什么是SSL、TLS和HTTPS？概念SSL：安全套接字层(SecureSocketsLayer，SSL)是一种加密安全协议;（SSL是TLS的前身）TLS：安全传输层协议(TransportLayerSecurity，TLS)是为网络通信提供安全及数据完整性的一种安全协议;HTTP：超文本传输协议(HyperTextTransferProtocol)是从WEB服务器传输超文本标记语言(HTML)到本地浏览器的传送协议。HTTPS：超文本传输安全协议（HypertextTransferProtocolSecure），是以安全为目标的HTTP通道，简单讲是HTTP的安全版；即HTTP下加入SSL

证书结构我们现在使用的TLS证书的标准是X.509，版本号为V3。版本号可从证书的Version字段看到。根据RFC3280定义的证书结构，证书由三个部分组成：证书主体（TBSCertificate，ToBeSignedCertificate，待签名证书）签名算法签名值证书主体包括版本、序列号、公钥等内容。签名值是对证书主体使用签名算法计算并经过证书签名机构私钥加密后的值。证书的数据组织格式为ASN.1DER格式（distinguishedencodingrules）。这是一种TLV编码，其中的每个元素都包含Tag、Length、Value。通常我们获得的证书是经由Base64编码后的PEM文

证书结构我们现在使用的TLS证书的标准是X.509，版本号为V3。版本号可从证书的Version字段看到。根据RFC3280定义的证书结构，证书由三个部分组成：证书主体（TBSCertificate，ToBeSignedCertificate，待签名证书）签名算法签名值证书主体包括版本、序列号、公钥等内容。签名值是对证书主体使用签名算法计算并经过证书签名机构私钥加密后的值。证书的数据组织格式为ASN.1DER格式（distinguishedencodingrules）。这是一种TLV编码，其中的每个元素都包含Tag、Length、Value。通常我们获得的证书是经由Base64编码后的PEM文

前言Traefik是一个现代的HTTP反向代理和负载均衡器，使部署微服务变得容易。Traefik可以与现有的多种基础设施组件（Docker、Swarm模式、Kubernetes、Marathon、Consul、Etcd、Rancher、AmazonECS...）集成，并自动和动态地配置自己。今天我们基于TraefikonK8S来详细说明如何对TLS安全进行「激进」配置。环境基本信息K8S集群；域名：ewhisper.cn（由DNSPod进行DNS管理，已指向K8S集群的TraefikIngress的LoadBalancer公网地址）使用cert-manager自动管理的证书*.ewhisper

前言Traefik是一个现代的HTTP反向代理和负载均衡器，使部署微服务变得容易。Traefik可以与现有的多种基础设施组件（Docker、Swarm模式、Kubernetes、Marathon、Consul、Etcd、Rancher、AmazonECS...）集成，并自动和动态地配置自己。今天我们基于TraefikonK8S来详细说明如何对TLS安全进行「激进」配置。环境基本信息K8S集群；域名：ewhisper.cn（由DNSPod进行DNS管理，已指向K8S集群的TraefikIngress的LoadBalancer公网地址）使用cert-manager自动管理的证书*.ewhisper

目录0x00前言简述SSL/TLS简单说明SSL/TLS相关术语一览0x01HTTPS安全实践指南1.证书(certificate)与私钥(Privatekey)2.中间件SSL/TLS服务器配置3.SSL/TLS站点性能4.HTTP与应用安全5.定期HTTPS检查避免已知问题0x00前言简述SSL/TLS简单说明描述:当下越来越多的网站管理员为企业站点或自己的站点进行了SSL/TLS配置,SSL/TLS是一种简单易懂的技术，它很容易部署及运行，但要对其进行安全部署的情况下通常是不容易。如果想掌握如何配置一个安全的web服务器或应用，往往需要系统管理员和开发者去了解SSL和TLS相关的技术,这

目录0x00前言简述SSL/TLS简单说明SSL/TLS相关术语一览0x01HTTPS安全实践指南1.证书(certificate)与私钥(Privatekey)2.中间件SSL/TLS服务器配置3.SSL/TLS站点性能4.HTTP与应用安全5.定期HTTPS检查避免已知问题0x00前言简述SSL/TLS简单说明描述:当下越来越多的网站管理员为企业站点或自己的站点进行了SSL/TLS配置,SSL/TLS是一种简单易懂的技术，它很容易部署及运行，但要对其进行安全部署的情况下通常是不容易。如果想掌握如何配置一个安全的web服务器或应用，往往需要系统管理员和开发者去了解SSL和TLS相关的技术,这

作者：老Z，中电信数智科技有限公司山东分公司运维架构师，云原生爱好者，目前专注于云原生运维，云原生领域技术栈涉及Kubernetes、KubeSphere、DevOps、OpenStack、Ansible等。前言测试服务器配置主机名IPCPU内存系统盘数据盘用途zdeops-master192.168.9.92440200Ansible运维控制节点ks-k8s-master-0192.168.9.9141640200+200KubeSphere/k8s-master/k8s-workerks-k8s-master-1192.168.9.9241640200+200KubeSphere/k8s-

作者：老Z，中电信数智科技有限公司山东分公司运维架构师，云原生爱好者，目前专注于云原生运维，云原生领域技术栈涉及Kubernetes、KubeSphere、DevOps、OpenStack、Ansible等。前言测试服务器配置主机名IPCPU内存系统盘数据盘用途zdeops-master192.168.9.92440200Ansible运维控制节点ks-k8s-master-0192.168.9.9141640200+200KubeSphere/k8s-master/k8s-workerks-k8s-master-1192.168.9.9241640200+200KubeSphere/k8s-

近期又碰到了SSL相关的事情,就心血来潮开个新专题-《HTTPS基础原理和配置》本文是第一篇文章，主要介绍SSLTLS加密协议的相关内容。加密协议历史概要SSLTLS加密协议其实并没有很长的历史，1995年网景发布了SSLv2.0，这也是web加密的开始。这使得电子商务领域，人们可以在线提交密码和信用卡，并且至少是相当安全的。SSLv3.0很快发布，这版被保罗·柯克（PaulCoker）及其他人完全重写。这是一个非常坚实的协议。事实上，IETF采用SSLv3.0，并使它成为并不是网景独有的协议，叫做TLS（TransportLayerSecurity）。SSL意思是安全套接字层，但现在叫传输层