HTTPS+CA+ssl/tls

最新推荐文章于 2024-09-14 17:22:27 发布
最新推荐文章于 2024-09-14 17:22:27 发布
阅读量627 收藏 10
点赞数 13
文章标签: https ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74208866/article/details/140474060
版权

HTTPS+CA+ssl/tls

https的加密流程

客服端
1、clienthello:支持哪些版本、支持哪些加密算法,随机生成一组32字节数据random_c
3、clientkeyexchange:公钥加密数据pre_master
服务器
2、serverhello:确定版本、确定加密算法,随机生成一组32个字节得数据random_s
servercertificate:证书、公钥
4、data:服务端收到pre_master—私钥进行解密

最后得会话密钥:random_c+random_s+pre_master

openssl: 命令的选项

-x509 :生成自签名证书格式,专用于创建私有CA
-new :生成新证书的签署请求
-key :生成请求时用到的私钥文件路径
-out :生成后的文件存放路径,如果是自签名操作,将直接生成签署过的证书
-days :证书有效期 默认是365天

在DNS服务器上添加内容

vim /var/named/cy.com(正向解析中添加)
admins  IN    A  172.16.30.3
如果没有部署DNS服务器的,就把主机的/etc/hosts记录修改一下

设置时钟同步

第一台
[root@web ]# yum -y install chrony
[root@web ]# systemctl restart chronyd
[root@web ]# systemctl enable chronyd
[root@web ]# hwclock -w


第二台
[root@admins ]# yum -y install chrony
[root@admins ]# systemctl restart chronyd
[root@admins ]# systemctl enable chronyd
[root@admins ]# hwclock -w

搭建CA

(1)创建文件和目录

//配置文件的位置
[root@admins tls]# vim /etc/pki/tls/openssl.cnf 

[ CA_default ]
dir             = /etc/pki/CA           //CA的工作目录
certs           = $dir/certs           //证书位置     
crl_dir         = $dir/crl             //crl的工作目录
database        = $dir/index.txt  	   //数据库的文件位置
new_certs_dir   = $dir/newcerts 
certificate     = $dir/cacert.pem      //证书位置
serial          = $dir/serial          //序列号位置   
crlnumber       = $dir/crlnumber       
crl             = $dir/crl.pem         
private_key     = $dir/private/cakey.pem  //存放私钥的位置 

$调用变量

    
///etc/pki/CA 下创建CA、 certs、 crl、newcerts、private目录和index.txt、serial 文件 
[root@admins pki]# mkdir CA
[root@admins CA]# mkdir certs
[root@admins CA]# mkdir crl
[root@admins CA]# touch index.txt
[root@admins CA]# mkdir newcerts 
[root@admins CA]# touch serial
[root@admins CA]# mkdir private  //存放私钥二级目录
[root@admins CA]# ls
certs  crl  index.txt  newcerts  private  serial

(2)生成私钥

// 生成私钥、并设置私钥的权限为700
[root@admins CA]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem)

(3)生成自签名的证书

[root@admins CA]# openssl req -new -x509  -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365

Country Name (2 letter code) [XX]:CN               //国家名称
State or Province Name (full name) []:HUBEI  	  //省份名称
Locality Name (eg, city) [Default City]:WUHANG   //地区或者城市名称
Organization Name (eg, company) [Default Company Ltd]:HYZY  //组织名称 
Organizational Unit Name (eg, section) []:SRE  //组织单元名称
Common Name (eg, your name or your server's hostname) []: AAA //通用名称(服务器、自己的名字、完全合格域名、、、)
Email Address []:root.example.com  //邮箱

[root@admins CA]# echo 01 > serial //定义一个序列号

(4)web服务器的证书(签名之后的证书)

1、生成私钥和证书

/etc/httpd/下创建ssl目录,如果有不需要创建
[root@web ]# cd /etc/httpd/
[root@web httpd]# mkdir ssl

//生成私钥
[root@web ssl]# (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key)
//生成证书
[root@web ssl]# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365

