自建CA证书搭建https服务器

最新推荐文章于 2024-05-03 04:04:31 发布
最新推荐文章于 2024-05-03 04:04:31 发布
阅读量1.5k 收藏 6
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/e5354966xieo/article/details/103601817
版权
由于CA收费,所以可以自建CA,通过将CA导入浏览器实现https的效果,曾经12306购票就需要自行导入网站证书。关于https2015年阿里巴巴将旗下淘宝、天猫(包括移动客户端)全站启用HTTPS加密,并顺利通过“双十一”考验,成为全球最大的电商平台全站HTTPS改造案例。全站HTTPS需要解决3大问题。首先是性能,主要分三点:HTTPS需要多次握手,因此网络耗时变长,用户...
摘要由CSDN通过智能技术生成

由于CA收费,所以可以自建CA,通过将CA导入浏览器实现https的效果,曾经12306购票就需要自行导入网站证书。

关于https

2015年阿里巴巴将旗下淘宝、天猫(包括移动客户端)全站启用HTTPS加密,并顺利通过“双十一”考验,成为全球最大的电商平台全站HTTPS改造案例。

全站HTTPS需要解决3大问题。

首先是性能,主要分三点:

  1. HTTPS需要多次握手,因此网络耗时变长,用户从HTTP跳转到HTTPS需要一些时间;
  2. HTTPS要做RSA校验,这会影响到设备性能;
  3. 所有CDN节点要支持HTTPS,而且需要有极其复杂的解决方案来面对DDoS的挑战。

其次,兼容性及周边:

  1. 页面里所有嵌入的资源都要改成HTTPS的,这些资源可能会来自不同的部门甚至不同的公司,包括图片、视频、表单等等,否则浏览器就会警告;
  2. 移动客户端(APP)也需要适配HTTPS,所以必须做调整修改;
  3. 解决第三方网站看不到Referer的问题;
  4. 所有的开发、测试环境都要做HTTPS的升级;

最后,为保证上线时的顺利切换,需要提前准备大量的预案,以应对各种可能出现的情况。

目前为止,国内大部分主流网站都已经完成了HTTP到HTTPS的迁移,如淘宝、京东、百度、B站、优酷等,仍在使用HTTP的有腾讯视频、爱奇艺、当当等网站。

以下先简介https与加密原理

https简介

HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。

HTTPS 在HTTP 的基础上加入SSL 层,以SSL加密技术为安全基础。 HTTPS 与HTTP的默认端口不同,并存在一个加密/身份验证层(在 HTTP与 TCP 之间,即应用层与传输层之间)。

SSL协议可分为两层:

  • SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
  • SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

在这里插入图片描述
搭建https的流程主要与SSL握手协议有关。

为什么要从http迁移到https

HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全,为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。
简单来说,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比HTTP协议安全。
HTTPS和HTTP的区别主要如下:
  1、https协议需要到CA(Certificate Authority 即颁发数字证书的机构)申请证书,一般免费证书较少,因而需要一定费用。
  2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
  3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
  4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP协议安全。

通信加密简介

对称加密

采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,也称为单密钥加密。

举例:凯撒密码
凯撒密码是罗马扩张时期朱利斯• 凯撒(Julius Caesar)创造的,用于加密通过信使传递的作战命令。它将字母表中的字母移动一定位置而实现加密。例如如果向右移动 2 位,则 字母 A 将变为 C,字母 B 将变为 D,…,字母 X 变成 Z,字母 Y 则变为 A,字母 Z 变为 B。

优点:

算法公开、计算量小、加密速度快、加密效率高。

缺点:

如果一方的秘钥被泄露,加密信息也就不安全了。

非对称加密

非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。

公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密,相反,也可以先用私钥加密,再使用公钥解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。

非对称加密算法实现机密信息交换的基本过程是:
甲方生成一对密钥并将公钥公开,需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方;甲方再用自己私钥对加密后的信息进行解密。甲方想要回复乙方时正好相反,使用乙方的公钥对数据进行加密,同理,乙方使用自己的私钥来进行解密。

