从自签名证书到wireshark解密https

最新推荐文章于 2024-08-02 14:30:00 发布
最新推荐文章于 2024-08-02 14:30:00 发布
阅读量3.3k 收藏 4
点赞数 1
文章标签: https openssl ssl 安全 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mseaspring/article/details/110944559
版权

一 背景

以前使用库写过一个https的特定算法的解密,整个测试过程比较麻烦,这边记录下测试准备内容.

二 生成自签名证书

HTTPS正常情况下使用的证书都是由CA结构颁发的,浏览器内置了根证书,这样我们在访问网站的时候通过多级校验(这个多级认证的意思是,比如我的证书是由A来颁发的,那A是否合法那,A的证书是由B来颁发的,B的证书又是由C来颁发的,最终C是根证书,C证书内置在浏览器中,通过多级认证来完成对服务器认证),来实现对网站的认证。

对于我们自己做的自签名证书,浏览器在打开我们网站的时候,会进行安全提示,因为可能存在着中间攻击,如果用户准许访问还是可以访问的。

对于我们内部测试来说,或者我们局域网使用,是没有问题的,我们也可以通过把证书存入的方式,防止下次再出告警;生成私钥和证书,主要是通过openssl工具来生成的。

2.1 生成私钥和CSR文件

CSR文件证书签名请求文件,包含了服务器的密钥对,CA按照会校验这个文件,然后验证CSR请求文件。

执行命令:

#-nodes 表示私钥不加密,若不带参数将提示输入密码
#-newkey rsa:2048 -keyout test_key.pem 表示生成私钥(PKCS8格式)
openssl req -newkey rsa:2048 -nodes -keyout test_key.pem -out csr.pem

需要填些信息,自签名的除了密码,其他的无所谓。

Generating a 2048 bit RSA private key
.....................+++
.......+++
writing new private key to 'test_key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN //国家名称(2个字母代码)[XX]:CN     
State or Province Name (full name) []:sichuan //州或省名
Locality Name (eg, city) [Default City]:chengdou //地点名称(如城市)
Organization Name (eg, company) [Default Company Ltd]:test //  组织名称(如公司)
Organizational Unit Name (eg, p) []:testunit  //  组织单位名称(例如,部分)
Common Name (eg, your name or your server's hostname) []:testssl.com  //  通用名称(例如,您的姓名或服务器的主机名)
Email Address []:testssl@163.com //  电子邮件地址

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:12345m
An optional company name []:

最终生成了密钥对文件和CSR文件。

[root@localhost testopenssl]# ll
total 8
-rw-r--r-- 1 root root 1090 Dec  9 10:11 csr.pem
-rw-r--r-- 1 root root 1704 Dec  9 10:11 test_key.pem

看下内容:

[root@localhost testopenssl]# cat test_key.pem 
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQCuUjlxWRoP/Ukz
rCaaFJOcUGebIN7204v9VAjgZPVqCGGiiNPwpqQOjXJCTE+oYQnLKoYsFUW4Rhsw
gsJWiRsMmCHfKg07VPSvzU2sWwHV3OdEIMIIXxx0z3RhiwIVcztzwQzZXr3g6ciL
I8ZDtoveI2PocAggQcWRFVXlnllngGnTaHSAAjHR1Z/qkPUX30cLQmF6tMXRiTVN
......
.......
......
F5wdEOBTlbfTRd2jmp3eHnbVhT2RDuG8Xn5ZN+eK5zHpUspDFawTTzg5PFKdtr28
IWDXzRAaQt5O9XJr5p50Yp5lO/kpOET3gtSJxdcrAoGAf3MQ6l4bgEURZBH1ZNVL
7qStAy426zXIbY+8A+0fM0YIR4BZ0G++nGIMILayzoIp0s9O8gF0ZiaVthihgah6
joQyxFosVgsmYx/HSQKODinRWB5AfcPIr2cBXVoMmXZU+vi1a9wrdHAfOU6iCLHC
8j4XUhdmwI16TrgqM6cfWFI=
-----END PRIVATE KEY-----

2.2 生成自签名证书

openssl x509 -signkey test_key.pem -in csr.pem -req -days 3650 -out test_cert.pem

显示:

[root@localhost testopenssl]# openssl x509 -signkey test_key.pem -in csr.pem -req -days 3650 -out test_cert.pem
Signature ok
subject=/C=CN/ST=sichuan/L=chengdou/O=asiainfo/OU=testunit/CN=testssl.com/emailAddress=testssl@163.com
Getting Private key

openssl的命令实在是复杂,这是抄的两个,-signkey是指明使用的密钥对,-in 表示csr文件,-days表示有效期,out最终生成的x509格式的证书文件。

[root@localhost testopenssl]# more test_cert.pem
-----BEGIN CERTIFICATE-----
MIIDmjCCAoICCQDG1mD8Qx+3czANBgkqhkiG9w0BAQsFADCBjjELMAkGA1UEBhMC
Q04xEDAOBgNVBAgMB3NpY2h1YW4xETAPBgNVBAcMCGNoZW5nZG91MREwDwYDVQQK
DAhhc2lhaW5mbzERMA8GA1UECwwIdGVzdHVuaXQxFDASBgNVBAMMC3Rlc3Rzc2wu
Y29tMR4wHAYJKoZIhvcNAQkBFg90ZXN0c3NsQDE2My5jb20wHhcNMjAxMjA5MDIy
NTMzWhcNMzAxMjA3MDIyNTMzWjCBjjELMAkGA1UEBhMCQ04xEDAOBgNVBAgMB3Np
Y2h1YW4xETAPBgNVBAcMCGNoZW5nZG91MREwDwYDVQQKDAhhc2lhaW5mbzERMA8G
A1UECwwIdGVzdHVuaXQxFDASBgNVBAMMC3Rlc3Rzc2wuY29tMR4wHAYJKoZIhvcN
.....
s0ErNEkYND4Vk2IdPGKpf0f/XhozsoMeGM3/Zt+vrMU4zITRQ8EhnygxmN3xBrcQ
o9Vq7x15j3wtaTpnJQbeSLf3ygffegxA8kyzguCe8lWw/nUC3h6rZ77ca/VEFQb6
tVlLmAu5Ld1iC8x77Io=
-----END CERTIFICATE-----

有时候需要PKCS#12 格式即.p12结尾的证书,命令如下:

 openssl pkcs12 -export -in test_cert.pem  -out test_cert.p12 -inkey test_key.pem 

生成test_cert.p12 文件,需要输出密码12345m

2.3 提取公钥

单独提取公钥的命令:

openssl rsa -in test_key.pem  -pubout -out test_public_key.pem

2.4 提取私钥

 openssl  rsa -in  test_key.pem 

加密的可以通过:

openssl rsa -in test_key.pem -passin pass:12345m

命令查看,得到私钥:

-----BEGIN RSA PRIVATE KEY-----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....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-----END RSA PRIVATE KEY-----

保存为test_private.pem

三 Tomcat下部署

3.1 更改配置

找到conf下面的server.xml 编辑:

        <Connector
           protocol="org.apache.coyote.http11.Http11NioProtocol"
           port="7443" maxThreads="200" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA256,
        TLS_RSA_WITH_AES_128_CBC_SHA,
        TLS_RSA_WITH_AES_128_GCM_SHA256"
           scheme="https" secure="true" SSLEnabled="true"
            keystoreFile="conf/testopenssl/test_cert.p12" keystorePass="12345m" keystoreType="PKCS12"
           clientAuth="false" sslProtocol="TLS"/>

port:指明 https的端口为7443 ciphers: 为密钥套件,故意配置几个容易解密的,便于测试,生产环境不能这样用。keystoreFile:证书文件位置 keystorePass:证书密码 keystoreType:证书类型。

3.2 重启tomcat

shutdown.sh
startup.sh

3.3 配置wireshark

在编辑地方,找到“首选项” 配置解析的ip,端口,协议和对应的私钥文件,非加密的私钥文件。

还遇到一个坑,我连vpn测试的,结果抓不到,其实设置下就可以抓到包了,如下图:

找到vpn的虚拟网卡,勾上一个选项。

3.4 wireshark解密

我们因为已经配置了私钥,所以可以通过wireshark抓包并且直接解密,解密的https的报文颜色为淡绿色,如下:

https解密

注意:如果你解密不了,可能的原因是,开始抓包的时候,https的交互已经完成,可以重启浏览器连接下试试,如果再不行,重启后台的服务,开始抓包的时候一定要确保https的前面的协商过程也在抓的包里面。

mseaspring
关注
使用wiresharkHTTPS解密的实践(六)--HTTPS配置时的证书生成
馒 的技术空间
02-18 4787
证书申请 申请SSL证书主要需要经过以下3个步骤:1.制作CSR文件。 CSR就是Certificate Signing Request证书请求文件。这个文件是由申请人制作,在制作的同时,系统会产生2个密钥,一个是公钥就是这个CSR文件,另外一个是私钥,存放在服务器上。要制作CSR文件,申请人可以参考WEB SERVER的文档,一般APACHE等,使用OPENSSL命令行来生成KEY+CSR2个...
Wireshark 抓包理解 HTTPS 协议
qhh0205
05-26 9640
Wireshark 抓包理解 HTTPS 协议 HTTPS 简介 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer)协议是 HTTP 协议的安全版,在 HTTP 应用层和传输层加入了 SSL/TLS 层,确保数据传输的安全性,所以 HTTPS 协议并不是什么新的协议,仅仅是 HTTP 协议和安全协议的组合。 HTTPS 协议...
WIRESHARKSSL解密
bytxl的专栏
12-12 6751
http://blog.chinaunix.net/uid-24709751-id-3643187.html 本文介绍在Wireshark网络协议分析仪中如果解密SSL和TLS流量 要求 以下基本知识: ? 网络追踪 ? 网络,TCP/IP和SSL/TLS协议 ? 证书和公私钥的使用 ? Wireshark网络协议分析仪 Wireshark 软件支持SS
Wireshark教程:解密HTTPS流量
最新发布
Palpitate_LL的博客
08-02 3148
本教程面向进行流量分析的安全专业人员。本教程假定你已经熟悉Wireshark的基本使用,并使用Wireshark 3.x版。在审查可疑的网络活动时,我们经常会遇到加密的流量。因为大多数网站使用安全超文本传输​协议(HTTPS)协议。和网站一样,各种类型的恶意软件也使用HTTPS。在检查恶意软件活动中的PCAP时,了解感染后流量中包含的内容非常重要。该Wireshark教程讲解如何使用https日志文件从Wireshark中的pcap解密HTTPS流量。该日志包含https加密密钥数据。
Wireshark (四) wireshark解密HTTPS
qq_42980749的博客
02-25 2427
浏览器和一些客户端应用程序会将使用的TLS密钥导出到一个日志文件中。配置Wireshark解密:在Wireshark中,通过以下路径配置TLS密钥:编辑 > 首选项 > 协议 > TLS。在“(Pre)-Master-Secret log filename”处,选择之前由浏览器生成的密钥日志文件。浏览器重启后 在进行访问会生成一个log文件(设置文件时必须以log进行结尾)在重启浏览器进行访问: 这个时候就可以看到解密后的流量包内容了。指向一个文件,浏览器会将TLS会话的密钥写入该文件。
基于Wireshark抓包浅谈对HTTPS的理解(TLS、SSL、数字证书、数字签名
klgbai的博客
06-08 2952
基于Wireshark抓包浅谈对HTTPS的理解(TLS、SSL、数字证书、数字签名) 简单记录一下近日学习HTTPS、TLS等协议的收获和心得。 1. HTTPS定义 超文本传输安全协议(英语:HyperText Transfer Protocol Secure,缩写:HTTPS;常称为HTTP over TLS、HTTP over SSL或HTTP Secure)是一种通过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。HTTPS开发的主要目的,是提供
(转)wireshark抓取https加密报文,并解密
weixin_30408675的博客
07-13 1619
首先你要有证书,而且这个证书需要是.pem格式的。 Window的证书管理导出来的是.pfx文件。这个格式在官网上说也是可以用的,但是我尝试了N遍还是没有成功。 最后只能将.pfx转换成.pem格式的。 我的wireshark版本是1.4.4,WinPcap版本是4.1.2。 首先还是把.pfx转换成.pem吧 1.下载openssl。 2.导出证书,这里我导出到D:/test.pfx...
Wireshark 导出SSL证书
u011186532的专栏
09-07 3737
如何使用wireshark导出SSL证书
wireshark && Fiddler抓包分析与解密https && Fiddler修改https请求和响应
BRAVE MAN的博客
03-21 4010