Country Name (2 letter code) [XX]:CN  //和全面保持一致
State or Province Name (full name) []:HUBEI  //和全面保持一致
Locality Name (eg, city) [Default City]:WUHANG  //和全面保持一致
Organization Name (eg, company) [Default Company Ltd]:HYZY  //和全面保持一致
Organizational Unit Name (eg, section) []:SRE  //和全面保持一致
Common Name (eg, your name or your server's hostname) []:web.example.com  //web 服务器的名字
Email Address []:root.example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: //回车
An optional company name []:  //回车

2、发送到admins服务器中进行签名

[root@admins CA]# vim /etc/NetworkManager/system-connections/ens160.nmconnection 
[ethernet]

[ipv4]
address1=192.168.100.20/24,192.168.100.254
dns=192.168.100.10;  //改为服务器的IP地址
method=manual

[root@admins CA]# systemctl restart NetworkManager
[root@admins CA]# nmcli connection up ens160 

//将证书传输过去
[root@web ssl]# scp httpd.csr root@192.168.100.20:/etc/pki/CA/  
//给证书签名
[root@admins CA]# openssl ca -in /etc/pki/CA/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y

//下载签名证书
[root@web ssl]# scp root@192.168.100.20:/etc/pki/CA/certs/httpd.crt .

3、搭建https网站

安装软件包:
[root@web ssl]# yum -y install mod_ssl
[root@web ssl]# yum -y install httpd
修改配置文件
[root@web ssl]# vim /etc/httpd/conf.d/ssl.conf
Listen 443 https
SSLCertificateFile /etc/httpd/ssl/httpd.crt    //证书位置
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key //私钥位置

4、搭建https网页

//  虚拟主机位置
[root@web ~]# cd  /etc/httpd/
[root@web httpd]# ls
conf  conf.d  conf.modules.d  logs  modules  run  state
[root@web httpd]# 

//  虚拟主机配置模板
[root@web conf.d]# find  /  -name "*httpd*host*"
/usr/share/doc/httpd-core/httpd-vhosts.conf

网络页设置
<VirtualHost 192.168.100.10:443>
    DocumentRoot "/var/www/html"
    ServerName web.example.com
    SSLEngine on
    SSLCertificateFile /etc/httpd/ssl/httpd.crt
    SSLCertificateKeyFile /etc/httpd/ssl/httpd.key
</VirtualHost>

[root@web conf.d]# systemctl restart httpd
[root@web conf.d]# systemctl enable httpd

制作网页
[root@web html]# pwd
/var/www/html
[root@web html]# cat index.html 
welcome to  wuhang

5、客服端设置(可以用centOS7系统)

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33 
打开centOS7 配置IP设置DNS为服务器的ip
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.100.30
PREFIX=24
GATEWAY=192.168.100.254
DNS1=192.168.100.10
IPV6_PRIVACY=no
[root@localhost network-scripts]# systemctl restart network

下载证书
[root@localhost ~]# scp root@192.168.100.20:/etcpki/CA/cacert.pem .

在火狐浏览器----->选择设置(Preferences)----->选择安全与隐(Privacy$Security)
----->选择证书(Certificates)----->选择查看证书(View certificate)
----->选择证书(Authorities)----->选择导入(import----->选择下载的证书

