SSL 安全协议 以及 如何认证
ssl安全协议(Secure Sockets Layer 安全套接层) 以及 认证
什么是协议
平时访问网页的时候,默认都是访问的 http 协议,比如 http://abc.cn 即便在地址栏没有明确写 http, 只写了一个 abc.cn, 实际上浏览器也会自动补充上 http:// 的。
http 就是协议的名称。 协议是什么概念? 就是浏览器和服务端事先约定好的规则,按照预定的规则,服务器和浏览器之间能够互相理解。
http 协议的缺陷,这里主要谈安全方面的缺陷。 http 协议是明文传输的,无论数据,账号,密码都是在网络上明文传输的,所以就存在巨大的安全隐患。一个是容易泄露密码,再一个容易被劫持,效果就是访问 http://abc.cn 的时候,会跳转到不可预知的网站去。
http劫持
用户要获取 abc.cn的数据,是不会直接从 服务器上去取的。
首先找运营商,然后运营商去把数据取出来,取出来之后,再发给用户。
目前有3个主要的运营商(移动,电信,联通),他们就扮演者中介的角色。
一般说来,这个中介什么都不会做,把从阿里云拿到的数据,返回给用户就完了。
但是,如果有黑客,或者运营商内部不可描述的原因,拿到的数据被动了手脚,那么再发给用户的数据,就不是原来的数据了。
abc.cn 被劫持,就是本应该返回正常的 html, 但是却被粗暴地修改成了下面这样:
<html>
<body>
<script>location.href="不可预知.com"</script>
</body>
</html>
ssl是什么
因为 http 是明文传输的,所以很容易就被纂改, 于是就出现了被劫持的现象。
为了解决这个问题,我们需要在 http 协议上做一个增强,这个增强方式就是 进行 ssl 认证。 认证完成之后, http 协议就变成了 https协议啦。
https 协议从理论上来讲也会和 http 一样会被纂改,但是其难度和代价就是指数级别的上升了,所以从概率上来讲,再出现被劫持的现象就小了很多很多啦
ssl 证书
概念
要进行ssl 认证,就需要先有 ssl 证书(这个证书最好是被广泛认可的权威机构颁发的,这样大家才信任它。)。
3种类型ssl 证书
域名验证型(DV)SSL证书
证书名称:域名型SSL证书(Domain Validation SSL Certificate)
适合对象:中小型企业网站、中小型电子商务网站、电子邮局服务器、个人网站等
组织验证型(OV)SSL证书
证书名称:企业型 SSL 证书(Organization Validation SSL Certificate)
适合对象:企业网站、电子商务网站、证券、金融机构
扩展验证型(EV)SSL证书
证书名称:增强型 SSL 证书(Extended Validation SSL Certificate )
适合对象:银行、保险、金融机构、电子商务网站、大型企业
DV最简单,也有免费的,EV和OV都必须是付费的,费用高昂。
DV免费渠道:通过权威机构申请,比如 Symantec 赛门特克
ssl认证:阿里云免费认证
免费地址:https://common-buy.aliyun.com/?spm=5176.2020520163.cas.3.342dbsGJbsGJeT&commodityCode=cas#/buy
- 选择免费型 DV SSL, 自动选择 Symantic
- 进入阿里云控制台,左边的产品与服务-> 搜搜 ssl -> 就出来 SSL 证书(应用安全)了。
- 看到未签发的证书,点击 证书申请
- 填写基本信息,其他选项默认
- DNS 验证:域名解析里填写域名授权验证类型、记录类型、主机记录、记录值
- 等待审核通过
- 下载证书:在已签发栏目里,选择服务器的证书(选择Tomcat 和 Nginx)下载
配置 Nginx的ssl认证
nginx的ssl证书(一般有两个文件)
123456_abc.cn.key
123456_abc.cn.pem
把证书复制到 nginx 根目录下
配置 nginx.conf
server {
listen:80;
listen 443 ss1;
server_name localhost;
ssl_certificate E://chrome_ down1oad//nginx//123456_abc.cn.pem; # 这个是证书的crt文件所在目录
ssl_certificate_key E://chrome_ download/ /nginx//123456_abc.cn.key; # 这个是证书key文件所在目录
修改host文件(添加)
C:\Windows\System32\drivers\etc
127.0.0.1 abc.cn
重启访问nginx
配置Tomcat的ssl认证
tomcat的ssl证书(一般有两个文件)
123456_abc.cn.pfx
pfx-password.txt
复制证书
把证书(pfx 文件)复制到 tomcat/conf/cert 目录下(cert 目录手动创建cert 目录)
配置 server.xml(修改)
在 节点下,主要有两个改动:
- keystoreFile 要指定 pfx 的路径。
- keystorePass使用 pfx-password.txt文件里的密码
<Connector port="443"
protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="F:/chrome_download/tomcat/conf/cert/2992871_how2j.cn.pfx"
keystoreType="PKCS12"
keystorePass="pfx-password.txt文件里的密码"
clientAuth="false"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
修改host文件(添加)
C:\Windows\System32\drivers\etc
127.0.0.1 abc.cn
重定向 localhost/a.jsp 问题
重定向写的是 /a.jsp, 那么就会跑到 http://localhost/a.jsp 这个地方去了,就不再是访问的 https://localhost/a.jsp。
修改 server.xml(节点修改)
在80端口对应的 Connector 这里,增加下面4个。
secure="true"
scheme="https"
proxyPort="443"
redirectPort="443"
重启访问
SSL 安全协议 以及 如何认证的更多相关文章
- 基于SSL协议的双向认证 - SSL协议 [1]
1 概要说明 在互联网通信方式中,目前用的最广泛的是HTTPS配合SSL和数字证书来保证传输和认证安全了. 2 详细介绍 2.1 HTTPS HTTPS全称:Hypertext Transf ...
