TLS加密传输、CA、证书

最新推荐文章于 2024-02-08 09:01:53 发布
最新推荐文章于 2024-02-08 09:01:53 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxb122435677/article/details/104478359
版权

文章目录

密码学背景

对称密码算法

  • 加解密过程使用相同的密钥进行运算,一般效率较高。
  • 主要是用来加解密数据。

非对称密码算法

  • 相对于对称加密算法,非对称密码算法在加解密过程中,使用不同的密钥,分别为公私钥对。
  • 公私钥的关系:可以通过私钥计算得到公钥,但是通过公钥得不到私钥,主要利用了大整数因子分解和离散对数的数学难题。因此通常情况是将公钥公开,自己保护自己的私钥;
  • 其中非对称密码算法的使用场景有两种:
    • 加解密,通常是使用公钥加密,使用私钥解密;其中用法即为TLS中的密钥协商,A用B的公钥加密传给B,只有B能用自己的私钥解密得到明文;
    • 数字签名:假如A使用自己的私钥加密数据(原始数据,加密后数据),B得到这部分数据后,使用A的公钥进行解密得到明文,将明文和原始数据比对,发现一致,则可以证明是A使用自己的私钥签名的;应用场景即为整个CA体系建立的本质。

证书

概念

证书是由CA签发的对用户公钥的凭证。

证书标准

  • X.509 数字证书标准

openssl生成CA签名证书

 openssl genrsa -out ca.key 2048
 openssl genrsa -out server.key 2048
 openssl genrsa -out client.key 2048
 openssl req -new -x509 -days 7200 -key ca.key -out ca.pem
 openssl req -new -key server.key -out server.csr
 openssl x509 -req -sha256 -CA ca.pem -CAkey ca.key -CAcreateserial -days 3650 -in server.csr -out server.pem
 openssl req -new -key client.key -out client.csr
 openssl x509 -req -sha256 -CA ca.pem -CAkey ca.key -CAcreateserial -days 3650 -in client.csr -out client.pem
 openssl x509 -noout -text -in ca.pem


///
openssl genrsa -passout pass:password -out ca.key 4096
openssl req -passin pass:password -new -x509 -key ca.key -out ca.crt -subj  "/C=IT/ST=Italy/L=Rome/O=GRPC/OU=GRPC/CN=Root CA"
openssl genrsa -passout pass:password -out server.key 4096
openssl req -passin pass:password -new -key server.key -out server.csr -subj  "/C=IT/ST=Italy/L=Rome/O=GRPC/OU=GRPC/CN=localhost"
openssl x509 -req -passin pass:password -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt
openssl rsa -passin pass:password -in server.key -out server.key
openssl genrsa -passout pass:password -out client.key 4096
openssl req -passin pass:password -new -key client.key -out client.csr -subj  "/C=IT/ST=Italy/L=Rome/O=GRPC/OU=GRPC/CN=localhost"
openssl x509 -passin pass:password -req -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt
openssl rsa -passin pass:password -in client.key -out client.key

示例

grpc实现双向认证:

http://www.cppblog.com/jinq0123/archive/2018/11/26/216081.aspx
https://github.com/Ablablab/grpc-helloworld-ssl/tree/master/server-cpp/src
https://www.codercto.com/a/41301.html

