摘要：1 X500Name canamem = new X500Name(caCertificate.getSubjectX500Principal().getName()); 改为 X500Name issuerName = new JcaX509CertificateHolder(caCertific 阅读全文

摘要：1 brew install mkcert mkcert -CAROOT 没有 2 mkcert -install mkcert -CAROOT 有了 3 启动MyFiddler，手机连接，失败 4 拷贝原key和证书至root目录 再次mkcert -install 5 好了 6 公钥摘要 pub 阅读全文

摘要：。 阅读全文

摘要：二层vpn，只修改数据链路层的以太网帧，不修改三层ip包 此外以太网帧的body部分<MTU 三层vpn，修改ip包： 客户端：加密原ip包（首部ip字段是目标ip） 外面套一个ip包（首部ip字段是代理ip） 服务端：拿到ip包body，解密，发送到目标IP，这个过程不涉及四层tcp/udp包的修 阅读全文

摘要：私钥加密信息流返回给客户端，但应确保信息没有敏感信息，因为公钥的不可信任性 这一串不可伪造因为只有登陆的网关有私钥，网关可以把公钥分发给其他服务 能否被第三者窃听取决于SSL实现的如何 优点 不占用服务器空间 任何人无法伪造，因为私钥孤立的在服务器上 任何人可以解密，所以不应当放敏感信息 阅读全文

摘要：1 p2p 两个均处于私网的设备（无公网 IP）无法直接发现和连接 端口映射协议：UPnP / NAT-PMP（主动 “开门”） 适用于支持该协议的路由器，让内网设备主动告诉路由器 “开放特定端口”，本质是 “主动建立固定的 NAT 映射”。 内网设备（如 P2P 软件）通过 UPnP（通用即插即用 阅读全文

摘要：可以看到服务器发过来的证书链与U盾密码学（三）保护一个密码【重要】中私钥节点的证书链一致 服务器把p12中私钥节点的证书链给tls handshake请求者 另一种方式：keytool -printcert -sslserver <hostname>:<port> 已经在（二）中用到 U盾密码学（二 阅读全文

摘要：https://segmentfault.com/a/1190000042062501 Exception in thread "main" javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: 阅读全文

摘要：1 B2B有个特征，密钥可以面对面给，认证不必借助CA认证公钥身份再使用公钥 服务器把公钥直接给客户端，通信时送来的公钥，我把它跟面对面送来的验一下 这样客户端就能信任服务端 如果照葫芦画瓢给客户端也来一套，就变成了双向ssl ca是解决网络上公钥无法面对面给的缺陷，引入ca私钥从而证明身份；浏览器 阅读全文

摘要：这个密码的特征是防泄漏不妨篡改，所以解决的是U盾密码学【重要】中的第1类问题-公钥加密私钥解密 用app的公钥加密 这个星球上只有app的私钥能解密 借助app私钥安全的权威性做背书 质疑密码的安全性，就是质疑app私钥的安全性；而私钥的安全性是不适合被质疑的。 从 KeyStore 中获取 Pub 阅读全文

摘要：https代理服务器（三）实践 开始使用mkcert https原理（三）双向实践（curl） 1双向为什么能抵抗中间人【重要】 2mkcert签发客户端 springboot服务端，验证客户端证书，81de69b2a5f3032e8eaa98ef3c157373ce9aa609 server.ss 阅读全文

摘要：1 mongo相关的参数 --tlsAllowConnectionsWithoutCertificates 允许客户端连接而不提供证书 --tlsAllowInvalidHostnames 允许服务器证书提供不匹配的主机名 --tlsAllowInvalidCertificates 允许连接到证书无 阅读全文

摘要：about health check api: PeriodTLS termination modesprint boottcp tunnelhealth checkcomment before Sept 2023 edge http 20000 / http 20000 Sept 2023 - A 阅读全文

摘要：继tomcat白名单（五）其他 0 先看一下sni的作用 四层 七层 浏览器（客户端） dns解析 connect ip 在clientHello中用浏览器地址栏host塞入sni 在http头中塞入Host头 网关（服务端） 根据SNI路由 根据Host头路由 openshift根据SNI路由pa 阅读全文

摘要：ssl搞那么复杂，都是为了阻止对称密钥在通信过程被拦截，那么就不用通信，直接物理上给你 U盾中可以存一个对称密钥，避免对称密钥在网络上传输被拦截； 2025年2月 { 但对称密钥有个问题，对称密钥的另一半在银行，银行有内鬼的话就完了； 所有U盾里面应该藏了一个银行帮你弄的密钥对的私钥 转账时，用U盾 阅读全文

摘要：1 搜集 1.1 https://blog.csdn.net/SkyChaserYu/article/details/105840504 TLS1.3 抓包分析 Random，随机数，是由安全随机数生成器生成的32个字节。 1.2 https://blog.csdn.net/lcl088005/ar 阅读全文

摘要：侵入ClientHello协议 1 windows 本地 1.1 netty client connect localhost:20000, host put in 6u-21370 通过 1.2 打开UIServer，开ssl，8081 浏览器输入https://localhost:20000/ 阅读全文

摘要：0 跟我想法一致 https://www.coder.work/article/2852937 我想从 TLS Client Hello Message 中找到主机名。我想在 java 为透明 ssl 代理完成握手之前找到主机名。 有没有什么方法可以在不编写整个 ssl 握手 逻辑的情况下找到 SN 阅读全文

摘要：1 Http的CONNECT并不是所有的Proxy Server都实现了，所在这里选择Proxy Server的时候需要注意一下。通常所用到的Proxy Server如Squid和Nginx，Squid是支持Http CONNECT，而Nginx就是不支持的。 https://blog.csdn.n 阅读全文

摘要：mac curl http://localhost:9999/hhh --proxy "localhost:1999" localhost:9999不需要存在 结论： 1 localhost:9999存在于Host头 2 这个请求为Get，不是Connect 3 远端connect失败，close 阅读全文