超文本传输安全协议(Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种通过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。HTTPS开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。
http协议缺点
- 传输数据被中间人盗用,信息泄露
- 数据内容劫持,篡改
1.对称加密和非对称加密
对称加密
明文数据在发送方经过加密算法加密发送给接收方,接收方收到密文在用密钥解密完成。发送方加密密钥和接收方解密密钥要相同,就是对称加密。
非对称加密
加密密钥和解密密钥不一样称为非对称加密(加密密钥称为公钥,解密密钥称为私钥)。
2.https加密协议原理
https同时用了对称加密和非对称加密。客户端发起ssl连接,服务向客户端返回公钥,客户端收到公钥,用公钥加密对称密码在发送个服务器(这个操作是非对称加密)。后面输出传输利用 对称加密来进行数据传输。
3.中间人攻击
针对SSL的中间人攻击方式主要有两类,分别是SSL劫持攻击和SSL剥离攻击
SSL劫持攻击
SSL劫持攻击即SSL证书欺骗攻击,攻击者为了获得HTTPS传输的明文数据,需要先将自己接入到客户端和目标网站之间;在传输过程中伪造服务器的证书,将服务器的公钥替换成自己的公钥,这样,中间人就可以得到明文传输带Key1、Key2和Pre-Master-Key,从而窃取客户端和服务端的通信数据 但是对于客户端来说,如果中间人伪造了证书,在校验证书过程中会提示证书错误,由用户选择继续操作还是返回,由于大多数用户的安全意识不强,会选择继续操作,此时,中间人就可以获取浏览器和服务器之间的通信数据
SSL剥离攻击
这种攻击方式也需要将攻击者设置为中间人,之后见HTTPS范文替换为HTTP返回给浏览器,而中间人和服务器之间仍然保持HTTPS服务器。由于HTTP是明文传输的,所以中间人可以获取客户端和服务器传输数据
4.证书和私钥的生成
注意:一般生成的文件放在
/etc/nginx/ssl
目录下,这是个好的习惯。
检查openssl
openssl version
输出OpenSSL 1.0.2k-fips 26 Jan 2017证明有openssl,如果没有需要安装
yum install openssl #安装openssl
yum install openssl-devel #安装openssl-devel
http_ssl_module
nginx -V
输出的编译参数有--with-http_ssl_module
,nginx默认会编译进去,如果没有需要手动编译。
1.创建服务器证书密钥文件 server.key
openssl genrsa -des3 -out server.key 1024
回车后输入密码,确认密码,自己随便写,但要记住。
2.创建服务器证书的申请文件 server.csr
openssl req -new -key server.key -out server.csr
输入的内容为:
最后完成后,输入ls查看在你当前文件/etc/nginx/ssl
下有没有server.key,erver.csr这两个文件
3.备份一份服务器秘钥
cp server.key server.key.org
4.去除文件口令
openssl rsa -in server.key.org -out server.key
5.去除文件口令
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
5.配置教程
服务目录
/opt/app/code
|-index.html
/etc/nginx/conf.d
|-https.conf
index.html
https.conf
检测语法并重启
nginx -tc /etc/nginx/nginx.conf
nginx -s reload -c /etc/nginx/nginx.conf
输入域名https://www.cajbdqn.com
6.苹果证书配置
配置苹果要求的证书
- 服务器所有的连接使用TLS1.2以上版本(openssl 1.0.2)
- HTTPS证书必须使用SHA2556以上哈希算法签名
- HTTPS证书必须使用RSA 2048为或ECC 256位以上公钥算法
- 使用向前加密技术
查看openssl版本
openssl version
openssl的版本要在1.2,如果不在1.2版本以上,需要升级。新建updata.sh
# 升级openssl 脚本
cd /opt/download
wget https://www.openssl.org/source/openssl-1.0.2k.tar.gz
tar -zxvf openssl-1.0.2k.tar.gz
cd openssl-1.0.2k
./config --prefix=/usr/local/openssl
make && make install
mv /usr/bin/openssl /usr/bin/openssl.OFF
mv /usr/include/openssl /usr/include/openssl.OFF
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
echo "/usr/local/openssl/lib" >>/etc/ld.so.conf
ldconfig -v
openssl version -a
执行
sh updata.sh
查看当前使用自签证书的类型
openssl x509 -noout -text -in ./server.crt
7.直接通过key来生成证书
在上面证书和私钥的生成
生成顺序先生成server.key
–>在生成server.csr
–>最后生成server.crt
,我们将直接通过key来生成crt
openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt
去掉密码保护码
openssl -in ./server.key -out ./server_nopas.key
8.https优化服务优化
激活keepalive长连接
打开长连接,一次连接如果可以处理更多的请求,建立握手次数变少,对服务端的性能提升
设置ssl session缓存
设置ssl session缓存把部分信息内容放在缓存,这样服务器处理资源cpu就会变少,就会变得更加快速