写到天黑的小白
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
code__openLdapTlsExpectOpenldap配置TLS加密传输(完整版——shell脚本实现[即在客户端执行代码,即可实现TLS加密])
07-05
客户端 注意事项: 脚本必须放在/root/workspace/clildapTls目录下: 需要已经配置好的以下文件: CA.crt CA.key clildapTls.sh index.txt 服务器端 注意事项: 脚本必须放在/root/workspace/serldapTls目录下: 需要已经配置好的以下文件: CA.crt ldapsrv02.crt ldapsrv02.key
SSL证书(HTTPS)背后的加密算法
weixin_34198453的博客
10-19 417
2019独角兽企业重金招聘Python工程师标准>>> ...
SSL与TLS--一起学习技术干货之网络协议
最新发布
wd90119的博客
02-08 1068
综上所述,虽然SSL和TLS都是提供通信安全的加密协议,但TLS协议在安全性、性能和加密算法等方面都比SSL协议更加先进和安全。因此,在许多情况下,推荐使用TLS协议来代替SSL协议,以提供更好的安全保障。需要注意的是,SSL协议存在一些安全漏洞和问题,因此已经逐渐被更为安全的协议(如TLS协议)所取代。此外,SSL协议还提供了身份验证机制,确保客户端和服务器之间的身份验证和通信的保密性。SSL协议的作用是在客户端和服务器之间建立加密通道,使得数据在传输过程中不被窃取、篡改或伪造,从而保障通信的安全。
关于国密HTTPS的那些事(三)
SSL加密技术
09-07 2946
前面我们和大家一起聊了一下加密套件,为什么这么详细的叙述加密套件呢,因为它的身份特殊啊,它可是连接通信双方的桥梁,也是月老手中的红绳。 言归正传,接下来我们再继续看看国密vpn协议中列举的基于国密算法加密套件(见下图)。每个加密套件也包含一个秘钥交换算法,一个加密算法,和一个校验算法。(大家不要奇怪怎么和之前介绍的4部分不一样啊,因为秘钥交换时使用的签名算法是一样的,如果这么表示RSA_RSA _.. ,这样看起来是不是很奇怪)。而在我们的实际应用中现在在国密的SSL通信中主要使用的还是ECC_SM4_S
HTTPS是什么?加密原理和证书,SSL/TLS握手过程
weixin_51550030的博客
12-09 698
Web技术总体上是去中心化的,但是为了使用域名,就需要依赖一个中心化的DNS机制,但Web上为了实现一个安全的加密通信。又引入了一个可信第三方,那就是:PKI“ PKI英文全称:Public Key Infrastructure 中文名:公开密钥基础设施 ”名字上可以看出是和公钥密码学配合完成互联网上的安全通信的基础设施。
加密技术与证书浅谈!
weixin_46622350的博客
10-04 728
公钥密码学 基本概念 加密和解密过程中用到的密钥是双方都知道的,即双方的“共享密钥”。这种加密方式称为对称密码学,也叫作单钥密码学。 A向B发送数据,A使用双方事先协商好的算法和密钥来加密数据,B使用相同的算法和密钥来解密数据。反之同理,B向A发送数据时,B加密数据而A解密数据,双方使用的都是相同的算法和密钥。 对称密码学的优点是效率高,开销小,适合加密大量的数据。但对称密码学要求通信双方事先协商好密钥,这就要求在协商过程中必须做好保密,密钥只能让使用的人知道,不能泄露。另外,...
HTTPS CA证书TLS建立过程
09-20
自己在网上搜了好多资料,根据自己的理解整理了HTTPS、CA证书TLS建立的过程,简单画了个图
基于SSL/TLS双向安全连接设备CA证书认证
编程识堂的博客
12-05 4503
SSL/TLS 安全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中很常见的一种身份检查方式是检查对方持有的 X.509 数字证书。这样的数字证书通常是由一个受信机构颁发的,不可伪造。 **保证机密性。**TLS 通讯的每次会话都会由会话密钥加密,会话密钥由通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露,并不影响其他会话的安全性。 完整性。 加密通讯中的数据很难被篡改而不被发现。 SSL/TLS 协议 TLS/SSL 协议下的通讯过程分为两部
CA体系与证书——TLS安全加密的基础
zhbgreat的博客
03-04 3410
为什么要建立证书体系 (PKI) public key infrastructure,PKI 公钥基础设施,PKI的提供者狭义的被看做是CA,也就是颁发签署证书的权威机构。 之前论述的密钥交换过程与提到的身份认证,在实际互联网应用上的不足在于:之前论述的小范围的使用RSA算法,事先A B两方分享了公钥和私钥,然后在A B 之间进行保密通信是行得通的,可是要在广泛的互联网中使用,就存在很多问题。...
计算机网络基础知识----HTTPS TLS/SSL双向认证和单向认证的区别
u013915286的博客
05-20 452
双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书,具体的过程相对于上面的步骤,只需将服务器端验证客户证书的过程去掉,以及在协商对称密码方案,对称通话密钥时,服务器发送给客户的是没有加过密的(这并不影响 SSL 过程的安全性)密码方案。这样,双方具体的通讯内容,就是加过密的数据,如果有第三方攻击,获得的只是加密的数据,第三方要获得有用的信息,就需要对加密的数据进行解密,这时候的安全就依赖于密码方案的安全。而幸运的是,目前所用的密码方案,只要通讯密钥长度足够的长.
深入理解https,对称加密和非对称加密
cxz
04-14 1721
我们都知道HTTP是超文本传输协议,信息是明文传输,http的连接很简单,是无状态的,默认端口号80 而HTTPS协议是由HTTP协议+SSL构建的可进行加密传输、身份认证的网络协议,但会比http耗时,默认端口号443, SSL证书加密算法可以分为对称加密算法和非对称加密算法 对称加密算法 指的是加密和解密用的是同一个密钥。 非对称加密算法 主机A和B都有一个自己的公钥和私钥,公钥全世界都可以知道,而私钥只有自己知道。并且用私钥加密的数据,只有对应的公钥才可以解开; 用公钥加密的数据只有对应得私钥才可以
