openssl测试crl列表

2018-10-07 mowkeeperUnix/Linux

首先生成证书吊销列表，在存放自己跟证书和被吊销证书的目录下，执行下面操作：

touch index.txt serial crlnumber

echo 00 > crlnumber

echo 00 > serial

openssl ca -revoke Server.pem -config openssl.cnf

openssl ca -gencrl -out Server.crl -config openssl.cnf

这样就产生了一个Server.pem证书的吊销列表，名为Server.crl 曾经以为这部分只是这样，没想到却落在坑里许久:-(：曾几何时，听别人的要求修改openssl.cnf，在[ v3_ca ]项下添加了如下信息： [crayon-5bcc7a3747 […]

通过java程序使用证书

2018-09-162018-09-16 mowkeeperJava

以下java代码都来自ibm官网的大神，此处只是借用代码测试我们生成的证书好不好用。首先我们的证书有下面几个： Client.p12 - Client端keystore，不包含CA证书，通过openssl生成 ClientTrust.p12 - Client端可信任keystore，只导入Server的证书，通过keytool生成 Client_wc.p12 - Client端keys […]

使用openssl生成多级证书

2018-09-052018-09-16 mowkeeperUnix/Linux

离开北京之后很久都没有再接触openssl了，最近测试用到它来生成证书，所以重新学习一下，参考网上的资料有很多关于生成证书的内容，为了方便使用，特意写了一个脚本，可以方便的生成1～100级的证书：

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

#!/bin/bash

if [ $# -ne 1 ];then

echo "usage ./mkcert.sh level"

exit

#是否给private key设定密码

PRIVATE_KEY_WITH_PASSWORD="false"

PASSWORD="helloworld"

DAYS=3650

SUBJECT=""

POLICY="policy_anything"

if [ $PRIVATE_KEY_WITH_PASSWORD == "true" ];then

PASSOUT="-aes256 -passout pass:$PASSWORD"

PASSIN="-passin pass:$PASSWORD"

else

PASSOUT=""

PASSIN=""

#keystore密码

PKCSPASSOUT="-passout pass:Aa123456"

TRUSTKEYSTOREPASSWORD="Aa123456"

rm -rf RootCA* newCert

LV=0

while [ $LV -lt $1 ]

mkdir RootCA$LV

touch RootCA$LV/index.txt RootCA$LV/serial

echo "01" > RootCA$LV/serial

CERTIFICATE="certificate = \$dir/RootCA$LV.pem"

PRIVATE_KEY="private_key = \$dir/private/RootCA$LV.key"

cp openssl.cnf openssl.cnf.tmp

sed -i "48 a$CERTIFICATE" openssl.cnf.tmp

sed -i "54 a$PRIVATE_KEY" openssl.cnf.tmp

mv openssl.cnf.tmp RootCA$LV/openssl.cnf

((LV=LV+1))

done

LV=0

while [ $LV -lt $1 ]

echo

echo "======= creating RootCA$LV ======="

echo

if [ $LV -eq 0 ];then

cd RootCA$LV

openssl genrsa $PASSOUT -out RootCA$LV.key 2048

openssl req -new -x509 -days $DAYS -key RootCA$LV.key $PASSIN -out RootCA$LV.pem -subj /C=CN/ST=GS/L=LZ/O=LZUiversity/OU=ETS/CN=RootCA$LV/emailAddress=RootCA$LV@lzu.cn -config openssl.cnf -sha256

else

cd ..; cd RootCA$LV

openssl genrsa $PASSOUT -out RootCA$LV.key 2048

openssl req -new -x509 -days $DAYS -key RootCA$LV.key $PASSIN -out RootCA$LV.crt -subj /C=CN/ST=GS/L=LZ/O=LZUiversity/OU=ETS/CN=RootCA$LV/emailAddress=RootCA$LV@lzu.cn -config openssl.cnf

openssl ca -ss_cert RootCA$LV.crt -cert ../RootCA$[$LV-1]/RootCA$[$LV-1].pem -keyfile ../RootCA$[$LV-1]/RootCA$[$LV-1].key $PASSIN -config openssl.cnf -policy $POLICY -out RootCA$LV.pem -outdir ./ -extensions v3_ca -batch