结果
在这里插入图片描述

正负值
关注
SSL/TLS 的工作原理
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
11-10 1051
HTTPS 之所以能达到较高的安全性要求,就是结合了 SSL/TLS 和 TCP 协议,对通信数据进行加密,解决了 HTTP 数据透明的问题。接下来重点介绍一下 SSL/TLS 的工作原理。
HTTPS中涉及的SSL/TLS浅聊
重学Android,保持学习
03-12 1001
HTTPS中涉及的SSL/TLS浅聊先说是什么历史背景SSL协议提供的服务有哪些SSLTLS的区别Charles抓包的Https部分数据总结 先说是什么 SSL(Secure Socket Layer 安全套接层)是基于HTTPS下的一个协议加密层,简而言之,它是一项标准技术,可确保互联网连接安全,保护两个系统之间发送的任何敏感数据,防止网络犯罪分子读取和修改任何传输信息,包括个人资料。两个系...
什么是SSL/TLS/HTTPS,对称非对称加密+证书+CA
chenyao的博客~
08-22 1647
现在我们使用混合加密的方式实现了机密性,是不是就能够安全的传输数据了呢?还不够,在机密性的基础上还要加上完整性、身份认证的特性,才能实现真正的安全。而实现完整性的主要手段是 摘要算法(Digest Algorithm)把数据原文和数字签名一起发送给接受方,接收方收到数字签名后,用同样的摘要(hash)算法对报文计算摘要值,然后与用发送者的公开密钥进行解密解开的报文摘要值相比较。如相等则说明报文确实来自所称的发送者,未被篡改。
HTTPS: 基于HTTP+SSL/TLS的安全通信协议
Fireplusplus的博客
09-03 2803
何为HTTPS HTTP(HyperText Transfer Protocol )是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。 HTTPS(HyperText Transfer Protocol over Secure Socket Layer),从其名字也可以看出,是在安全套接层之上的HTTP协议。其中的S可以理解为SSL/TLS协议,其中TLS又是SSL的改进版本。HTTPS的安全数据传输就依赖于SSL/TLS协议。 为什么
SSL/TLS协议详解以及配置实战
swadian2008的博客
04-17 1万+
SSL/TLS协议是一种安全通信协议,用于在计算机网络上保护数据传输的机密性、完整性和身份验证。SSL代表安全套接字层(Secure Socket Layer)TLS代表传输层安全性(Transport Layer Security),它是SSL的继任者。// 实际上还是非对称加密的算法客户端发送一个SSL/TLS连接请求到服务器。服务器发送一个数字证书给客户端。数字证书包含服务器的公钥和其他信息。客户端验证数字证书,以确保证书来自可信的证书颁发机构,没有被篡改。
SSL/TLS详解
weixin_45637300的博客
06-09 3198
面试问到Https加密协议,不太会?来看看这篇文章吧
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 22万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞: TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
一文搞懂SSL/TLS
聚集机器学习、信息安全
12-09 1万+
安全套接字层(SSL,Secure Sockets Layer)是基于公钥密码体制和X.509数字证书技术,为网络通信提供数据传输机密性及完整性的一种安全协议,由网景(Netscape)公司于1994年提出。1999年,IETF发布了正式的行业标准[RFC2246],TLS/SSL直正成为通信安全标准。
MQTT与 TLS/SSL
qq_31532979的博客
04-26 1877
相比之下,MQTT 的发布/订阅模式和多种 QoS 级别虽然非常适合物联网设备间的异步通信,但在一些设备或平台对 MQTT 支持不足的情况下,可能需要额外的工作来实现兼容或转换。总结来说,MQTT 在消息保证、连接会话管理和安全实现等方面确实存在一定的挑战和局限性,特别是在大规模部署时,可能会面临性能瓶颈、资源消耗、设备兼容性等问题。综上所述,MQTT 对 TLS/SSL 的依赖体现在它借助这些安全协议提供的功能来保障通信的私密性、完整性和真实性,确保 IoT 环境中的设备、应用和服务能够安全地交换信息。
详解SSL/TLS TLSHTTPS
yb223731的博客
10-17 1142
详解SSL/TLS http://www.mamicode.com/info-detail-1846390.html TLSHTTPS https://blog.csdn.net/lizewenhh/article/details/79740609 1 概述 TLS 是进行 HTTPS 连接的重要环节,通过了 TLS 层进行协商,后续的 HTTP 请求就可以使用协商好的对称密钥进行加...
HTTPS详解二:SSL / TLS 工作原理和详细握手过程
weixin_28747937的博客
01-31 760
