使用curl和TLS 1.2双向调用api与实体的公共证书 - 腾讯云开发者社区

文章/答案/技术大牛

发布

附008.Kubernetes TLS证书介绍及创建

部署kubernetes组件建议使用TLS双向认证的，相关组件涉及的主要证书有： etcd证书：etcd集群之间通信加密使用的TLS证书。...kubelet证书【可选,非必需】：用于和kube-apiserver通信认证的证书，如果使用TLS Bootstarp认证方式，将没有必要配置。...）提示：生成证书后，Kubernetes集群需要双向TLS认证，则可将ca-key.pem和ca.pem拷贝到所有要部署的机器的/etc/kubernetes/ssl目录下。...该配置明确了 Clent 连接 API Server 时，API Server 应当确保其证书源自哪个 CA 签发；如果其证书不是由该 CA 签发，则拒绝请求；事实上，这个 CA 不必与 HTTPS 端点所使用的证书...对于 Kubelet 组件，API Server 单独提供了证书配置选项，从而指定 API Server 与 Kubelet 通讯所使用的证书以及其签署的 CA。

1.6K2 0

Kubernetes证书相关(CFSSL)

CFSSL是CloudFlare开源的一款PKI/TLS工具。 CFSSL 包含一个命令行工具和一个用于签名，验证并且捆绑TLS证书的 HTTP API 服务。使用Go语言编写。...//pkg.cfssl.org/R1.2/cfssljson_linux-amd64 curl -s -L -o /bin/cfssl-certinfo https://pkg.cfssl.org/R1.2...client cert)，在kubernetes 集群中需要的证书种类如下： etcd 节点需要标识自己服务的server cert，也需要client cert与etcd集群其他节点交互，当然可以分别指定...2个证书，也可以使用一个对等证书 master 节点需要标识 apiserver服务的server cert，也需要client cert连接etcd集群，这里也使用一个对等证书 kubectl calico...生成CA所必需的文件ca-key.pem（私钥）和ca.pem（证书），还会生成ca.csr（证书签名请求），用于交叉签名或重新签名。

5891 0

您找到你想要的搜索结果了吗？

是的

没有找到

【译文连载】理解Istio服务网格（第七章安全）

创建和管理身份标识的基本流程： Istio Citadel 组件监视Kubernetes api-server，为每个现有和新的服务帐户创建SPIFFE 证书和密钥对。...从技术上讲，TLS 1.0与SSL 3.0的差异非常微小，目前TLS已发展到了1.3版本。...$(minishift ip).nip.io 小结一下，客户端通过双向TLS调用服务端的主要流程如下： Istio 将出站流量从客户端重新路由到客户端的本地Envoy代理。...客户端 Envoy与服务器端Envoy开始双向TLS握手。...客户端通过双向TLS调用服务端的过程中，服务器端会对客户端进行授权检查。

1.4K2 0

云通信产品常见的SSL相关错误及解决方法

问题描述与分析客户调用短信时出现证书错误： javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake...PCI DSS也要求，所有收集支付卡信息的网站都必须结束对SSL 3.0和TLS 1.0的支持。...例如以下情形：客户端与服务器端所支持协议不同情况: 客户端服务器端支持TLS 1.0, TLS 1.1 支持TLS 1.2 服务器不支持向后版本控制。但服务器不应该修复这个问题。...回到腾讯云通信这边，客户出现调用后台API出现类似问题大部分是由于，客户代码使用的runtime支持比较低版本的TLS1.0, 例如Java 7默认支持TLS 1.0....分析这里显示的是CA问题：颁发server证书的CA肯定是没有问题的（否则会造成大量瘫痪）,那么应该是客户端使用的CA证书出现问题。