优点:

一方密钥的丢失不会导致通信被破解,相对更安全。

缺点:

最低0.47元/天 解锁文章
李敏智
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
自建HTTPS证书
阿祥_CSDN
07-13 5600
在做 Web 相关开发的时候,有可能需要在本地搭建 https 的环境,而在 https 环境的过程中,需要私钥和证书文件,本文提供自建证书的方案供读者参考。
搭建CA认证中心及搭建https实战
qq_42170102的博客
03-25 7051
自建CA证书客户端及使用nginx搭建https 一、CA简单介绍CA,Catificate Authority,通俗的理解就是一种认证机制。它的作用就是提供证书(也就是服务端证书,由域名,公司信息,序列号,签名信息等等组成)来加强客户端与服务器端访问信息的安全性,同时提供证书的发放等相关工作。国内的大部分互联网公司都在国际CA机构申请了CA证书,并且在用户进行访问的时候,对用户的信息加密,保障了用户的信息安全。 二、OpenSSL实现CA证书认证中心的搭建 1、搭建环境 本文使用centos7 2~3台
2024年最新网络安全—部署CA证书服务器_ca证书系统的网络配置策略
最新发布
2401_84247559的博客
05-03 962
使用windows Server 2003环境。
部署自建CA颁发证书实现https加密
weixin_33757609的博客
03-20 400
理论忽略:百度上很多 需求:自建证书并实现域名的https加密 部署: 在linux机器上执行以下命令生成私钥 mkdir -p /opt/ssl-cert cd /opt/ssl-cert 1.#openssl genrsa -outserver.key2048 在linux机器上执行以下命令生成csr文件 2.#openssl req -new -keyserver.k...
自制证书实现网站https访问
包子大叔的笔记
03-30 7088
自己制作的证书,客户端必须手动安装,适合企业客户; 制作过程 1,自制CA私钥 2,自制CA证书 3,自制Server私钥,生成免密码版本 4,制作csr文件 5,用CA证书私钥对csr签名(CA不能用X509,这点需要注意)生成Server证书
Windows下自建SSL证书,tomcat实现https访问
春盏
12-17 732
升级https需要购买SSL证书之类的,但是在公司开发环境下没有自己的域名,所以只能在本地使用java的Keytool命令生成一个。 生成ssl证书 1. 管理员打开cmd窗口,输入 keytool -genkey -alias tomcat -keyalg RSA -keystore Z:\WorkSpace\Plugins\Tomcat\ssl\tomcat.keystore -validity 36500 “Z:\WorkSpace\Plugins\Tomcat\ssl\tomcat.k
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书服务器证书和客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA证书颁发机构)证书CA证书是信任的根,用于签署其他证书,确保网络...
Nginx搭建https服务器教程
01-10
HTTPS简介 HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单...大多数情况下,发送证书请求(包括自己的公钥),你的公司证明材料以及费用到一个证书颁发机构(CA).CA验证
CA证书,web搭建
12-26
CA证书颁发与Web服务器搭建 在本文中,我们将详细介绍如何搭建Web服务器并颁发CA证书CA证书是用于身份验证和加密的数字证书,它们通常用于确保网站的身份和数据的安全。在这里,我们将指导您如何搭建一个Web...
phpstudy搭建https服务器及免费ssl申请
03-06
HTTPS服务器需要一个有效的SSL证书,这个证书通常由受信任的证书颁发机构(CA)签发,证明网站的身份。 1. **申请免费SSL证书** - 免费SSL证书提供商如Let's Encrypt、ZeroSSL等提供了简单易用的证书申请流程。以...
Windows server 2019搭建证书服务器_windows证书服务器申请证书步骤-CSDN博客.mhtml
11-07
Windows server 2019搭建证书服务器_windows证书服务器申请证书步骤-CSDN博客.mhtml
linux中自建证书搭建https
a1523407的博客
04-26 1万+
