TLS 协议与 TLS 证书的生成、配置

最新推荐文章于 2024-05-13 09:30:57 发布
最新推荐文章于 2024-05-13 09:30:57 发布
阅读量3.4k 收藏 11
点赞数 1
文章标签: https ssl 网络协议 网络 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_35815559/article/details/128407053
版权

这里不详细说明 TLS 协议的内容,请另行查阅文档

画外:由于 RSA/ECC 两类非对称加密算法被广泛的应用在各类加密通讯中,因此下面说明的证书生成、签名过程,
同样也适用于其他场景,比如 SSH 密钥对生成、JWT 密钥对生成等等。

TLS 协议

我们需要加密网络数据以实现安全通信,但是有一个现实的问题:

  1. 非对称加密算法(RSA/ECC 等)可以方便地对数据进行签名/验证,但是计算速度慢。
  2. 对称加密算法(ChaCha20/AES 等)计算速度快,强度高,但是无法安全地生成与保管密钥。

于是 TLS 协议在握手阶段使用非对称算法验证服务端,并安全地生成一个对称密钥,然后使用对称算法进行加密通信。
这里讲「安全地生成一个对称密钥」(Elliptic Curve Diffie-Hellman (ECDHE) key exchange),提供了「完美前向保密(Perfect Forward Secrecy)」特性,前向保密能够保护过去进行的通讯不受密码或密钥在未来暴露的威胁。(tls1.1/tls1.2 也可以使用非前向安全的算法!要注意!)

TLS 通过两个证书来实现服务端身份验证,以及对称密钥的安全生成:

  1. CA 证书(公钥):浏览器/操作系统自带,用于验证服务端的 TLS 证书的签名。保证服务端证书可信。
  2. TLS 证书:使用 CA 证书验证了 TLS 证书后,将使用这个 TLS 证书进行协商,以安全地生成一个对称密钥。

CA 证书和 TLS 证书,都只在 TLS 握手阶段有用到,之后的通信就与它们无关了。

一、TLS 证书支持保护的域名类型

TLS 证书支持配置多个域名,并且支持所谓的通配符(泛)域名。
但是通配符域名证书的匹配规则,和 DNS 解析中的匹配规则并不一致

根据证书选型和购买 - 阿里云文档 的解释,通配符证书只支持同级匹配,详细说明如下:

  1. 一级通配符域名:可保护该通配符域名(主域名)自身和该域名所有的一级子域名。
    • 例如:一级通配符域名 *.aliyun.com 可以用于保护 aliyun.comwww.aliyun.com 以及其他所有一级子域名。
      但是不能用于保护任何二级子域名,如 xx.aa.aliyun.com
  2. 二级或二级以上通配符域名:只能保护该域名同级的所有通配域名,不支持保护该通配符域名本身。
    • 例如:*.a.aliyun.com 只支持保护它的所有同级域名,不能用于保护三级子域名。

要想保护多个二三级子域,只能在生成 TLS 证书时,添加多个通配符域名。
因此设计域名规则时,要考虑到这点,尽量不要使用层级太深的域名!有些信息可以通过 - 来拼接以减少域名层级,比如阿里云的 oss 域名:

  1. 公网:oss-cn-shenzhen.aliyuncs.com
  2. 内网:oss-cn-shenzhen-internal.aliyuncs.com

二、TLS 证书的生成

OpenSSL 是目前使用最广泛的网络加密算法库,这里以它为例介绍证书的生成。
另外也可以考虑使用 cfssl.

前面讲到了 TLS 协议的握手需要使用到两个证书:

  1. TLS 证书(服务端证书):这个是服务端需要配置的数据加密证书。
    • 服务端需要持有这个 TLS 证书本身,以及证书的私钥。
    • 握手时服务端需要将 TLS 证书发送给客户端。
  2. CA 证书:这是受信的根证书,客户端可用于验证所有使用它进行签名的 TLS 证书。
    • CA 证书的私钥由权威机构持有,客户端(比如浏览器)则保有 CA 证书的公钥。

在 TLS 连接的建立阶段,客户端(如浏览器)会使用 CA 证书的公钥对服务端的证书签名进行验证,验证成功则说明该证书是受信任的。

0. TLS 证书的类型

证书有两种类型:

  1. 向权威CA机构申请得到的 TLS 证书:这类证书会被浏览器、小程序等第三方应用/服务商信任。申请证书时需要验证你的所有权,也就使证书无法伪造。
    • 如果你的 API 需要提供给这些第三方应用/服务商访问,那就必须申请此类证书。
  2. 由本地 CA 证书签名的 TLS 证书:这类证书不会被浏览器、小程序等第三方应用/服务商信任,证书就可以被伪造。
    • 这类证书的缺点是无法与第三方应用/服务商建立安全的连接。
    • 如果客户端是完全可控的(比如是自家的 APP),那可以自行验证证书的可靠性(公钥锁定、双向 TLS 验证)。这种场景下自签名证书是安全可靠的。可以不使用权威CA机构颁发的证书。

总的来说,权威CA机构颁发的证书,可以被第三方的应用信任,但是自己生成的不行。
而越贵的权威证书,安全性与可信度就越高,或者可以保护更多的域名。

在客户端可控的情况下,可以考虑使用自签名证书(方便、省钱),将这个证书预先埋入客户端中用于验证。

1. 向权威CA机构申请受信 TLS 证书

免费的 TLS 证书有两种方式获取:

  1. 部分 TLS 提供商有提供免费证书的申请,有效期为一年,但是不支持泛域名。
  2. 申请 Let's Encry
最低0.47元/天 解锁文章
巡山小妖008
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
生成SSL/TLS 自签名证书
青鸟飞鱼
08-30 1293
可通过以下两种方式获取相关 SSL/TLS 证书:自签名证书:即使用自己签发的证书,由于自签名证书存在较多的安全隐患,因此只建议用于测试验证环境。申请或购买证书:您可以向 Let’s Encrypt (opens new window)或华为云、腾讯云等云厂商申请免费证书,也可以向 DigiCert (opens new window)等机构购买收费证书。对于企业级用户,一般建议申请收费的 OV 及以上类型的证书,以获取更高等级的安全保护。
TLS及CA证书申请流程
阿里云专家博主,51CTO专家博主、2022年博客之星Top96,嵌入式与物联网赛道Top2
12-04 2970
TLS及CA证书申请流程
『Apisix安全篇』APISIX 加密传输实践:SSL TLS证书配置与管理实战指南_apisix ssl
最新发布
2401_84973069的博客
05-13 1264
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
理解HTTPS/TLS/SSL(一)基础概念+配置本地自签名证书
特别享受思考问题的过程
08-27 2458
对于HTTPSTLSSSL相关的概念,平时也是时常接触到。看过几篇文章之后,总以为自己真正了解了,实际上碰到问题时才知道,自己恐怕连入门都算不上。所以打算入个门,补上这一部分的基础知识,对于更深层次的东西,例如各种标准的解读,则不打算深入。
openssl 生成证书_这就是TLS系列之二(证书)
weixin_40006185的博客
12-06 1534
前面TLS系列简单介绍了TLS的概念及HTTPS协议交互的过程, 如下:其中第2步是服务器生成带公钥的证书返回给客户端用于证明自己的身份。今天就来聊聊证书是如何生成的,以及证书是长什么样子的。在LInux环境,通常会借助openssl软件来生成证书, openssl实现了SSL协议 库, 提供了对称加密算法(包括AES、DES等)及非对称加密算法(包括RSA、 DH等)...
TLS初探(2)证书简介
jjxojm的专栏
07-29 3326
      证书可以理解为签发方信息、拥有者信息、公钥以及签名(由签发方私钥签名)的集合(当然还有额外信息)。校验证书是否可信,实际就是检验该证书是否是由合法的签发方签发,验证的方法就是首先通过签发方信息找到对应的签发方证书,利用签发方证书中的公钥去校验签名是否正确。        从上述验证方法可以看出,实际上证书是否可信是由其签发方的证书来进行校验的,而签发方的证书的可信是由上一层签发方的证...
TLS/HTTPS 证书生成与验证
weixin_34366546的博客
10-17 359
最近在研究基于ssl的传输加密,涉及到了key和证书相关的话题,走了不少弯路,现在总结一下做个备忘 科普:TLSSSLHTTPS以及证书 不少人可能听过其中的超过3个名词,但它们究竟有什么关联呢? TLS是传输层安全协议(Transport Layer Security)的缩写,是一种对基于网络的传输的加密协议,可以在受信任的第三方公证基础上做双方的身份认证。TLS可以用在TCP上,...
基于tls的CA测试证书
12-06
基于TLS(Transport Layer Security,传输层安全协议)的CA测试证书主要用于模拟真实环境下的证书验证过程,帮助开发者和系统管理员在部署和配置网络服务时确保数据的机密性和完整性。 TLSSSL(Secure Socket ...
电子科技大学网络安全协议实验报告TLS配置和流量分析实验.docx
01-05
《电子科技大学网络安全协议实验报告——TLS配置与流量分析》 实验报告主要涵盖了TLS协议的原理、Apache服务器HTTPS配置以及TLS流量分析这三个核心知识点。TLS(Transport Layer Security,传输层安全协议)是...
