对称加密:a,b约定好密钥,a加密传给b,b用密钥解密。
非对称加密:ab约定好公钥私钥,a把公钥给b,b用公钥加密,回传,a用私钥解密
数字签名:ab约定好公钥私钥,ab交换公钥,a先用b公钥加密文件,再用自己私钥签名。b收到文件先用a公钥验证,再用自己私钥解密。
1.什么是SSL/TLS?
答 : SSL(secure socket layer)安全套接层及其继任者TLS(transport layer security)传输层安全简单来说就是一组安全协议,使用非对称加密和数字签名等技术实现网络传输的安全。
2.SSL有哪些应用?
答: https(http+ssl)就是最常见的一种应用。现在的网站很多都涉及到交付或者为了保护用户的隐私,所以做成加密的传输方式是必要的。最近几年,很多大网站都改成了全站https模式,如淘宝,百度,京东等。除了https外,SSL还有些应用场景,如smtps,pop3s,ftps,vpn加密,远程监控加密等。总之一句话: 只要是涉及到网络通讯安全的,一般都会支持SSL。
3.什么是CA认证?
答: 简单来说,就是被权威机构认证过的网站。
4.使用Let's Encrypt免费SSL证书实现公网网站的https
环境需求:
1.公网服务器或云服务器
2.域名备案
3.提供web服务ing。
0.先停止80端口服务,停止433端口服务。
# ss -nltp
检查之
1.下载Let's Encrypt,并生成证书
# cd /software
# git clone https://github.com/letsencrypt/letsencrypt
# cd letsencrypt/
# ./certbot-auto certonly --standalone --email 随便填个邮箱 -d 域名.com -d 第二个域名.com
# ls /etc/letsencrypt/live/域名.com/
fullchain.pem --可以配置到nginx里的证书
privkey.pem --可以配置到nginx里的私钥
修改配置文件
# vim /usr/local/nginx/conf/nginx.conf
server{
listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/域名.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/域名.com/privkey.pem;
ssl_protocols TLSv1.2;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384;
...
}
# /usr/local/nginx/sbin/nginx -s stop
# /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
5.自动使用https
# vim /usr/local/nginx/conf/nginx.conf
nginx配置文件里的server{}配置段里再加这一段
server{
if ($scheme = http) {
return 301 https://$server_name$request_uri;
}
...
}
或
使用nginx的rewrite功能。
# /usr/local/nginx/sbin/nginx -s stop
# /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf