一、知识准备

1.ssl协议:通过认证、数字签名确保完整性;使用加密确保私密性;确保客户端和服务器之间的通讯安全

2.tls协议:在SSL的基础上新增了诸多的功能,它们之间协议工作方式一样

3.https协议:https over tls,tls协议是https协议的核心

名词介绍:

CA:Certificate Authority,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构

对称加密:加密和解密使用相同密钥的加密算法。它的速度快,通常在加密大量数据时使用

非对称加密:需要两个密钥来进行加密和解密,公钥与私钥。公钥加密的只能用私钥解密,反之私钥加密的也只能用公钥解密。通常用于重要信息的安全传输,缺点是速度比对称加密慢很多

二、tls通信过程

废话不说,我们先上tls通信过程

(1)客户端-->服务端:协商协议版本、加密方案、压缩方法等;生成一个随机数,用于之后生成会话秘钥

(2)服务端-->客户端:确认协商信息;生成一个随机数,用于之后生成会话秘钥;发送证书到客户端

(3)客户端-->服务端:生成一个随机数,用于之后生成会话秘钥;验证自己收到的证书是否为合法的证书;若证书没问题,则会从证书中取出公钥,加密最后一个随机数发送给服务端;然后使用产生的3个随机数生成会话秘钥,并且宣布用会话秘钥来进行加密通信(会话秘钥是对称加密)

(4)服务端:收到被公钥加密的最后的随机数,然后用私钥解开之后再加上之前的2个随机数,产生会话秘钥

(5)至此,双方都已经拥有会话秘钥,并且用该会话秘钥进行随后的加密通信

这就是整个通信过程,本文结束了吗?显然没有,我们还有几个问题没有解决

三、tls通信中需要解决的问题

(a)客户端从服务端收到的证书,是真实的证书,还是黑客伪装的证书

(b)私钥是不能公布的,公钥是发布出去大家都知道的,那用什么秘钥去加密

下面我们来一一解决这些问题:

问题(a)

要说清楚客户端怎么验证证书,要先弄明白证书是什么

● 证书内容:如发行机构、有效期、公司信息等

● 摘要:证书内容等经过hash之后生成摘要

● 数字签名:CA使用私钥对摘要,加密之后生成签名

● 数字证书主要由证书内容、公钥、数字签名、使用的hash算法等组成

证书验证分为真实性验证与有效性验证:

真实性验证:

● 通过内置根证书的公钥对数字签名解密,得到一个hash值,这个hash值就是摘要

● 使用证书内的hash算法将证书内容进行hash之后得到一个hash值,用这个新的hash值与上一步的hash值进行对比

● 若相同,证明证书真实有效,若不同,则证明被串改过


有效性验证:

● CRL。CA会提供一份证书失效名单,浏览器会缓存并定期更新该名单。

● OCSP。CA提供实时接口查询

还有个问题需要解释一下:

关于数字签名中,CA使用的私钥的问题

● CA也会生成一对私钥、公钥,私钥对用户证书进行加密

● 而公钥会内置在操作系统的安装当中成为系统默认的根证书

● 在真实性验证中,客户端使用内置根证书中的公钥对用户的证书进行解密

至此,关于证书验证的问题大致描述到此

问题(b)

完成证书验证之后

● 在tls通信过程中(1)、(2)分别生成了2个随机数,这两个随机数是没有加密传递

● 在tls通信过程中(3)又生成了1个随机数,这个随机数会被公钥加密之后,只能被服务端的私钥解密

● 所以,第三个随机数是安全的,没有被泄露的,通过这3个随机数使用对称加密算法生成会话秘钥

● 之后的数据传输都会使用会话秘钥进行加密

● 由于会话秘钥是对称加密,它的加密解密速度都大大超过非对称秘钥

四、自签根证书测试

自签根证书的帖子网上的大神很多,我就不班门弄斧了

经过一顿猛如虎的操作之后,我手里面拿到了这几个文件:

root@k8s-node2:/opt/CA/certs# ls -l

total 20

-rw-r--r-- 1 root root 1448 Oct 26 10:14 ca.crt

-rw------- 1 root root 1854 Oct 26 10:14 ca.key

-rw-r--r-- 1 root root 4493 Oct 26 10:14 server.crt

-rw------- 1 root root 1675 Oct 26 10:14 server.key


ca.crt:自签的根证书

ca.key:根证书对应的私钥

server.crt:服务器证书

server.key:服务器证书对应的私钥

我们部署一个nginx,并且配置ssl

server {

   listen   443 ssl;

   server_name www.mrvolleyball.com;

   ssl_certificate /etc/nginx/cert/server.crt;

   ssl_certificate_key  /etc/nginx/cert/server.key;

   location / {

       root html;

   }

}

首先来访问一下nginx:

不出所料,证书是不受信任的,接下来我们在系统中信任自签的根证书



再次打开

至此,本文结束

在下才疏学浅,有撒汤漏水的,请各位不吝赐教...

https、ssl、tls协议学习的更多相关文章

  1. HTTPS SSL/TLS协议

    要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识.1. 大致了解几个基本术语(HTTPS.SSL.TLS)的含义2. 大致了解 HTTP 和 TCP 的关系(尤其是“短连接”VS“长连接 ...

