SSL/TLS介绍
官话说SSL是安全套接层(secure sockets layer),TLS是SSL的继任者,叫传输层安全(transport layer security)。
说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS
。它存在的唯一目的就是保证上层通讯安全的一套机制。
传统的 TLS 握手过程:
单向认证和双向认证
SSL认证分为单向认证和双向认证,是在安全通信中使用的两种不同的身份验证方式,它们之间的主要区别在于身份验证的方向和安全性。
- 单向认证(One-Way Authentication):
-
-
客户端认证服务器
:- 无需客户端拥有客户端证书,只需服务端拥有服务器证书。
- 例如:浏览器通常会内置一组根证书,这些根证书由浏览器厂商或操作系统供应商预先安装在浏览器中。这组内置的根证书是被广泛信任的证书颁发机构(Certificate Authorities,CAs)签发的根证书,用于验证网站和服务的数字证书的可信性。
- 当您访问一个使用HTTPS协议的网站时,您的浏览器会使用其内置的根证书来验证该网站的数字证书是否由受信任的CA签发。如果验证通过,浏览器将显示一个锁定图标或其他安全标志,表示连接是安全的。如果验证未通过,浏览器通常会发出警告,提醒您可能存在安全风险。
- 因此,根证书在浏览器中起到了关键的作用,它们构成了安全通信的基础。浏览器定期更新其内置的根证书,以反映新的CA或吊销的证书,以确保持续的安全性和可信性。
-
适用场景
:单向认证适用于大多数Web浏览和服务器通信场景,一般情况下,在打开页面的时候没有提示数据加密插件的,属于单向认证,即浏览器只持有公钥
。
-
-
双向认证(Two-Way Authentication):
-
服务器验证客户端和客户端验证服务器
:双向认证中,服务器验证客户端的身份,同时客户端也验证服务器的身份。这意味着客户端和服务器都需要提供有效的证书以进行相互验证。 -
更高的安全性
:双向认证提供更高的安全性,因为它确保了通信的两端都是合法的,并且双方都可以互相验证。 -
适用场景
:双向认证通常在需要更高级别的安全性的场景中使用,例如金融交易、医疗保健、政府通信等,其中双方都需要互相验证以确保身份。类似于支付宝、银行的U顿支付之类的,会要求用户安装插件或驱动,属于双向验证。
总之,单向认证用于服务器验证客户端的情况,而双向认证要求双方都进行身份验证,提供更高级别的安全性。选择哪种认证方式取决于您的应用程序的特定需求和安全性要求。
生成自签名证书文件
数字证书一般由数字证书认证机构签发,证书包含了:
- 公钥。
- 证书拥有者身份信息。
- 数字证书认证机构(发行者)信息。
- 发行者对这份文件的数字签名及使用的算法。
- 有效期。
生成 CA 根证书、服务器证书和客户端证书的步骤如下:
步骤 1:创建 CA 根密钥和证书
首先,您需要生成一个 CA 根密钥(私钥)和一个 CA 根证书。以下是一些基本的步骤:
- 创建 CA 根密钥 (
ca-key.pem
)。这是用于签署服务器和客户端证书请求的私钥。请确保保护好这个私钥文件,因为它是证书链的根。
openssl genpkey -algorithm RSA -out ca-key.pem
- 使用 CA 根密钥创建自签名的 CA 根证书 (
ca-cert.pem
)。
openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -days 3650
在此过程中,您需要提供一些 CA 根证书的信息,如组织、单位、常用名等。
步骤 2:创建服务器证书请求和证书
接下来,您需要为服务器创建证书请求并签署服务器证书。
- 创建服务器密钥 (
server-key.pem
)。
openssl genpkey -algorithm RSA -out server-key.pem
- 使用服务器密钥创建证书请求 (
server-csr.pem
)。在这一步中,您需要提供服务器的信息,如主机名(通常是服务器的域名)。
openssl req -new -key server-key.pem -out server-csr.pem
(py3.8) root@localhost:/opt/lianhaifeng/test2# openssl req -new -key server-key.pem -out server-csr.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there w