etcl 证书资源信息 TLS
06-22
结合这两个关键词,我们可以推测这是一个关于如何在ETCD中配置和管理TLS证书资源的主题。 **TLS协议详解** TLS协议SSL(Secure Sockets Layer)的后续版本,用于保护网络通信的隐私和完整性。它主要通过以下方式...
Docker启用TLS实现安全配置的步骤
09-29
2. **生成TLS证书和密钥** 在Docker服务器上,首先需要创建一个自签名的根证书颁发机构(CA)。这可以通过`openssl`命令行工具完成: - 使用`openssl genrsa`生成一个4096位的AES256加密的私钥(`ca-key.pem`)。 ...
Linux中Nginx添加自签证书TLS的方法
09-15
总结来说,本文详细阐述了在Linux的Nginx环境中添加自签名TLS证书的过程,包括证书生成、查看以及配置Nginx使用这些证书。遵循这些步骤,你可以在自己的服务器上快速搭建安全的HTTPS服务。对于生产环境,建议使用...
SSL/TLS协议详解以及配置实战
swadian2008的博客
04-17 9222
SSL/TLS协议是一种安全通信协议,用于在计算机网络上保护数据传输的机密性、完整性和身份验证。SSL代表安全套接字层(Secure Socket Layer)TLS代表传输层安全性(Transport Layer Security),它是SSL的继任者。// 实际上还是非对称加密的算法客户端发送一个SSL/TLS连接请求到服务器。服务器发送一个数字证书给客户端。数字证书包含服务器的公钥和其他信息。客户端验证数字证书,以确保证书来自可信的证书颁发机构,没有被篡改。
TLS初探(3)证书生成
jjxojm的专栏
07-30 1872
      上一节讲了各种证书的格式,在此基础上本次来探究一下证书生成。本次使用openssl进行相应的证书管理,具体openssl的安装说明等基本知识就不在此赘述。        此次主要流程就是先生成一个自签名根证书,然后利用自签名根证书去签发一个服务器证书,具体步骤如下: 1.  生成证书之前,首先需要进行私钥生成(以RSA为例) openssl genrsa -out ca.k...
SSL/TLS证书概述
weixin_34151004的博客
04-09 1313
每次配置HTTPS或者SSL时,都需要指定一些cacert,cert,key之类的东西,他们的具体作用是什么呢?为什么配置了他们之后通信就安全了呢?怎么用openssl命令来生成它们呢?程序中应该如何使用这些文件呢? 本篇以TLS 1.2作为参考,只介绍原理,不深入算法的细节 SSLTLS的关系 SSL(Secure Sockets L...
kubernetes学习:3.创建tls证书和秘钥
linux_player_c(系统&开发)
04-01 5684
kubernete tls证书和秘钥 传输k8s各组件之间的通信可以使用http方式,但是为了安全起见,生产环境需要使用https方式通信,所以我们需要生成tls证书进行加密传输。 构建环境 再次介绍下我们本次搭建的环境: 节点名称 ip 配置 wecloud-test-k8s-1(master) 192.168.99.183 4核,4G,50G...
HTTPS原理与证书生成
热门推荐
Mlib
10-31 1万+
HTTPS HTTPSHTTP是什么关系呢?我们可以对比下HTTPHTTPS的请求过程: HTTPS 在 TCP 和 HTTP 之间增加了 TLS(Transport Layer Security,传输层安全),提供了内容加密、身份认证和数据完整性三大功能。 HTTPS也就是HTTP over SSL/TLS,所有的http数据都是在SSL/TLS协议封装之上传输的。Https协议在H...
TLS/HTTPS 双向认证证书制作
云记忆
01-15 411
生成CA自签证书: openssl genrsa -out ca-key.pem 1024 openssl req -new -out ca-req.csr -key ca-key.pem -subj "/C=CN/ST=Jiangsu/L=Changzhou/O=XXXXX/CN=www.XXXXXX.com.cn" openssl x509 -req -in ca-req.csr -out ca-cert.pem -signkey ca-key.pem -days 3650 openssl p
DoIP与UDS协议中的TLS安全功能解析
"本文主要介绍了DoIP协议中的TLS功能以及UDS协议的Service 29功能,特别是关于TLS协议的工作原理、版本以及安全性。" 在DoIP(Diagnostics over Internet Protocol)协议中,TLS(Transport Layer Security)功能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

巡山小妖008

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值