A: 证书链如图. 合并CA是按照Root CA, Sub CA01, Sub CA02的顺序将三个证书拼接起来. 每段之间用换行分隔. 

Q: 二级CA场景1, 客户端和服务端都使用同一个二级证书签发的认证, 证书如何分配? A: 服务端放置二级证书签发的服务端证书&秘钥, 将根证书和二级证书复制到同一个文件中, 中间相隔一个换行符, 该合并证书也放在服务端. 客户端放置二级证书和二级证书签发的客户端证书&秘钥.

Q: 如何手动从根CA证书生成二级CA证书A: ## 生成根 CA 并自签 openssl genrsa -des3 -out keys/RootCA.key 2048 openssl req -new -x509 -days 365 -key keys/RootCA.key -out keys/RootCA.crt  -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=HUAWEI/OU=DIS/CN=ca.huawei.com" ## 生成二级 CA,本例使用系统自带openssl.cnf, 其中默认ca路径为/etc/pki/CA. 若自行指定openssl.cnf, 使用-config ${openssl_file} echo 02 > /etc/pki/CA/serial openssl genrsa -des3 -out keys/secondCA.key 2048 openssl rsa -in keys/secondCA.key -out keys/secondCA.key openssl req -new -days 365 -key keys/secondCA.key -out keys/secondCA.csr -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=HUAWEI/OU=DIS/CN=ca.suba.huawei.com" mkdir -p /etc/pki/CA/newcerts openssl ca -extensions v3_ca -in keys/secondCA.csr -config /etc/pki/tls/openssl.cnf -days 365 -out keys/secondCA.crt -cert keys/RootCA.crt -keyfile keys/RootCA.key ## 生成服务端证书 echo 03 > /etc/pki/CA/serial openssl genrsa -des3 -out keys/server.key 2048 openssl rsa -in keys/server.key -out keys/server.key openssl req -new -days 365 -key keys/server.key -out keys/server.csr openssl ca -extensions v3_ca -in keys/server.csr -config /etc/pki/tls/openssl.cnf -days 365 -out keys/server.crt -cert keys/secondCA.crt -keyfile keys/secondCA.key ## 生成客户端证书 echo 04 > /etc/pki/CA/serial openssl genrsa -des3 -out keys/client.key 2048 openssl rsa -in keys/client.key -out keys/client.key openssl req -new -days 365 -key keys/client.key -out keys/client.csr openssl ca -extensions v3_ca -in keys/client.csr -config /etc/pki/tls/openssl.cnf -days 365 -out keys/client.crt -cert keys/secondCA.crt -keyfile keys/secondCA.key ## 转换为 pem 格式 openssl x509 -in RootCA.crt -out RootCA.pem openssl x509 -in secondCA.crt -out secondCA.pem openssl x509 -in server.crt -out server-cert.pem openssl x509 -in client.crt -out client-cert.pem

Q: ssl认证对包含5个部分, 根CA证书, 服务侧证书和秘钥, 客户端证书和秘钥, 如何生成者5个东西A: #!/bin/sh rm -rf temp mkdir temp echo 01 > temp/serial touch temp/index.txt ## create ca certificate openssl req -x509 -config openssl.cnf -newkey rsa:2048 -days 730 -out cacert.pem -outform PEM -subj /CN=MyTestCA/ -nodes openssl x509 -in cacert.pem -out temp/cacert.cer -outform DER ## create server certificate openssl genrsa -out server-key.pem 2048 openssl req -new -key key.pem -out temp/server-req.pem -outform PEM -subj /CN=$(hostname)/O=server/ -nodes openssl ca -config openssl.cnf -in temp/server-req.pem -out cert.pem -notext -batch -extensions server_ca_extensions openssl genrsa -out client-key.pem 2048 openssl req -new -key client-key.pem -out temp/client-req.pem -outform PEM -subj /CN=$(hostname)/O=client/ -nodes openssl ca -config openssl.cnf -in temp/client-req.pem -out client-cert.pem -notext -batch -extensions client_ca_extensions rm -rf temp

A:用openssl简单测试二级证书和服务端密钥的合法性 openssl verify -CAfile keys/RootCA.crt -untrusted keys/secondCA.crt keys/server.crt用openssl自带s_server和s_client验证证书有效性# 首先拷贝 secondCA.pem 的内容并追加到 RootCA.pem 文件末尾 $ openssl s_server -accept 2009 -key server.key -cert server-cert.pem -CAfile RootCA.pem -Verify 1 $ openssl s_client -connect localhost:2009 -CAfile RootCA.pem -cert client-cert.pem -key client.key -showcerts用openssl的s_client尝试对IoT发起一个mqtt connect报文, 客户端id为a echo -en "\x10\x0d\x00\x04MQTT\x04\x00\x00\x00\x00\x01a" | openssl s_client -connect localhost:8883 -CAfile root_ca.pem -cert client-cert.pem -key client-key.pem -showcerts  # 连接后立即会断开是因为客户端自己断开了连接.   # emqttc建立连接后不久就断开是因为emqttc没有按时发送mqtt ping包

DIS内部实现是Kafka, CS内部实现是Flink, 这个问题可以简化为Kafka和Flink在一起用能解决什么问题. 举一个场景, 边缘设备上的传感器数据通过MQTT协议发送到IoT平台或者IoT接入实例接入到云上, IoT平台配置转储规则, 消息转储到DIS的INPUT通道, CS订阅DIS的INPUT通道, 过滤其中包含告警的消息, 将其发布到DIS的ALERT通道, 开发者订阅DIS的ALERT通道, 即可收到告警消息. 

可以, 美女不会配的话请提工单

楼主好萌 感谢感谢 期待抱枕哈哈哈哈哈哈哈哈 {:4_87:}{:4_87:}{:4_87:}

我发现在数据可视化场景下可以使用WAF（漏洞扫描服务） 之前做Cloudera的开源大数据可视化方案Hue的二次开发, http://gethue.com/ 交付之前，通过某些渠道用华为的软件做了web扫描，部分问题罗列如下: 从ssl换成tls 有的表单遗漏csrf token 扫描出来访问打印堆栈的页面， 也就是该页面回报500 error xss注入风险， 用js输出html没有转义 代码中的工号等敏感信息 补齐了一些http头设置 如httponly 华为具备多年从事电信级软件研发的经验，众所周知电信软件对安全要求较高，华为在安全方面的积累应该能够让人信赖。 对安全要求较高的领域如政务，财经等领域的软件应该都有扫描的必要。 基于软件开发长期积累的经验，waf也能通过扫描对产品提出改进建议，如对增删改查的操作使用更合适的http method。

第三期有奖问答题目回答（2018.1.18更新）： 1. B 2. A 3. 一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。RDS提供专业的数据库备份、恢复及优化方案，使您能专注于应用开发和业务发展 4. 网络游戏、电子商务、电子政务、企业门户、社交平台、社区论坛等互联网领域，或者企业办公应用、软件即服务（Software as a Service，以下简称SaaS）化应用等业务系统，甚至可以作为后台数据库来支撑软件开发者进行软件开发测试。 5. 文档数据库服务（Document Database Service） 支持MongoDB引擎