4.2K27 1

etcd 启用 https

1，生成 TLS 秘钥对 2，拷贝密钥对到所有节点 3，配置 etcd 使用证书 4，测试 etcd 是否正常 5，配置 kube-apiserver 使用 CA 连接 etcd 6，测试 kube-apiserver...7，未解决的问题 SSL/TSL 认证分单向认证和双向认证两种方式。...HTTPS 的看这里：聊聊HTTPS和SSL/TLS协议数字证书CA及扫盲互联网加密及OpenSSL介绍和简单使用 SSL双向认证和单向认证的区别 1，下载 cfssl mkdir ~/bin...curl -s -L -o ~/bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o ~/bin/cfssljson.../version.sh etcdctl version: 3.1.3 API version: 3.1 Kubernetes v1.6.0-beta.1 7，未解决的问题 1，使用 kubectl get

3.5K1 0

DNSPod将对全站SSL证书进行升级

尊敬的DNSPod用户&开发者，为提升整体业务安全等级，遵循最新行业标准，近期DNSPod会集中对网站的SSL证书进行升级。...TLS v1.2、TLS v1.3协议 5、不再支持TLS v1.1、TLS v1.0等旧版本协议 6、升级完成时间：2019年3月15日前请各位开发者检查调用API的客户端（如cURL）是否已经支持了...TLS v1.2版本的协议，如未支持，请及时升级，否则将会影响到API产品的正常使用。...API调用。...PHP开发者可使用以下代码检测是否支持TLS v1.2 <?

6673 0

记一次 HTTPS 抓包分析和 SNI 的思考

我们用 curl 命令触发一下： ```bash curl -v 'https://s-api.37.com.cn/api/xxx' * Trying 106.53.109.63:443... *...协议，以下命令是可以访问的： ```bash curl -v -H 'Host: s-api.37.com.cn' 'http://10.43.2.9/api/xxx' ``` 但是你用了 https...而 HTTPS 的握手阶段，只是完成了 TCP 的三次握手，抓包分析也可以发现，看不到域名，只有一个 IP 地址。可以使用 `-k` 参数跳过证书校验的过程。有没有更好的办法呢？...```bash curl -vs --resolve 's-api.37.com.cn:443:10.43.2.9' 'https://s-api.37.com.cn/api/xxx' ``` 可以使用...这允许服务器在相同的IP地址和TCP端口号上呈现多个证书，并且因此允许在相同的IP地址上提供多个安全（HTTPS）网站（或其他任何基于TLS的服务），而不需要所有这些站点使用相同的证书。

1.2K0 0

解决 Jenkins Artifactory Plugin 在 AIX 上传制品失败的问题

简单来说，开源版缺少与 CI 工具集成时常用的 REST API 功能，比如以下常用功能设置保留策略(Retention)。...用 curl 替代由于上述问题重现在需要重新构建，比较花时间，就先试试直接用 curl 命令来调用 Artifactory REST API 看看结果。...到这里问题已经解决了，只要使用 curl 调用 Artifactory REST API 就能完成上传操作了。...TLS V1.0, V1.1, and V1.2 绝大多数的 Java 应用都是使用 Oracle 的 JDK 来开发的，这里要与 Oracle 的行为保持一致；另外 IBM 的 SDK 默认协议只有...TLS V1.0，而上面的 log 可以看到使用的 TLSv1.2 协议，因此需要将属性设置为 true。

2.4K2 0

R 语言关于 SSL 证书异常处理笔记

Interface (API) 访问 National Cancer Institute (NCI) Genomic Data Commons (GDC) ，来搜索、下载和准备相关数据，以便在 R 中进行分析...curl 去访问 https 的站点报错看了一下 curl 和 curl 命令都是支持 ssl 的： $ curl -V curl 7.19.7 (x86_64-redhat-linux-gnu) libcurl...-sslv2 Use SSLv2 (SSL) -3/--sslv3 Use SSLv3 (SSL) curl 的默认证书路径可以通过下面的命令查看： $ curl...ca /etc/pki/tls/certs/ca-bundle.crt 在前面jsonlite的fromJSON报错信息中有一个 More details here 的提示，里面给了证书下载地址：...left intact 四、解决问题与验证虽然环境变量 CURL_CA_BUNDLE （也可以添加到 ~/.bashrc 中）可以解决 curl 命令行中的证书问题，但是在 R 中依然没办法解决

