使用https进行通信加密

最新推荐文章于 2024-05-16 12:45:24 发布
最新推荐文章于 2024-05-16 12:45:24 发布
阅读量2.9k 收藏 2
点赞数
分类专栏: 网络/安全/https 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwy572039941/article/details/86743259
版权

使用https进行通信加密

对于一些安全性需求比较高的项目,单单防止越权,sql,cookie等攻击发生的安全问题外,还需要注意的是请求被窃取。HTTP请求是明文传输,这样容易被黑客抓住漏洞进行攻击,如何攻击呢,下面举一个简单的例子。
很多项目都是用token进行用户信息的判断,然后我用抓包工具进行抓包,可以看到这条请求的token和cookie等信息被窃取到了,之后就可以利用这个token跳过用户登陆的那部分,直接进入系统进行使用。
在这里插入图片描述
这是极度不安全的。
包括对请求体,响应体进行抓包,这样可以对系统进行攻击。为了增加网站安全性,我用了https发送请求。https是怎么与server建立连接的呢。

  • http的3次握手
  • step1:client生成随机数,与加密套件一起传输给server
  • step2:server保存随机数,并生成新的随机数和证书(公钥)一起返回给client
  • step3:client保存随机数,并生成新的随机数(称为预主密钥),对预主密钥进行公钥加密后发送给server
  • step4:server对预主密钥进行私钥解密,之后合并之前的两次生成的随机数,进行计算后得出一个主密钥
  • step5:client也进行随机数合并,生成主密钥
  • step6:因为client和server主密钥都是自己生成的,中间人无法知道主密钥是多少,所以client可以和server进行交互了,client会将请求用主密钥进行对称解密,server对请求进行对称解密,当然,这些跟我们的代码没有任务关系,都是中间层自动处理的。

在这里插入图片描述
可以看到经过https加密后的请求是密文传输
在这里插入图片描述
上面是大致说了一下https,那边怎么将项目的请求转成https呢,我用tomcat进行演示。

单向认证

在tomcat中找到以下位置
在这里插入图片描述

将其替换为:

<Connector port="8443" 
      protocol="org.apache.coyote.http11.Http11Protocol" 
      maxThreads="150"  
      SSLEnabled="true"  
      scheme="https"  
      secure="true" 
      keystoreFile="密钥所在位置"  
      keystorePass="server"
      clientAuth="false"  
      sslProtocol="SSL"  
      ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
                    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
                    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
                    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
                    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
                    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, 
                    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, 
                    TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, 
                    TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
                    TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
                    TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
                    TLS_DHE_RSA_WITH_AES_256_CBC_SHA, 
                    TLS_RSA_WITH_AES_128_GCM_SHA256,
                    TLS_RSA_WITH_AES_128_CBC_SHA,
                    TLS_RSA_WITH_AES_256_CBC_SHA,
                    TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                    TLS_RSA_WITH_RC4_128_SHA,
                    TLS_RSA_WITH_RC4_128_MD5" 
        sslEnabledProtocols="TLSv1.2" />

2.添加信任证书
详情百度。。。

双向认证

1.将tomcat server.xml中8443连接的那一段配置改为:

<Connector port="443"  
       protocol="org.apache.coyote.http11.Http11Protocol" 
       maxThreads="150"  
       SSLEnabled="true"  
       scheme="https" 
       secure="true" 
       keystoreFile="C:\Install\keystore" 
       keystorePass="server" 
       truststoreFile="C:\Install\client.truststore"
       truststorePass="server"
       clientAuth="true"  
       sslProtocol="SSL"  
       ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, 
                    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
                    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, 
                    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, 
                    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
                    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
                    TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,
                    TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
                    TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
                    TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
                    TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
                    TLS_RSA_WITH_AES_128_GCM_SHA256, 
                    TLS_RSA_WITH_AES_128_CBC_SHA,
                    TLS_RSA_WITH_AES_256_CBC_SHA,
                    TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                    TLS_RSA_WITH_RC4_128_SHA,
                    TLS_RSA_WITH_RC4_128_MD5" 
        sslEnabledProtocols="TLSv1.2" />

2.添加本地私钥

现在访问网站发现无法访问了,还不明白怎么回事,但你用Chrome访问时,还有一个提示: XX网站不接受您的登录证书,或者您可能没有提供登录证书。

先打开如下画面IE:internet选项→内容→证书
其他浏览器:选项→管理证书
在这里插入图片描述

点击导入,把自己制作的P12证书放入到“个人”目录下。注意:导入时要输入证书密码

这个时候在刷新页面就会看到如下画面,(由浏览器而定)在这里插入图片描述
在这里插入图片描述
点击确定以后,就可以访问成功了.(部分浏览器导入密钥后可能需要重启浏览器)

https双向认证也配置完成了。

tip:因为本篇博文主要讲配置,没有讲在服务端的信任证书库添加个人证书的的公钥,所以下面附上我生成证书的bat文件。

附上生成证书需要的bat内容

set SERVER_DN="CN=192.168.XXX.XXX, OU=cybersoft.com, O=cybersoft, L=CN, S=CN, C=CN" 
set CLIENT_DN="CN=cybersoft.com.tw, OU=cybersoft.com, O=cybersoft, L=CN, S=CN, C=CN"
set PASS_SET="client"
set SPASS_SET="server"
set CER_ROOT_PATH="e:\SSL"
:: 路径不存在则创建路径
if not exist %CER_ROOT_PATH% md %CER_ROOT_PATH%