  2. 聊聊HTTPS和SSL/TLS协议

    要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识.1. 大致了解几个基本术语(HTTPS.SSL.TLS)的含义2. 大致了解 HTTP 和 TCP 的关系(尤其是“短连接”VS“长连接 ...

  3. 浅谈 HTTPS 和 SSL/TLS 协议的背景与基础

    来自:编程随想   >> 相关背景知识 要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识. 大致了解几个基本术语(HTTPS.SSL.TLS)的含义 大致了解 HTTP 和 ...

  4. 好程序员带你了解一下HTTPS和SSL/TLS协议的背景与基础

    >> 相关背景知识 要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识. 大致了解几个基本术语(HTTPS.SSL.TLS)的含义 大致了解 HTTP 和 TCP 的关系(尤其 ...

  5. 聊聊HTTPS和SSL/TLS协议 分类: 计算机网络 2015-07-11 21:41 4人阅读 评论(0) 收藏

    要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识. 1. 大致了解几个基本术语(HTTPS.SSL.TLS)的含义 2. 大致了解 HTTP 和 TCP 的关系(尤其是"短连接 ...

  6. 【转】聊聊HTTPS和SSL/TLS协议

    要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识.1. 大致了解几个基本术语(HTTPS.SSL.TLS)的含义2. 大致了解 HTTP 和 TCP 的关系(尤其是“短连接”VS“长连接 ...

  7. HTTPS和SSL/TLS协议

    要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识.1. 大致了解几个基本术语(HTTPS.SSL.TLS)的含义2. 大致了解 HTTP 和 TCP 的关系(尤其是“短连接”VS“长连接 ...

  8. 聊聊HTTPS和SSL/TLS协议 【基础入门】

    要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识.1. 大致了解几个基本术语(HTTPS.SSL.TLS)的含义2. 大致了解 HTTP 和 TCP 的关系(尤其是“短连接”VS“长连接 ...

  9. 浅谈HTTPS和SSL/TLS协议的背景和基础

    相关背景知识要说清楚HTTPS协议的实现原理,至少要需要如下几个背景知识.大致了解几个基础术语(HTTPS.SSL.TLS)的含义大致了解HTTP和TCP的关系(尤其是"短连接"和 ...

  10. 在 ASP.NET MVC 中使用 HTTPS (SSL/TLS) -- 学习

    在 ASP.NET MVC 中使用 HTTPS (SSL/TLS) IS 7如何实现http重定向https HTTPS 升级指南

随机推荐

  1. java 扁平化输出json所有节点key/value

    本章主要介绍用java实现扁平化输出json所有节点key/value(包含所有内层子节点) 1.json结构 目的输出bill_list下的datalist里的子节点key/value 2.实现代码 ...

  2. 20165318 2017-2018-2 《Java程序设计》第三周学习总结

    20165318 2017-2018-2 <Java程序设计>第三周学习总结 学习总结 我感觉从这一章开始,新的知识点扑面而来,很多定义都是之前没有接触过的,看书的时候难免有些晦涩.但由于 ...

  3. js如何将时间戳转换为标准时间

    function formatDate(date,fmt){ let o = { 'M+' : date.getMonth() +1, //月份 'd+' : date.getDate(), //日 ...

  4. 20155314 2016-2017-2 《Java程序设计》第2周学习总结

    20155314 2016-2017-2 <Java程序设计>第2周学习总结 教材学习内容总结 学习目标 了解Java编程风格 认识Java的类型与变量 掌握Java流程控制的方法(分支. ...

  5. 微信小程序、安卓APP、苹果APP对比分析

    今天的话题主要是关于微信小程序.安卓APP.苹果APP对比分析.既然是对比分析肯定是将它们一个一个说明. 本篇不涉及技术话题,只讲解微信小程序.安卓APP.苹果APP它们各自的优缺点及其应用场景. 一 ...

  6. layui弹出层之应用实例讲解

    从酒店管理系统到智能门锁及其现在的资源共享平台,layui框架,我们团队用的比较多的就是这个layui弹出层. layui弹出层,除了页面iframe层我们比较常用还有就是表单校验和其他相关的友好提示 ...

  7. MySQL无法存储Emoji表情问题

    数据插入的时候报错: 1366 - Incorrect string value: '\xF0\x9F\x98\x81' for column 'job' at row 23 解决办法: 1.修改配置 ...

  8. Android的JNI调用(三)

    注册JNI函数 注册之意就是将Java层的native函数与JNI层对应的实现函数关联起来,这样在调用Java层的native函数时,就能顺利转到JNI层对应的函数执行. (1)静态注册 根据函数名来 ...

  9. Linux内存调试工具初探-MEMWATCH(转)

    C 语言作为 Linux 系统上标准的编程语言给予了我们对动态内存分配很大的控制权.这种自由可能会导致严重的内存管理问题,可能导致程序崩溃或随时间的推移导致性能降级. 内存泄漏(即 malloc()  ...

  10. Linux操作系统基本操作(1)

    1.常用快捷键 Ctrl+d 键盘输入结束或退出终端 Ctrl+s 暂停当前程序,暂停后按下任意键恢复运行 Ctrl+z 将当前程序放到后台运行,恢复到前台为命令fg Ctrl+a 将光标移至输入行头 ...