1.8K2 0

Istio 安全基础

数据面：在网格中的服务相互之间发起 plain HTTP/TCP 通信时，和服务同一个 pod 中的边车代理会拦截服务请求，采用证书和对端服务的边车代理进行双向 TLS 认证并建立一个 TLS 连接，使用该...一个简单的 API：它包括一个单独的并且很容易使用和维护的 AuthorizationPolicy CRD。...支持以下模式： PERMISSIVE：工作负载接受双向 TLS 和纯文本流量，也就是所谓的宽容模式。此模式在迁移因为没有 Sidecar 而无法使用双向 TLS 的工作负载的过程中非常有用。...为每个工作负载启用双向 TLS 要为特定工作负载设置对等认证策略，我们就必须配置 selector 字段指定与所需工作负载匹配的标签。...DISABLE，即禁用双向 TLS，其他端口的对等认证策略为 STRICT，即启用双向 TLS，也就是说我们只允许 httpbin 应用的 80 端口接收明文流量，其他端口都必须使用双向 TLS。

7551 0

Istio Egress 出口网关使用

上面我们在使用 curl 命令的时候添加了一个 -L 标志，该标志指示 curl 将遵循重定向。...TLS 与 mTLS 基本概念前面我们学习了如何通过配置 Istio 实现对外部服务的 TLS 发起，这里其实还有一个 mTLS 的概念呢，由于 TLS 本身就比较复杂，对于双向 TLS（mTLS）就更复杂了...TLS 是一个连接层协议，旨在为 TCP 连接提供安全保障。TLS 在连接层工作，可以与任何使用 TCP 的应用层协议结合使用。...客户端还会验证证书相关的域名信息、有效时间等信息; 客户端会内置信任 CA 的证书信息(包含公钥)，比如浏览器基本上都带有知名公共 CA 机构的证书，如 Verisign、Digicert 等，这些证书在发布时被打包在一起...通过 egress 网关发起双向 TLS 连接首先使用 openssl 命令生成客户端和服务器的证书与密钥，为你的服务签名证书创建根证书和私钥： openssl req -x509 -sha256 -

8742 0

Kubernetes 安全大揭秘：从攻击面剖析到纵深防御体系构建（上）

匿名访问滥用未启用RBAC若API Server启动参数包含--anonymous-auth=true且未配置RBAC，攻击者可直接通过匿名请求调用高危API，如：curl -k https://:6443...未授权的客户端访问宽松的客户端证书认证etcd的客户端证书未设置--client-cert-auth=true时，任意拥有CA证书的实体均可连接etcd集群。...防御实践通信与存储加密启用etcd TLS加密（--auto-tls=false，手动配置可信证书），使用etcdutl encrypt对数据目录进行AES-GCM加密。...定期轮换etcd证书（通过kubeadm certs renew或手动更新）。访问控制强化使用网络策略限制etcd端口仅允许API Server和etcd节点访问，禁止公网暴露。...攻击场景与深度分析未认证的kubelet API10250端口暴露若kubelet启动参数包含--anonymous-auth=true且未配置Webhook/RBAC授权，攻击者可调用以下接口：curl

9821 0

如何建立TLS连接？TLS握手失败可能这个原因！

2 TLS基础 TLS同时使用对称算法、非对称算法。...3.2 排除服务端问题先用趁手小工具 curl，从这台客户端发起对API server 2（握手失败的）的TLS握手，发现能成功。这说明，API server 2至少某些条件下正常工作。...典型算法RSA、ECDSA 补充：如双向验证（mTLS），服务端会验证客户端的证书。...出问题的客户端：实际的业务代码去连接API server时的客户端，它是个Java库，而非curl。...排查技巧在排查技巧方面，你要知道使用 curl命令，检查HTTPS交互过程的方法： curl -vk https://站点名用 OpenSSL命令来检查证书： openssl s_client -