::制作 keystore
keytool -genkey -alias cyber_server -keyalg RSA -keystore %CER_ROOT_PATH%/keystore -dname %SERVER_DN% -storepass %SPASS_SET% -keypass %SPASS_SET% -validity 36500

keytool -genkey -alias cyber_client -keyalg RSA -storetype PKCS12 -keystore %CER_ROOT_PATH%/client.key.p12 -dname %SERVER_DN% -keypass %PASS_SET% -storepass %PASS_SET% -validity 36500

keytool -export -alias cyber_server -keystore %CER_ROOT_PATH%/keystore -storepass %SPASS_SET% -rfc -file %CER_ROOT_PATH%/server.cer

keytool -export -alias cyber_client -storetype PKCS12 -keystore %CER_ROOT_PATH%/client.key.p12 -storepass %PASS_SET% -rfc -file %CER_ROOT_PATH%/client.cer

keytool -import -file %CER_ROOT_PATH%/server.cer -storepass %PASS_SET% -keystore %CER_ROOT_PATH%/truststore.jks -noprompt

keytool -import -file %CER_ROOT_PATH%/client.cer -storepass %SPASS_SET% -keystore %CER_ROOT_PATH%/client.truststore -noprompt

pause

其中的192.168.XXX.XXX,请修改为自己的域名或IP

97年的典藏版
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Android 偶遇HTTPS
M家杰的博客
05-11 1867
原文地址HTTPS ,该来的总要来的。 最近领导对移动端开发提出了很多优化的要求啊!其中一点就是数据安全性,之前安卓后端接口一直是用的HTTP,那么我想了想,HTTPS应该是入门级的了,赶紧找资料整理了下! 对于向权威机构申请过证书的网络地址,用OkHttp或者HttpsURLConnection都可以直接访问,不需要做额外的事情。但是申请证书要$$的,所以开发的时候我们接口经常是使用自签名证书
Tomcat添加https访问和双向认证
沈泽文的博客
03-30 1897
先说配置Tomcat服务为https访问和单向认证 (1)在Tomcat的根目录下找到/conf/server.xml文件打开,找到如下位置 (2)这段配置修改为如下配置 Connector port="8443"        protocol="org.apache.coyote.http11.Http11Protocol"        maxThreads="150"  
Https的通讯原理(加密方案)
最新发布
m0_57472099的博客
05-16 407
不知道你们用的什么环境,我一般都是用的Python3.6环境和pycharm解释器,没有软件,或者没有资料,没人解答问题,都可以免费领取(包括今天的代码),过几天我还会做个视频教程出来,有需要也可以领取~给大家准备的学习资料包括但不限于:Python 环境、pycharm编辑器/永久激活/翻译插件python 零基础视频教程Python 界面开发实战教程Python 爬虫实战教程Python 数据分析实战教程python 游戏开发实战教程Python 电子书100本。
接口测试丨http与https get、post session、cookie、token
weixin_47648853的博客
10-08 1389
HTTP 的 method 字段不同POST 可以附加 body,可以支持 form、json、xml、binary 等各种数据格式行业通用的规范无状态变化的建议使用 GET 请求数据的写入与状态修改建议用 POST传送数据量不同安全性不同Broker:消息服务器,提供消息核心服务Producer:消息生产者,业务的发起方,负责生产消息传输给 broker。Consumer:消息消费者,业务的处理方,负责从 broker 获取消息并进行业务逻辑处理。读写性能优异。
Android 客户端 okhttp3 与服务器之间的双向验证
leng_wen_rou的博客
02-28 8666
本篇是Android 客户端基于okhttp3的网络框架 和后台服务器之间的双向验证 分为三个阶段 一:简单的后台服务器搭建 二:客户端接入okhttp3,并进行的网络请求 三:服务器和客户端的双向验证 第一步:搭建简单的服务器 1:下载tomcat 2:配置tomcat 3:部署自己的web项目到tomcat 首先准备工具 ecl
Git新版本使用教程(HTTPS token 认证)
duapple的博客
09-03 2650
Git新版本使用教程 1. HTTPS 8月13号开始,github已经不支持使用用户名和密码来完成推送代码的鉴权了。理由是不安全。 https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ 官方给出了替代方案。不是可选,是必须使用的,无语。 大致意思是,不能使用用户密码。需要使用 personal access token。这个token在github上进行创建,创建了以后,使用这个来替代密码。