((LV=LV+1))

done

((LV=LV-1))

echo

echo "======= creating Server.pem ======="

echo

openssl genrsa $PASSOUT -out Server.key 2048

openssl req -new -x509 -days $DAYS -key Server.key $PASSIN -out Server.crt -subj /C=CN/ST=GS/L=LZ/O=LZUiversity/OU=ETS/CN=Server/emailAddress=RootCA$LV@lzu.cn -config openssl.cnf

openssl ca -ss_cert Server.crt -cert RootCA$LV.pem -keyfile RootCA$LV.key $PASSIN -config openssl.cnf -policy $POLICY -out Server.pem -outdir ./ -batch

echo

echo "======= creating Client.pem ======="

echo

openssl genrsa $PASSOUT -out Client.key 2048

openssl req -new -x509 -days $DAYS -key Client.key $PASSIN -out Client.crt -subj /C=CN/ST=GS/L=LZ/O=LZUiversity/OU=ETS/CN=Client/emailAddress=RootCA$LV@lzu.cn -config openssl.cnf

openssl ca -ss_cert Client.crt -cert RootCA$LV.pem -keyfile RootCA$LV.key $PASSIN -config openssl.cnf -policy $POLICY -out Client.pem -outdir ./ -batch

echo

echo "======= verify Server.pem Client.pem ======="

echo

cp RootCA$LV.pem RootCA$LV.pem.bak

ROOTS=0

while [ $ROOTS -lt $LV ]

cat ../RootCA$ROOTS/RootCA$ROOTS.pem >> RootCA$LV.pem

((ROOTS+=1))

done

openssl verify -CAfile RootCA$LV.pem Server.pem Client.pem

echo

echo "======= collect cert ======="

echo

cd ..;mkdir newCert

mv RootCA$LV/Server.key RootCA$LV/Server.pem RootCA$LV/Client.key RootCA$LV/Client.pem RootCA$LV/RootCA$LV.key RootCA$LV/RootCA$LV.pem newCert

echo

echo "======= verify the cert and private key ======="

echo

cd newCert

openssl rsa -modulus -noout -in Server.key | openssl md5

openssl x509 -modulus -noout -in Server.pem | openssl md5

openssl rsa -modulus -noout -in Client.key | openssl md5

openssl x509 -modulus -noout -in Client.pem | openssl md5

#generate pkcs12 for java program

echo

echo "======= generate pkcs12 without chain for java program ======="

echo

openssl pkcs12 -export -in Server.pem -inkey Server.key -name Server $PKCSPASSOUT -out Server.p12

openssl pkcs12 -export -in Client.pem -inkey Client.key -name Client $PKCSPASSOUT -out Client.p12

keytool -import -alias Client -keystore ServerTrust.p12 -storepass $TRUSTKEYSTOREPASSWORD -noprompt -file Client.pem

keytool -import -alias Server -keystore ClientTrust.p12 -storepass $TRUSTKEYSTOREPASSWORD -noprompt -file Server.pem

echo

echo "======= generate pkcs12 with chain for java program ======="

echo

openssl pkcs12 -export -chain -CAfile RootCA$LV.pem -in Server.pem -inkey Server.key -name Server $PKCSPASSOUT -out Server_wc.p12

openssl pkcs12 -export -chain -CAfile RootCA$LV.pem -in Client.pem -inkey Client.key -name Client $PKCSPASSOUT -out Client_wc.p12

将上面的内容保存成mk.sh脚本，然后将/etc/ssl/openssl.cnf文件拷贝到当前目录和mk.sh放在一起，修改openss […]

python数字转ASCII字符

2018-08-212018-08-21 mowkeeperpython

数字转字符 - chr() 字符转数字 - ord() 于是就出现一个有意思的事情，chr()可以将数字转化为字符，而且根据python3的IDLE提示，chr()的范围为0<=i<=0x10ffff，如果我们遍历这之间的数值会有什么现象呢，如下：

for i in range(0,0x10ffff):

print(format("%6X: %s") % (i, chr(i)) )