TLS1.3双方使用证书身份认证的密钥导出详细过程.docx
11-09
TLS1.3通信中,使用双方数字证书进行身份认证,在一个完整的通信中计算出所有的密钥,在计算每个密钥的过程中,对所用到的输入以及各种条件进行详细地说明,感兴趣的爱好者可以借鉴,希望能对你有所帮助。
code__openLdapTlsOpenldap配置TLS加密传输(完整版——shell脚本实现[分别在客户端与服务器端执行脚本,实现TLS加密])
07-05
CA.crt CA.key clildapTls.sh index.txt openssl.cnf serial 服务器端 注意事项: 脚本必须放在/root/workspace/serldapTls目录下: 需要已经配置好的以下文件: CA.crt ldapsrv02.crt ldapsrv02.key
CA加密网络安全HTTPSSSL安全传输协议SSL和TLS及WTLS的原理.docx
07-08
CA加密网络安全HTTPSSSL安全传输协议SSL和TLS及WTLS的原理.docx
CA加密,网络安全HTTPSSSL-安全传输协议SSL和TLS及WTLS的原理归类.pdf
01-31
CA加密,网络安全HTTPSSSL-安全传输协议SSL和TLS及WTLS的原理归类.pdf
模拟实现了TLS通信过程的全流程
08-11
1. client验证server证书合法性,client对server的可信验证是通过CA证书链完成。 2. client验证server证书合法后,client本地生成会话密钥(对称密钥)sk。 3. client使用server的公钥对会话密钥加密后的数据m并发...
aes256加密_关于ssl证书使用的加密套件
weixin_39837867的博客
11-24 1119
一、ciphers是配置ssl证书所需的加密套件,基于OpenSSL。用户可以控制在协商TLS连接时要考虑的密码。使已知密码的名称根据libcurl构建TLS后端。SSL协议有sslv2, sslv3, tlsv1, tlsv1.1和tlsv1.2。目前推荐使用的有tlsv1.2,其它协议都存在各种安全漏洞。在每种SSL协议中,又包括了一系列的加密算法,也即是ciphers suite。SSL3 ...
完全吃透 TLS/SSL
weixin_33726318的博客
06-25 1013
TLS/SLL 是现在网络安全通信比较重要的一环,通过一些列的 key 交换和 key 生成,最终确立加密通道的整个流程。众所周知,TLS/SSL 耗费的时间也是挺可观的,相对于 TCP 的3次 RTT 来说,如果加上 TLS/SSL, 则总的 RTT 时间至少为 4 次。虽然看起来很多,但如果相对于现在的网络环境来说,大概也就每次 20~30ms,这样算下来,估计也就 100ms 左右。这样的时...
加密算法与CA证书CA,SSL/TLS,HTTPS,openssl)
Shengyun996的博客
02-08 1791
加密算法 安全 信息安全: 保密性,完整性,可用性,可控制性 常见安全技术: 认证,授权,审计,安全通信 对称加密算法 加密和解密使用同一个密钥 特性:效率高 缺点:密钥分发,数据来源无法确认 算法:DES,3DES等 非对称加密算法 通讯双方都拥有公钥和私钥 特性:数据加密,公钥加密需使用私钥解密,反之亦然 数字签名,接受者可以确认发送者身份 缺点:密钥长,算法复杂,效率低 算法:RSA,DSA...
mongodb tls加密
06-01
MongoDB 支持使用 TLS(Transport Layer Security)协议进行加密和认证,以提供更安全的数据传输。使用 TLS 可以保证 MongoDB 数据库在网络传输过程中的机密性和完整性。 要启用 TLS 加密,需要在 MongoDB 配置文件中指定 TLS 相关的配置参数。主要包括证书、私钥、CA(Certificate Authority)证书等。同时还需要配置客户端连接时的验证方式,包括证书验证和用户名密码验证等。 以下是 MongoDB 配置文件中配置 TLS 的示例: ``` net: port: 27017 tls: mode: requireTLS certificateKeyFile: /etc/ssl/mongodb.pem CAFile: /etc/ssl/ca.pem bindIp: 0.0.0.0 ``` 以上配置文件中,`tls` 部分指定使用 TLS 协议进行加密和认证,`certificateKeyFile` 指定证书和私钥文件,`CAFile` 指定 CA 证书文件。客户端连接时需要提供正确的证书和私钥才能通过 TLS 认证。 同时,还需要在客户端连接 MongoDB 时指定 TLS 相关的配置参数,包括证书和私钥等。以下是使用 Node.js 客户端连接 MongoDB 时指定 TLS 配置的示例代码: ``` const tlsOptions = { key: fs.readFileSync('/path/to/key.pem'), cert: fs.readFileSync('/path/to/cert.pem'), ca: fs.readFileSync('/path/to/ca.pem'), rejectUnauthorized: true }; const client = await MongoClient.connect('mongodb://localhost:27017/mydb', { tls: true, tlsOptions: tlsOptions }); ``` 以上代码中,`tlsOptions` 指定客户端连接时使用的证书、私钥和 CA 证书等。`rejectUnauthorized` 指定是否验证服务器证书。如果设置为 `true`,则客户端连接时需要提供正确的 CA 证书才能通过验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值