openssh 的升关联新的 openssl 升级异常 升级 openssh 的版本在编译的时候就出现了错误，提示 ssl 的版本不匹配，最低需要 1.1 编译openssl 所以我们安装了一个最新版本的 openssl-1.1.1新版 ./config --prefix=/usr/local/openssl1.1.1 shared zlib make && make install 再次尝试 这次配置的时候关联了 openssl 的目录 ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-privsep-path=/var/lib/sshd --with-pam --with-ssl-dir=/usr/local/openssl1.1.1 但是配置仍然报错，内容如下： checking OpenSSL header version... failed 查看了配置参数，只有这一个是指定路径的，所以参数名应该是没有问题的，于是我又更换为了 openssl 解压后的源码目录，但仍然是相同的错误 继续排查 又怀疑是 openssl-1.1.1 版本太低，于是又下载了一个 openssl-3.3.1 使用上面相同的方式测试，但结果仍然是一样的报错 接下来，详细的查看了 openssh 当前目录下的 config.log 日志，发现有如下错误： error while loading shared libraries: libcrypto.so.3 ./conftest: error while loading shared libraries: libcrypto.so.3: cannot open shared object file 应该就是动态库文件没有找到，所以还是把动态库加入到 ldconfig 算了，加入到环境变量中，这样应该就不会找不到了 echo /usr/local/openssl/lib64 >> /etc/ld.so.conf.d/ssl3.conf && ldconfig && ldconfig -pv 果然再次编译没有任何错误 安装完成 还要还原 /etc/pam.d/sshd，第一次从 rpm 源码升级，rpm 卸载会重命名备份这个文件为 sshd.rpmsave 复制启动脚本到 并且设置开机自启 接着为了保证配置跟以前一致，可以还原之前的配置，避免前后端口不一致导致连不上了 再接下来测试配置文件 sshd -t ，保证配置文件测试无误后重启

Let's Encrypt签发免费ssl证书 安装 acme 下载 acme 代码，设置邮箱，设置签发服务为 letencrypt git clone --depth 1 https://github.com/acmesh-official/acme.sh.git cd acme.sh acme.sh --install -m username@example.com source ~/.bashrc acme.sh --upgrade --auto-upgrade acme.sh --set-default-ca --server letencrypt</code></pre> 签发证书 创建签发目录 /opt/acme ，并且配置 nginx 可以访问到 /opt/acme/.well-known/acme-challenge mkdir -pv /opt/acme acme.sh --issue -d yuc.pub -d www.yuc.pub -d blog.yuc.pub -w /opt/acme 在签发的时候会在设置的目录中生成验证文件，外部 letencrypt 会访问这个文件，以验证域名权限， 多个 -d 指定多个域名，可以签发一个证书内包含多个域名，这样的话就省略了配置多个证书的问题 在签发完成后可以看到回显是 success，这时候就可以安装签发下来的证书了， 这里以 nginx 服务器为例，配置把证书直接安装到 nginx ssl 的文件路径，并且加上重载指令，可以立即生效 acme.sh --install-cert -d yuc.pub --key-file /www/server/panel/vhost/nginx/ssl/server.key --fullchain-file /www/server/panel/vhost/nginx/ssl/server.crt --ca-file /www/server/panel/vhost/nginx/ssl/server.ca.crt --reloadcmd 'nginx -s reload' PS. 几个问题： 在目前的方案中 Let's Encrypt 验证的是 80 端口，那么如果在没有 80、443 等情况下，是否能够使用非标准端口签发到证书 在签发证书的时候需要设置 验证文件 的写入目录，Let's Encrypt 访问的路径大概为: http://xxx.com/.well-known/acme-challenge/jM4tgDtjHjLCbLHepHaP96Kmt_MIA46Bhuu33t7rKK4 而 nginx 设置的 location 为 /.well-known/acme-challenge, root 目录设置为 /opt/acme ，如果设置 acme -w 的路径为 /opt/acme/.well-known/acme-challenge 则一直签发失败，提示地址访问 404，在 acme-challenge 目录下也没有找到任何文件。经过排查应该设置 root 目录，也就是 .well-known 的上一层目录

tomcat自签证书以及http跳转https 0x1 自签证书生成 使用java的命令： keytool -genkey -alias webgis -keyalg RSA -keypass gisplatform -storepass gisplatform -keysize 2048 -keystore webgis.keystore -validity 7300 keytool -export -alias webgis -storepass gisplatform -file webgis.cer -keystore webgis.keystore keytool -import -trustcacerts -alias webgis -storepass gisplatform -file webgis.cer -keystore cacerts server.xml 配置证书 keystoreFile="D:\apache-tomcat-8.5.15\bin\webgis.keystore" keystorePass="gisplatform" truststoreFile="D:\apache-tomcat-8.5.15\bin\cacerts" server.xml 配置tls版本以及加密套件，其中useServerCipherSuitesOrder="true"很重要，要优先使用服务端的顺序 <Connector port="8443" protocol="user.Http11Protocol" SSLEnabled="true" sslEnabledProtocols="TLSv1,TLSv1.2" useServerCipherSuitesOrder="true" ciphers="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA" scheme="https" secure="true" clientAuth="false" connectionTimeout="20000" redirectPort="8443" URIEncoding="UTF-8" keystoreFile="keystore.jks" keystorePass="password" /> 0x2 http跳转https tomcat默认配置了https是会共存http的，所以需要修改配置，使得访问http的时候自动跳转到https页面，修改web.xml <security-constraint> <web-resource-collection> <web-resource-name>SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>

https/ssl/tls安全性测试 0x1 测试方式推荐 手动 + openssl 测试。通过浏览器F12查看各安全头是否设置，通过 openssl 命令测试支持的 ssl 协议 openssl s_client -connect xxx.xxx.gov.cn:443 -ssl3 使用在工具测试 myssl.com 部署工具本地测试 testssl # github 代码地址 https://github.com/drwetter/testssl.sh # 官网 https://testssl.sh/

openssl生成自签证书ssl 0x1 方案一 私钥 openssl genrsa -out server.key 1024 证书 openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3" 根据实际修改里面的内容，适合比较熟练的人 0x2 方案二 openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout cert.key -out cert.pem # 支持配置区域和fqdn域名 openssl req -x509 -nodes -days 3650 -newkey rsa:2048 \ -keyout nginx.key \ -out nginx.crt \ -subj "/C=CN/ST=Hubei/L=Wuhan/O=Technology Co., Ltd./OU=Development/CN=59.xx.xx.xx/emailAddress=admin@example.com" 0x3 方案三 openssl genrsa -out <foo>.key 2048 openssl req -new -key <foo>.key -out <foo>.csr openssl x509 -req -days 365 -in <foo>.csr -signkey <foo>.key -out <foo>.cert