- SSL/TLS协议运行机制的概述
互联网的通信安全,建立在SSL/TLS协议之上. 本文简要介绍SSL/TLS协议的运行机制.文章的重点是设计思想和运行过程,不涉及具体的实现细节.如果想了解这方面的内容,请参阅RFC文档. 一.作用 ...
- SSL/TLS协议运行机制
转载自http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html 互联网的通信安全,建立在SSL/TLS协议之上. 本文简要介绍SSL/TLS协议的运行 ...
- 【转】SSL/TLS协议运行机制的概述
互联网的通信安全,建立在SSL/TLS协议之上. 本文简要介绍SSL/TLS协议的运行机制.文章的重点是设计思想和运行过程,不涉及具体的实现细节.如果想了解这方面的内容,请参阅RFC文档. 一.作用 ...
- SSL/TLS 协议详解
SSL(Secure Sockets Layer,安全套接层),及其继任者 TLS(Transport Layer Security,传输层安全)是为网络通信提供安全及数据完整性的一种安全协议.TLS ...
- nginx配置ssl加密(单双向认证、部分https)
nginx配置ssl加密(单双向认证.部分https) nginx下配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番.一开始 ...
- SSL/TLS协议运行机制的概述(转)
互联网的通信安全,建立在SSL/TLS协议之上. 本文简要介绍SSL/TLS协议的运行机制.文章的重点是设计思想和运行过程,不涉及具体的实现细节.如果想了解这方面的内容,请参阅RFC文档. 一.作用 ...
- 理解SSL/TLS协议
理解SSL/TLS协议 背景 早期我们在访问web时使用HTTP协议,该协议在传输数据时使用明文传输,明文传输带来了以下风险: 1.信息窃听风险,第三方可以获取通信内容 2.信息篡改风险,第三方可以篡 ...
- [转帖]nginx配置ssl加密(单/双向认证、部分https)
nginx配置ssl加密(单/双向认证.部分https) https://segmentfault.com/a/1190000002866627 nginx下配置ssl本来是很简单的,无论是去认证 ...
随机推荐
- 学习笔记之Slurm
Slurm Workload Manager - Overview https://slurm.schedmd.com/overview.html Slurm is an open source, f ...
- java读取配置文件属性
在项目开发过程中,有时需要将其中用到的变量值在一个文件中统一管理,首先我选到了config.properties文件:下面这个代码是用于读取其中的变量值的类: package com.modem.te ...
- python 中json和字符串互相转换
string =" { "status": "error", "messages": ["Could not f ...
- 复盘一篇讲sklearn库学习文章(上)
认识 sklearn 官网地址: https://scikit-learn.gor/stable/ 从2007年发布以来, scikit-learn已成为重要的Python机器学习库, 简称sklea ...
- idea中新增package总是嵌套的解决方法
在idea中创建package,为了方便会将com.xx.xx作为一个package,下面添加对应的子package.比如service,config等.但是当我创建是总是会嵌套在下面变成了com.x ...
- synchronized的使用方法和作用域
文章地址:https://mp.weixin.qq.com/s?__biz=MzI4NTEzMjc5Mw==&mid=2650554746&idx=1&sn=8e45e741c ...
- CodeCombat第一关:KITHGARD地牢之KITHGARD精通
https://www.cnblogs.com/OctoptusLian/p/7397602.html https://www.jianshu.com/p/065581a84879 https://w ...
- Linux 修改文件目录权限
修改文件目录权限 chmod chmod u+x b.txt chmod 777 a.txt 修改文件的所有者和所属组 修改所有者chown beifeng a.txt 修改所属组chgrp b ...
- 通过vue-cli搭建vue项目
一.搭建环境 安装node.js 从node.js官网下载并安装node,安装过程很简单,一路“下一步”就可以了.安装完成之后,打开命令行工具(win+r,然后输入cmd),输入 node -v,如下 ...
- mysql-5.7.18 免安装版安装配置(Windows)
mysql-5.7.18 免安装版安装配置(Windows) 一.在Mysql官网下载Mysql-5.7.18的ZIP文件 下载链接为:https://dev.mysql.com/downloads/ ...