9.Linux网络篇(1)

1、画出TSL链路的通信图

TSL(transport layer security)安全套接层,由IETF互联网工程任务组将SSL进一步标准化,于1999年公布的第一版TSL协议文件。与ssl一样是基于https使用的一组协议,
https加解密流程简介:

  • 用户在浏览器发起 HTTPS 请求(如 https://www.bai’du.com/),默认使用服务端的 443 端口进行连接。
  • HTTPS 需要使用一套 CA 数字证书,证书内会附带一个公钥 Pub,而与之对应的私钥 Private 保留在服务端不公开。
  • 服务端收到请求,返回配置好的包含公钥 Pub 的证书给客户端。
  • 客户端收到证书,校验合法性,主要包括是否在有效期内、证书的域名与请求的域名是否匹配,上一级证书是否有效(递归判断,直到判断到系统内置或浏览器配置好的根证书),如果不通过,则显示 HTTPS 警告信息,如果通过则继续。
  • 客户端生成一个用于对称加密的随机 Key,并用证书内的公钥 Pub 进行加密,发送给服务端。
  • 服务端收到随机 Key 的密文,使用与公钥 Pub 配对的私钥 Private 进行解密,得到客户端真正想发送的随机 Key。
  • 服务端使用客户端发送过来的随机 Key 对要传输的 HTTP 数据进行对称加密,将密文返回客户端。
  • 客户端使用随机 Key 对称解密密文,得到 HTTP 数据明文。
  • 后续 HTTPS 请求使用之前交换好的随机 Key 进行对称加解密。

2、如何让浏览器识别自签的证书
我们可以通过两台主机进行自行签证,一台发送证书请求,另一台充当CA进行签名
(1)自建CA签证机构在192.168.164.138这台主机上

[root@localhost centos]# cd /etc/pki/CA		#进入/etc/pki/CA目录	
[root@localhost CA]# ls
certs  crl  newcerts  private

[root@localhost CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)  	#创建密钥cakey.pem
Generating RSA private key, 2048 bit long modulus
..................................................................+++
.....+++
e is 65537 (0x10001)
[root@localhost CA]# ll private/
total 4
-rw-------. 1 root root 1675 Apr  3 08:33 cakey.pem

[root@localhost CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365		#生成证书cacert.pem,写好相关的公司地址,这里就建好了签证中心
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name<
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值