初识OpenSSL

首先来认识一下SSL和TLS

　　SSL：Secure Sockets Layer 安全套接层协议 由Netscape公司在1994年发布；

　　TLS：Transport Layer Security 传输层安全协议 由IETF在1999年发布 与SSL基本上兼容；

SSL会话三部曲：
　　客户端向服务器端索要并验证证书；
　　双方协商生成“会话密钥”；
　　双方采用“会话密钥”进行加密通信；

　　　　第一阶段：ClientHello
　　　　　　　　　客户端支持的协议版本、加密算法、压缩算法等
　　　　　　　　　并生成一个随机数，用于之后生成的“会话密钥”

　　　　第二阶段：ServerHello
　　　　　　　　　确认使用的协议版本、加密算法等，也生成一个随机数，用于之后生成的“会话密钥”，
　　　　　　　　　并向客户端发送服务器证书；

　　　　第三阶段：
　　　　　　　　　客户端验证服务器证书(发证机构，证书完整性，证书持有者，证书有效期，吊销列表等)，在确认无误后取出其公钥；
　　　　　　　　　发送以下信息至服务器：
　　　　　　　　　　　　一个随机数，
　　　　　　　　　　　　编码变更通知，
　　　　　　　　　　　　客户端握手结束通知；

　　　　第四阶段：
　　　　　　　　　收到客户端发来的随机数，计算生成本次会话用到的“会话密钥”；
　　　　　　　　　发送以下信息至客户端：
　　　　　　　　　　　　编码变更通知，
　　　　　　　　　　　　服务器握手结束通知；

如图阐述手动在用户A和用户B之间进行加密通信的简单原理。

　　

　　　　　　第一步：用户A,B都是CA的信任用户，他们事先需协商好进行加密通信所需要的加密算法等等，并相互认证各自的身份。

　　　　　　第二步：用户B将需要发送的数据（元数据）进行单向加密，并用自己的私钥对数据特征码进行加密（也就是数字签名）。

　　　　　　第三步：用户B将元数据和数字签名用一个一次性的密钥进行对称加密，并用A的公钥加密这段对称加密密钥，然后将其一起发送给用户A。

　　　　　　第四步：用户A接收到数据后，先用自己的私钥解密对称加密，得到数字签名和元数据；再用B的公钥解密数字签名，如果能解开，说明数据是B发来的(验证B的身份)；

　　　　　　　　　　然后再用单向加密加密元数据，将特征码与解密后的数字签名对比，如果相同，则证明数据没有被篡改(保证了数据的完整性)。