前言
对于HTTPS安全协议,相信不少人都不陌生。它是基于SSL/TSL安全协议来保护HTTP负载,如果你打开页面曾遇到这样的界面,那么就是HTTPS安全协议在起作用了。这意味着这家站点的证书不可信,有可能是钓鱼网站,浏览器建议你关掉它。
那么HTTPS协议是如何工作的呢?
建立对于站点的信任
HTTPS基于的SSL/TSL协议本质上是基于公钥密码体系的,上图展现了一个站点信任关系建立的过程。这个信任是基于客户端认可的权威,也就是CA,通常是国际证书认证的组织。服务站点需要申请获取由CA签名的证书。然后当客户端向它发起请求时,向客户端提供证书以证明自己的身份。
注意:
这里仅仅是建立客户端对于站点的信任,而非站点对于客户端的信任。大部分情况下SSL/TSL协议只要求建立对于站点的信任,称之为Simple模式,而Mutual模式则是双方相互认证。【3】
客户端信任CA,从工程上来看,即客户端存有CA的证书(或者授予CA签名链上的父证书),通常浏览器安装时会配置一些主要的CA证书。
CA的证书可以是自签名的,也可以由更加上层的CA为其签名。
证书及签名
如果以上的文字描述还是较为抽象的话,可以做一下实验来切身感受签名和证书的长相。
假如你在系统中安装了OpenSSL工具,那么可以用它来生成证书。
比如我的系统中安装了下面版本的OpenSSL工具。
[root@localhost:~] openssl version OpenSSL 1.0.2y-fips 16 Feb 2021
生成自签名的证书
接着我使用OpenSSL生成了一个自签名的证书【1】。
注意:需要输入被签名者的各种身份信息。
$ openssl req -new -x509 -days 365 -out cert.crt
Generating a 2048 bit RSA private key
..........+++
...............................................................................+++
writing new private key to 'privkey.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:SH
Locality Name (eg, city) [Default City]:SH
Organization Name (eg, company) [Default Company Ltd]:MyCompany
Organizational Unit Name (eg, section) []:DEV
Common Name (eg, your name or your server's hostname) []:DRL
Email Address []:
来看看证书长什么样。
$ cat cert.crt
-----BEGIN CERTIFICATE-----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