-----------------------------------------------------------------------

FFFF: <br>Traceback (most recent call last):

File "C:\Users\jma\Desktop\chr.py", line 9, in <module>

print(format("%10X: %s") % (i, chr(i)) )

UnicodeEncodeError: 'UCS-2' codec can't encode characters in position 12-12: Non-BMP character not supported in Tk

在超过65535的时候，系统就提示错误了，可是同样的程序在cmd里面却可 […]

python的两个笔试题

2018-08-012018-08-06 mowkeeperpython

1.写一个函数，可以在有序的序列中插入数值暂且不考虑序列是字符还是数字，当时不知为何第一个想到的就是二分查找，许久不曾接触基本的算法了，傻傻的拿起笔在纸上写了几句代码后才发现，在纸上的思路真的不是那么灵光了，于是干脆停笔只将所想到的解决思路写下来，第二个问题也是同样的方法处理。今天有空就重新回顾一下这个问题，先简单温习一下算法的基本过程，然后胡乱的凑了一些代码，基本功能反正是实现了： [cray […]

三款家用无线路由器登录口令传输方式

2018-07-10 mowkeeperpython

测试路由器：中兴天翼网关 ZXHN F650A（GPON ONU） NETGEAR WNDR3800 - 刷OpenWRT 明月永在版本小米WiFi3 R3 观察几款路由器登录方式，只是为了测试Python的urllib暴力破解的可能性，首先通过wireshark抓包依次检查每种路由器登录管理界面时的用户名和密码传送方式：中兴网关：用户名和密码的内容都是明文传输 NETGEAR：官方原版 […]

用python体验2038年问题

2018-04-282018-06-28 mowkeeperpython

这是在构造消息码流的填充数据的时遇到的一个问题，本和python不相干的，但是偶发联想，于是试试python中时间处理的方式是不是也有同样的问题。首先通过计算器看一下4字节能表示的最大数值，（windows默认是signed类型，没有找到可以设置unsigned的地方）不过这不影响我们的测试，因为还有qword类型：最高位为符号为，0表示正数，1表示负数，所以4字节能表示的最大正数是0x7FF […]

mitaka-cli创建instance

2018-04-242018-04-24 mowkeeperOpenStack

前几个月写的，现在用不上了，留下框子做个备忘

#!/bin/sh

net_test="public_oam"

subnet_test="public_oam_subnet"

source /root/admin-openrc

#create NET

neutron net-create --provider:network_type flat --provider:physical_network provider --shared $net_test

#create SUB_NET

net_test_id=`neutron net-list | grep $net_test |awk -F'|' '{print $2}'`

neutron subnet-create $net_test 192.168.10.0/24 --allocation-pool start=192.168.10.10,end=192.168.10.20 --ip-version 4 --name $subnet_test

#create PORT

subnet_test_id=$(echo `neutron subnet-list | grep $subnet_test |awk -F'|' '{print $2}'`)

neutron port-create $net_test_id --fixed-ip subnet_id=$subnet_test_id,ip_address=192.168.10.12 --name port_test

#create instance

PORT_ID1=`openstack port list | grep port_test | awk '{print $2}'`

nova boot --poll --image cirros-0.3.5-x86_64-disk --flavor=m1.tiny --meta RESERVE01=1 --meta RESERVE02=1 \

--availability-zone nova --nic port-id=${PORT_ID1} instance_test

mowblog

一群散乱的记忆

分类：ECW

openssl测试crl列表

通过java程序使用证书

使用openssl生成多级证书

python数字转ASCII字符

python的两个笔试题

三款家用无线路由器登录口令传输方式

用python体验2038年问题

mitaka-cli创建instance

一	二	三	四	五	六	日
« 9月
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31