3.3K4 0

004.Kubernetes二进制部署创建证书

~]# curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /opt/k8s/bin/cfssl #下载cfssl软件 4 [root@...、使用场景等参数；后续在签名证书时使用某个profile； signing: 表示该证书可用于签名其它证书；生成的ca.pem 证书中CA=TRUE； server auth: 表示client 可以用该...(User Name)；浏览器使用该字段验证网站是否合法； C：country； ST：state； L：city； O: Organization，kube-apiserver 从证书中提取该字段作为请求用户所属的组...（ca.pem）提示：生成证书后，Kubernetes集群需要双向TLS认证，则可将ca-key.pem和ca.pem拷贝到所有要部署的机器的/etc/kubernetes/ssl目录下。...更多TLS证书创建方式参考《附008.Kubernetes TLS证书介绍及创建》。

5484 0

k8s实践(8)--ssl安全认证配置

一.基于CA签名的双向数字证书认证方式在一个安全的内网环境中, Kubernetes的各个组件与Master之间可以通过apiserver的非安全端口http://apiserver:8080进行访问...Kubernetes提供了基于CA签名的双向数字证书认证方式和简单的基于HTTP BASE或TOKEN的认证方式,其中CA证书方式的安全性最高。...的客户端(如kube-controller-manager.kube-scheduler,kubelet, kube-proxy及调用API Server的客户端程序kubectl等)进程生成自己的数字证书...1)设置kube-apiserver的CA证书相关的文件和启动参数生成如下证书：根证书公钥与私钥：ca-public.pem 与ca-private.pem API Server公钥与私钥：apiserver-public.pem...中的 apiserver CA 证书来与 apiserver 建立 TLS 通讯，使用 bootstrap.kubeconfig 中的用户 Token 来向 apiserver 声明自己的 RBAC

3.7K2 0

SSL：原理、应用、安全威胁与最佳实践

1.2 SSL的应用 1.2.1 HTTPS 1.2.1.1 HTTPS握手过程 HTTPS握手过程，也被称为SSL/TLS握手，是一种复杂的过程，涉及到多个步骤。...在使用SSL/TLS的过程中，邮件客户端会验证服务器的证书，以确保服务器的身份。同时，邮件客户端和服务器会协商一个加密算法和密钥，用于加密邮件内容。...以下是一个简化的过程：拦截：与普通的中间人攻击一样，攻击者首先需要找到一种方法拦截通信。这可能通过在公共WiFi网络中设置一个假的WiFi热点，或者通过网络路由器进行ARP欺骗等方式实现。...这些伪造的证书被用于对伊朗的用户进行中间人攻击，攻击者可以截取和篡改用户与这些网站的通信。这个事件最终导致DigiNotar破产。这个案例表明，即使使用SSL证书，也不能完全防止中间人攻击。...使用最新的SSL/TLS版本：旧版本的SSL和TLS存在已知的安全漏洞，应该使用最新的版本。

9491 0

基础篇：java.security框架之签名、加密、摘要及证书

SecretKeyFactory、KeyFactory的作用就是转换Key与KeySpec SecretKeyFactory：用于对称加密的密钥和密钥规格之间的转换，配合KeyGenerator使用支持算法...KeyStore用于存储私钥和证书(公钥在证书Certificate里面) 公钥：是一个详细的实体的数字关联,并有意让所有想同这个实体发生信任关系的其他实体知道.公共钥匙用来检验签名; 私钥：是一些数字...,私有和公共钥匙存在所有用公共钥匙加密的系统的钥匙对中.公共钥匙用来加密数据，私有钥匙用来计算签名.公钥加密的消息只能用私钥解密，私钥签名的消息只能用公钥检验签名。...，创建实际实现SSL/TLS协议的对象（SSLSocketFactory、SSLSocket或者SSLEngine） SSLSocket和SSLEngine可以直接在通信对象中使用 KeyManager...和TrustManager作用： KeyManager负责向对等端显示使用的凭证（使用的密码标准、加密算法、证书、公钥、签名等） TrustManager负责验证从对等端收到的凭证，验证凭证有多种方式：

