博客上Certificate Transparency

恩,这个东西估计就Chrome能看到吧....

关于Certificate Transparency,请参阅:

Certificate Transparency Offical Site: https://www.certificate-transparency.org/

Certificate Transparency On WikiPedia: https://en.wikipedia.org/wiki/Certificate_Transparency

准备

下载 nginx,解压备用。

如果你已经用 yum 或者 apt-get 安装过 openssl 但和我一样的蛋疼无法升级到 1.0.2d 以上版本,请和我一样自觉下载源码包,解压备用。

下好 nginx-ct 和 ct-submit 两个 zip,解压备用。

装上 golang,备用

安装

关闭 nginx 调试 flag 之类的自己做我就不多说了。准备重新编译 nginx,复制好原来的编译参数。

添加 --with-http_v2_module --with-http_ssl_module 如果以前有了就省略此步

添加 --with-openssl=openssl解压后源码路径

添加 --add-module=nginx-ct-master解压后源码路径

make 编译后替换文件我也不讲了。

本人测试过 nginx 1.9.9 + openssl 1.0.2g + lua2.0 可以编译通过,但是 nginx1.10.1 以上的就没法成功....不造为何....

接着创建SCT的文件夹,路径可以自定义,反正你能记得住就行...

接下来进入 ct-submit-master 的目录, 执行:

接下来我们要将证书提交到 Certificate Transparency Log 服务器,如果是证书链,请务必将根证书和链证书合并后操作!

其中,/etc/ssl/server.crt 是你的证书(证书链)文件位置,/etc/ssl/scts/ 是你上面创建的文件夹位置。

然后修改 nginx 的配置。(有 vhost 就改 vhost,没有就直接改 nginx.conf)

然后测试下没问题了就重启 nginx 。

上个图:

ct-01

本宝宝本来是打算把QUIC也搞上的,找了半天相关资讯,总算让我找到了,附上原理图:

QUIC

然而最后一句话让我全身冰凉......

*you can’t use QUIC on nginx yet.

........

 

声明: 本文采用 BY-NC-SA 协议进行授权 | Deamwork
转载请注明转自《博客上Certificate Transparency
本文地址:https://www.deamwork.com/archives/blog-certificate-transparency.orz6

回复 (0)

› 尚无评论。

发表评论 修改评论取消编辑

允许使用的标签 - 您可以在评论中使用如下的 HTML 标签以及属性。

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <img src="" alt=""> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

 :mrgreen:  :|  :twisted:  :arrow:  8O  :)  :?  8-)  :evil:  :D  :idea:  :oops:  :P  :roll:  ;)  :cry:  :o  :lol:  :x  :(  :!:  :?:

引用通告 (0)

› 尚无引用通告。

欢迎来到Deamwork! o(∩_∩)o
X