网络通信加密.pptx
12-27
网络通信加密是信息安全领域的一个关键组成部分,旨在保护网络数据在传输过程中的隐私和完整性。本汇报主要涵盖了两个主要的网络通信模型——OSI(开放系统互连)模型和TCP/IP模型,以及网络加密的基本方式和端端...
使用Mbedtls包中的SSL,和服务器进行网络加密通信.rar
09-16
5. **数据加密和解密**:在握手成功后,双方使用协商的密钥对数据进行加密和解密,确保通信安全。Mbedtls提供了API用于包装原始的读写函数,如`mbedtls_ssl_read()`和`mbedtls_ssl_write()`。 6. **关闭连接**:当...
QT使用https通信
06-09
本文将详细介绍如何在QT中使用HTTPS通信,以及如何处理证书、秘钥和信任库。 1. **QT中的QSslSocket** QT提供了QSslSocket类来支持SSL/TLS协议,它是QAbstractSocket的子类,可以提供加密的网络连接。通过...
UnSigCom.rar_JAVA 通信_java 加密
09-23
可能包括使用SSL/TLS协议进行安全的网络通信使用HTTPS代替HTTP,以及定期更换会话密钥以防止密钥泄露。 5. **认证过程**:描述中提到的“认证程序”可能涉及到身份验证机制,如用户名/密码、数字证书、OAuth等...
https证书
08-13
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2294436
详解https 加密完整过程
10-19
HTTPS通过使用SSL/TLS协议来实现数据的加密、服务器身份的验证,从而确保网络通信的安全性。以下是对HTTPS加密完整过程的详细解析: 1. **初始连接**: 当用户在浏览器中输入HTTPS网址并按下回车键时,客户端...
笔记本电脑出现了“Windows找不到证书来让您登陆到**网络”故障
小李专栏
04-14 9730
刚才用Dell笔记本WiFi上网的时候,突然网页打不开,找不到无线路由。重启路由后,系统托盘弹出气泡显示“Windows找不到证书来让您登陆到**网络”的提示,网络状态总是显示“正在验证身份”。马上转到邻居家的网络上,上网搜了一下,原来是加密验证问题。解决方法如下: 第一步,鼠标右键点击“网上邻居”选“属性”。第二步,右键点击“无线网络连接”选“属性”。第三步,点击“无线网络配置”在首选网络
IIS SSL证书 指定的登录会话不存在,可能已被终止 HRESULT:0x80070520
weixin_30412577的博客
06-21 5825
指定的登录会话不存在,可能已被终止 HRESULT:0x80070520 IIS导入证书时,选择”允许导出此证书” 服务器证书名称,在mmc控制台中个人证书中命名 转载于:https://www.cnblogs.com/ziye/p/9208353.html...
【软件测试基础】:http和https,get和post,session、cookie和token 区别
weixin_42421116的博客
02-17 501
【软件测试基础】:http和https,get和post,session、cookie和token 区别 1、http和https的区别 (1)https需要CA申请证书,一般免费证书较少,因而需要一定费用。 (2)http是超文本传输协议,信息是明文传输(数据传输); https则是具有安全性的ssl(secure sockets Layer安全套接层)加密传输协议; (3)http端口是80;...
Android平台实现https信任所有证书的方法
jeanszu的专栏
05-18 1016
Android平台上经常有使用https的需求,对于https服务器使用的根证书是受信任的证书的话,实现https是非常简单的,直接用httpclient库就行了,与使用http几乎没有区别。但是在大多数情况下,服务器所使用的根证书是自签名的,或者签名机构不在设备的信任证书列表中,这样使用httpclient进行https连接就会失败。解决这个问题的办法有两种,一是在发起https连接之前将服务器
Token中的信息
qinqin772的博客
08-11 6880
Token中有哪些信息呢?这我们可以从一个api中得到, GetTokenInformation                       https://msdn.microsoft.com/en-us/library/windows/desktop/aa446671(v=vs.85).aspx 想要获取的信息类别 TOKEN_INFORMATION_CLASS t
Chrome/Firefox等提示“安全证书不被信任”解决办法
热门推荐
梦想天涯的专栏
04-05 7万+
使用GoAgent等软件时,在Chrome/Firefox等浏览器浏览时,会出现“您尝试访问的是 www.youtube.com,但服务器出示的证书是由您计算机的操作系统不信任的实体所颁发。这可能表明服务器已自行生成了安全凭据,Google Chrome 浏览器认为其中的身份信息不可靠;也可能表明攻击者正试图拦截您的通信内容。您无法继续操作,因为网站经营者已请求提高此域的安全性。”,导致网站不能访
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

97年的典藏版

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值