2K1 0

NGINX 配置本地HTTPS(双向认证)

在接下来的会话中，服务器和客户端将会使用该密码进行对称加密，保证通信过程中信息的安全。...双向认证双向认证和单向认证原理基本差不多，只是除了客户端需要认证服务端以外，增加了服务端对客户端的认证，具体过程如下： ?...，发送给服务端 10、服务端收到客户端发送的消息后，使用自己的私钥进行解密，获取对称加密的密钥，在接下来的会话中，服务器和客户端将会使用该密码进行对称加密，保证通信过程中信息的安全。...生成客户端的私钥与证书 1....Kerberos SPNEGO NTLM NTLM_WB SSL libz TLS-SRP UnixSockets 请确保curl版本不能低于 7.47版本，否则会出现： 400 No required

4.2K3 0

Kubernetes的服务网格（第3部分）：加密一切数据

在本文中，我们将向您展示如何使用linkerd作为服务网格，将TLS添加到所有服务到服务的HTTP调用中，而不用修改任何应用程序代码。...在几个月前的博客文章中，我们向您展示了使用linkerd在TLS中“包装”HTTP调用的基本模式，方法是在连接的两端都进行代理，包括始发和终止TLS。...我们将使用我们自己生成的全局证书（网格证书）。由于此证书不受公共DNS名称限制，因此我们不需要使用“ Let‘s Encrypt”等服务。...我们可以生成我们自己的CA证书，并使用它来签署我们的网格证书（“自签名”）。我们将分配三个东西到每个Kubernetes主机：CA证书，网格密钥和网格证书。以下脚本使用我们生成的示例证书。.../admin/l5d;' https://$INGRESS_LB:4141/admin/ping 在这里，我们使用curl做一个HTTPS调用，并告诉它跳过TLS验证（因为curl目的是浏览一个网站，而不是作为网络链接器

2K9 0

如何解决 InsecureRequestWarning: Unverified HTTPS request is being made to host ‘47.113.219.226‘. Adding

我所有平台的IP名称统一为猫头虎或猫头虎技术团队。我希望通过我的分享，帮助大家更好地掌握和使用各种技术产品，提升开发效率与体验。...预发布/Staging 环境：建议使用与生产相同的证书类型（例如 Let’s Encrypt 或公司自建 PKI），确保和生产环境的 TLS 配置一致。...使用 certifi 库维护信任根 requests 默认会调用 certifi.where() 所指向的 CA 根证书集合文件。...5.1. curl 命令行下的 TLS 验证禁止验证： curl -k https://47.113.219.226/api/test # 或者等同于 --insecure 此时 curl 不会验证服务器证书...TLS 证书管理”的整套思路与实践细节。

1.3K1 0

点击加载更多

附008.Kubernetes TLS证书介绍及创建

Kubernetes证书相关(CFSSL)

【译文连载】理解Istio服务网格（第七章安全）

云通信产品常见的SSL相关错误及解决方法

etcd 启用 https

DNSPod将对全站SSL证书进行升级

记一次 HTTPS 抓包分析和 SNI 的思考

解决 Jenkins Artifactory Plugin 在 AIX 上传制品失败的问题

R 语言关于 SSL 证书异常处理笔记

Istio 安全基础

Istio Egress 出口网关使用

Kubernetes 安全大揭秘：从攻击面剖析到纵深防御体系构建（上）

如何建立TLS连接？TLS握手失败可能这个原因！

004.Kubernetes二进制部署创建证书

k8s实践(8)--ssl安全认证配置

SSL：原理、应用、安全威胁与最佳实践

基础篇：java.security框架之签名、加密、摘要及证书

NGINX 配置本地HTTPS(双向认证)

Kubernetes的服务网格（第3部分）：加密一切数据

如何解决 InsecureRequestWarning: Unverified HTTPS request is being made to host ‘47.113.219.226‘. Adding

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