Https理论 在说HTTPS之前先说说什么是HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPSSSL目前的版本是3.0,被IETF(Internet Engineering Task Force)定义在RFC 6101中,之后IETF对SS
HTTPS学习笔记:(2)通过Wireshark分析HTTPS握手过程与协议概述
不积跬步,无以至千里;不积小流,无以成江海!
12-05 1677
TLS是一种密码学协议,用于保证两者之间的会话安全。整个SSL/TLS协议内容太多,本文只从握手,加密,套件等方面对TLS 1.2进行简要总结。 协议详细内容,可以参见: RFC:http://tools.ietf.org/html/rfc5246 CLOUDFLARE:https://www.cloudflare.com/learning/ssl/what-is-ssl/ 1. 握手(Han...
如何使用wireshark抓取https
07-12
- 如果您使用的是自签名证书,可以将证书导出为.pem格式,并在Wireshark中加载。 - 如果您无法获取服务器的SSL密钥,可以尝试使用MitM(中间人)攻击来欺骗客户端和服务器,并获取密钥。 4. 配置SSL密钥:在...
Wireshark (四) wireshark解密HTTPS,网络安全工程师必备知识
2401_84103675的博客
04-04 1463
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
WireSharkHTTPSSSL/TLS协议
happylishang的专栏
05-17 6820
HTTPS目前是网站标配,否则浏览器会提示链接不安全,同HTTP相比比,HTTPS提供安全通信,具体原因是多了个“S”层,或者说SSL层[Secure Sockets Layer],现在一般都是TLS[Transport Layer Security],它是HTTP明文通信变成安全加密通信的基础,SSL/TLS介于应用层和TCP层之间,从应用层数据进行加密再传输。安全的核心就在加密上: 如上图所示,HTTP明文通信经中间路由最终发送给对方,如果中间某个路由节点抓取了数据,就可以直接看到通信内容,甚至可以篡
Android反编译破解签名验证,Android证书生成,签名,验证,虽然难,但学一次就够了!...
weixin_35547906的博客
05-25 767
引言从Android演进开始,APK签名就已经成为Android的一部分,并且android要求所有Apks都必须先签名,然后才能将其安装在设备上。关于如何生成密钥以及如何签名的文章很多。一个Apk,但我们将从安全角度进行研究。在对Apk文件进行反编译或反向工程之后,应查看哪个文件,以获取有关最初对应用进行签名的开发人员的更多信息。反编译APK文件解压缩文件或使用apktool后,取决于如何对文件...
wireshark + HTTPS
u010563350的博客
11-23 1044
网络上http已经不常见了,所以解决HTTPS怎么解密。 默认情况下,https的协议是tls。 很不幸,tls流量包裹的加密数据中的HTML/CSS/JS/JSON…我们看不了。 这种情况下,我们有一种简单粗暴的方法看https流量。 就是用浏览器的调试模式。F12。 不幸的是,这种方式可能会导致https的网站用js使我们进入F12后陷入一个死循环,从而得不到有用的数据。我们还是需要除浏览器之外的软件来帮我们解密https。 Fildle,是作为一个代理服务器存在的。如果fq过,它其实就是ssr服务器。
ssl认证、证书Wireshark抓包分析
m0_45406092的博客
04-06 2032
相关文章://-----------下面的是CA证书openssl相关的知识--------------
tcpdump+wireshark的使用教程,免证书抓包
weixin_44236034的博客
10-21 2216
随着app安全的提升,越来越多的app抓包更难了,本文主要介绍了通过直接抓取网卡的包,达到更底层的一个数据流的提取。
使用Wireshark解密SSL/TLS数据包并调试
热门推荐
心梦无痕
02-17 3万+
使用Wireshark解密SSL/TLS数据 我们使用wireshark抓取的HTTPS数据包,可以使用wireshark通过以下两种方式直接解密查看 1. 用服务器证书私钥解码 第一种方法是:使用服务器证书的私钥进行解码。 在IIS上导出服务器证书私钥 第一步我们需要从网站服务器上导出证书私钥,这里拿IIS服务器举例。 打开IIS站点所绑定的服务器证书,点击查看 详细信息 页,点击 复制到文件...
wireshark专栏——解密加密报文
weixin_44081384的博客
09-13 7080
wireshark打开加密的报文,点击Edit选择Preferences,找到Protocal,选择SNMP协议,点击User table 点击Edit,填入对应的加密参数(设备中SNMPv3配置),点击OK即可解密。备注:这些参数是SNMPv3读取mib节点时设置的参数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值