HTTPS 详解系列:HTTPS 详解一:附带最精美详尽的 HTTPS 原理图HTTPS 详解二:SSL / TLS 工作原理和详细握手过程 前言 在上篇文章HTTPS详解一中,我已经为大家介绍了 HTTPS 的详细原理和通信流程,但总感觉少了点什么,应该是少了对安全层的针对性介绍,那么这篇文章就算是对HTTPS 详解一的补充吧。还记得这张图吧。 HTTPS 和 HTTP的区别 ...
SSL/TLS证书是什么?What is an SSL certificate?
u011225581的专栏
09-18 1707
An SSL certificate displays important information for verifying the owner of a website and encrypting web traffic with SSL/TLS, including the public key, the issuer of the certificate, and the associated subdomains. 一个SSL证书是用来显示网站所有权、公钥、证书发布者及其包含的域名等重要信息,
HTTPS的传输流程是什么?SSL/TLS详细流程
Burnup_110的博客
07-04 1390
HTTPS的传输流程是什么? 基础概念名词抢先了解 HTTPSHTTPS是在HTTP上建立SSL加密层,并对传输数据进行加密,是HTTP协议的安全版。 说得再简单一点,HTTPS就是 HTTP + SSL。 **SSL:**Secure Sockets Layer,即“安全套接层”。发明SSL协议的初衷,是为了解决HTTP明文传输不安全的问题。HTTP是应用层协议,是和TCP进行直接通信的,但是当我们将它转换成为HTTPS的时候,可以看下面这个流程,在HTTPS和TCP中间多了一个SSL层,这也就解释了
SpringSecurity原理解析(五):HttpSecurity 类处理流程
liang8999的博客
09-11 1043
结合 HttpSecurity 类中实现 SecurityBuilder 接口时的泛型是什么,就知道在 HttpSecurity 类。由 HttpSecurity 的定义可以发现,在 HttpSecurity 类中 SecurityBuilder 指定的泛型是。一个默认实现,所以 DefaultSecurityFilterChain 是一个拦截器链,所以在 HttpSecurity。在SpringSecurity中提供了HttpSecurity等工具类,这里HttpSecurity就等同于我们在配置。
FastAPI 应用安全加固:HTTPSRedirectMiddleware 中间件全解析
最新发布
09-14 1132
在当今的网络环境中,数据安全变得越来越重要。HTTPS 作为一种安全协议,它通过加密传输数据来保护用户信息免受窃取和篡改。在 FastAPI 应用中,确保所有的 HTTP 请求都通过 HTTPS 进行是至关重要的。 中间件在 FastAPI 中用于处理请求前后的通用任务,例如身份验证、日志记录、请求重定向、错误处理等。以下是几种常见的使用中间件的情况:假设我们想要记录每个请求的详细信息,包括请求路径、方法和响应时间。
应用层协议 —— https
weixin_64099089的博客
09-13 1136
本文讲解了https的特点,数据摘要,数字签名,CA证书以及如何进行安全的加密通信
nginx实现https安全访问的详细配置过程
lwxvgdv的博客
09-13 839
首先我们来简单了解一下什么是http和https以及他们的区别所在.HTTP,全称为“超文本传输协议”(Hypertext Transfer Protocol),是用于在客户端和服务器之间传输信息的基础协议。当你在浏览器中输入网址并访问一个网站时,浏览器使用 HTTP 协议与服务器通信,获取网页内容。HTTP 协议是无状态的,也就是说,它不会保存任何之前的请求或响应记录,每次请求都是独立的。
只有IP地址没有域名怎么实现HTTPS访问?
alsknv的博客
09-10 1180
内网配置:对于内网服务器,可以使用腾讯云等云服务提供的证书服务,实现内网应用的HTTPS访问。公网IP:确保你拥有一个公网IP地址,或者内网映射公网,这是实现HTTPS访问的前提。选择CA:选择一个可信赖的证书颁发机构,如JoySSL,来申请IP地址专用SSL证书。配置服务器:将获得的证书文件安装到服务器上,配置SSL/TLS,确保HTTPS连接。专用证书:IP地址专用SSL证书,适用于没有域名的场景,确保数据传输安全。申请流程:注册账号,填写必要信息,提交申请,等待CA审核并签发证书。
为什么HTTPS会引入SSL/TLS协议
liiiiiiiiii123的博客
09-13 385
它通过结合哈希函数和密钥,对数据进行计算,生成一个固定长度的认证码。协议,这个协议里面有强大的加密算法,对数据进行加密,即使被窃取,也无法读取其中的内容;在网络通信中,数据可能会经过多个中间节点,如路由器、交换机、代理服务器等。实现消息认证码(MAC)来验证数据的完整性,确保数据在传输过程中没有被篡改。这时我面试遇到过的问题,整理了一下,希望对大家有帮助!送的认证码进行比较,以确定数据是否在传输过程中被篡改。如果不对,就会提示用户存在安全隐患,不要访问。网站时,浏览器会验证服务器的数字证书,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值