前言          搭建https有两种方式,分为单向认证和双向认证。单向认证就是传输的数据加密过了,但是不会校验客户端的来源,也就只有客户端验证服务端证书搭建https  1.生成单向认证的https证书 建立服务器私钥,生成RSA秘钥。过程中会要求输入密码,记住你输入的密码。(如:123456) [root@iZ23f31fmtgZ certificate
解决自建ca认证后浏览器警告
TROUBLE I AM IN
09-01 8256
改进前一篇生成证书后会出现警告
信安实践——自建CA证书搭建https服务器
weixin_30687051的博客
12-03 906
1.理论知识 https简介 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式...
自制证书(STL)-创建https证书
qq_20967969的博客
09-23 5422
先上一张图,这张图就是用openssl生成证书的整个流程了,如何看这个图呢?[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Zni606kq-1663939003658)(/media/202208/2022-08-26_094445_343002.png)]这个图有A、B、C三个部分,分别用三种颜色框选了一下,A部分是CA机构根证书的生成过程,这个过程需要先生成CA机构的私钥,再由CA机构的私钥生成CA机构证书申请文件,然后再由这两个文件生成根证书
HTTPS自建证书
zxtc19920的博客
12-14 1136
apple就强制HTTPS了。写在前面的提醒 ① 还没到2017,苹果还没确切的说明对HTTPS的要求,所以目前还不确定自建证书到底可不可以通过审核。 ② 网上很多人说自建证书必须禁掉ATS才能正常访问(App Transport Security Settings -> Allow Arbitrary Loads -> YES)
自己做CA自签名证书生成
热门推荐
cuitone的专栏
02-27 1万+
转载自:https://wangbin.io/blog/it/https-ca.html 自己做CA 最近chrome提示https证书错误,缺少subjectAltName,查了下解决方法,更新下。  一. 简介 之前我的博客支持https使用的是向StartCom CA申请签发的一年免费证书。StartCom是受信赖的CA机构,它的根证书被各种操作系统和浏览器内置信任,所以由它签发...
android 签名 用途 服务器认证,iis - IIS的个人CA签名证书,“此证书对选定用途无效”错误 - 堆栈内存溢出...
weixin_31304817的博客
05-28 214
我使用OpenSSL创建了一个CA,并使用它为我的localhost签署证书,并在我的localhost,preview-localhost上签署了一个辅助DNS条目。 我已将CA证书安装到我的计算机上的受信任的根证书中,并将我的localhost证书添加到IIS。 当我查看签名的localhost证书时,我看到以下错误: 已安装的CA证书表明它适用于其查看器上的所有颁发和应用程序策略。 我...
ios自己搭建服务器证书,iOS 自签名证书建立(ca
weixin_34717586的博客
07-31 766
请求ca key:openssl genrsa -out ca.key 1024建立ca 证书:openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -subj "/C=CN/ST=Shanghai/L=Shanghai/O=ule/OU=ule.com Root CA"请求服务器私钥:openssl genrsa -out serve...
自建CA搭建https服务器的方案
03-23
您可以使用 OpenSSL 工具来创建自己的 CA证书,然后使用 Nginx 或 Apache 等 Web 服务器来配置 HTTPS。以下是大致的步骤: 1. 创建自己的 CA 使用 OpenSSL 工具创建自己的 CA,生成私钥和自签名证书。 2. 创建服务器证书 使用 OpenSSL 工具创建服务器证书,将其签名并与私钥一起存储。 3. 配置 Web 服务器 使用 Nginx 或 Apache 等 Web 服务器来配置 HTTPS,将服务器证书和私钥配置到服务器上。 4. 配置客户端 将 CA 证书安装到客户端上,以便客户端可以验证服务器证书的有效性。 以上是大致的方案,具体实现细节可以参考相关文档或教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值