书做了些研究,踩了一些坑他对国密通信做的demo主要在websvr目录下下面主要说下生成国密证书步骤1. 需要装gmssl , 具体编译参见上一篇文章2. 使用gmssl ecparam -genkey -name sm2p256v1 -noout -out ${OUTPUT}/$
转载
2023-10-23 09:09:10
384阅读
点赞
一、应用场景最初的部署形式如下图: 由于这种形式无法实现热发布,业务整天都有人在访问,代码更新后只有下班后才能发布,现在为了能实时更新代码,并且实现负债均衡,将引入nginx服务器。引入nginx服务后的部署图如下:请求顺序是123478或者125678,所有请求都是通过https的形式,所以接下来需要生成https证书. 二、https所需证书的生成(一)下载openssl软
1.国密与非国密什么是国密?国密即国家密码局认定的国产密码算法。主要有SM1,SM2,SM3,SM4。具体可以参考https://zhuanlan.zhihu.com/p/132352160。什么是非国密?就是除了国密以外的算法,包括除国密算法以外的加密算法。2.国密与非国密和http与https有什么关系?使用国密算法需要依靠https进行通信。使用非国密,如果使用了加密算法仍然要依靠https
转载
2024-06-16 13:27:25
93阅读
根据 Myssl.com 的统计,目前 99% 的互联网网站使用的是传统 RSA 算法的 SSL 证书。也许你会问,使用传统证书有什么影响吗?现阶段而言,确实没有什么影响。但我国绝大多数网站系统使用的都是传统 SSL 证书,一旦外国对我们执行断供、吊销此类产品,那么各类重要领域的网站或信息管理系统将面临巨大的安全风险。至此,我国相关监管机构也先后出台了一系列政策,强调建立自主可控网络安全环境的重要
转载
2023-11-26 14:41:08
111阅读
通常的X509证书是国际通用的RSA证书,现在国家推出了自己的加密算法,SM2算法,本文根据自己工作中遇到的情况,试图讲一下国密SM证书的有效性验证。证书在本地存储一般是DER(二进制)格式的,网络传输则是base64格式,需要解码。 &nbs
转载
2023-11-23 11:42:41
248阅读
国密算法SM2证书制作
前段时间将系统的RSA算法全部升级为SM2国密算法,密码机和UKey硬件设备大都同时支持RSA和SM2算法,只是应用系统的加解密签名验证需要修改,这个更改底层调用的加密动态库来,原来RSA用的对称加密算法DES(AES)和摘要MD5(SHA1)也相应改变,分别对应SM1、SM3算法,SM1算法基于硬件实现,SM2、SM3算法已公开。SM2签名验证算法SM2签名同样也
