https认证

最新推荐文章于 2024-06-21 16:42:33 发布
最新推荐文章于 2024-06-21 16:42:33 发布
阅读量1.3k 收藏
点赞数
分类专栏: Linux 文章标签: ssl 安全 https openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sun198292/article/details/78768899
版权
关于HTTPS

HTTPS是在HTTP基础上实现的一种更安全的身份认证及数据传输协议.百度百科的解释是这样的:

HTTPS (全称:Hyper Text Transfer Protocol over Secure Socket Layer)是以安全为目标的HTTP通道,简单讲是HTTP的安全版.即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL

上面的定义说明了HTTPS的实现基础是ssl,但在整个认证过程中还有一个重要的权威机构CA(Certificate Authority),先来看看这个CA.

关于CA

电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任.

这个机构主要就是为网络服务器颁发证书,使网络服务器在互联网中可信.建立这种信任关系的是各个机构的根证书,根证书可以对他们签名的所有服务器进行验证.要得到这种证书需要到对应的机提交申请.对于要求不高的情况下可以使用 Let’s encrypt.

SSL协议

SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持.SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装,压缩,加密等基本功能的支持.SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等.

SSL Handshake Protocol握手过程中身份认证和秘钥协商步骤

  1. 客户端(浏览器)发送自己的ssl版本号,支持的算法等信息到服务器
  2. 服务端返回自己的ssl版本号,随机数及服务器的证书
  3. 客户端验证server的证书是否合法,验证不通过给出提示
  4. 验证通过客户端会发送自己的证书给服务器,交由服务器认证
  5. 服务器验证客户端证书,如果验证不同通过,会直接断掉链接
  6. 验证通过,将选好的加密方案通过客户端的公钥加密返回给客户端
  7. 客户端通过私钥解开加密方式,生成随机数,作为对称加密的秘钥,使用服务器的公钥加密发送给服务器
  8. 服务器通过私钥解密出对称机密的秘钥
  9. 开始安全数据传输工作

上面几个步骤成功后之后,就建立了一个双向的认证(单向认证没有上面4和5)的安全的数据传输通道,接下来看一下如何使用openssl来建立自签名的双向认证

openssl自签名双向认证

  1. 获取CA证书

    
#生成ca私钥文件,长度为1024加密方式为rsa

openssl genrsa -out ca.key 1024


#采用x509标准生成自签名证书

openssl req -new -x509 -days 36500 -key ca.key -out ca.crt -subj "/C=CN/ST=SX/L=XA/O=Team/OU=sun"

  2. 获取server端证书

    
#生成server秘钥文件

openssl genrsa -out server.key 1024


#生成证书请求文件

openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=SX/L=XA/O=Team/OU=test/CN=aa"


#生成server CA自签名证书

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key


#验证server端证书

docker@myvm2:~$ openssl verify -CAfile ca.crt server.crt 
server.crt: OK

  3. 获取client端证书

     #阿道夫
 openssl genrsa -out client.key 1024
 #阿道夫
 openssl req -new -key client.key -out client.csr -subj "/C=CN/ST=SX/L=XA/O=Team/OU=test/CN=aa"
 #
 openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

 这步会出错:
 unable to access the ./demoCA/newcerts directory ./demoCA/newcerts: 
 No such file or directory
 解决办法:
 mkdir -p ./demoCA/newcerts
 touch demoCA/index.txt
 touch demoCA/serial
 echo 01 > demoCA/serial
 #验证
docker@myvm2:~$ openssl verify -CAfile ca.crt client.crt 
client.crt: OK

  4. 使用openssl 验证

     #开启server端证书验证功能

 docker@myvm2:~$ openssl s_server -accept 10086 -key server.key -cert server.crt -Verify 5
 verify depth is 5, must return a certificate
 Using default temp DH parameters
 ACCEPT

 #新开一个窗口执行客户端链接命令,带上客户端的证书,否则server会自动断掉链接
 docker@myvm2:~$  openssl s_client -connect localhost:10086 -CAfile ca.crt  -cert client.crt -key client_key
EvansEyes
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
https认证详解
harry1986601的专栏
05-08 2236
最近公司准备提供一套类似第三方支付服务的系统。一提支付,少不了信息安全,数据的安全是支付系统的鸟之翼,船之桨,重中之重。为了保证系统的安全,我们参考了https安全模式,下面主要介绍一下https是怎么保证数据安全的。 涉及相关技术: SSL加密协议,SSL安全套接层,位于应用层和TCP层中间,应用要传输数据不是直接发给TCP,而是通过SSL层,对数据进行加密,并且在其数据头部加上SSL相关
HTTPS通信中的身份认证机制
weixin_34362790的博客
03-18 305
作者:王继波 野狗科技运维总监,曾在360、TP-Link从事网络运维相关工作,在网站性能优化、网络协议研究上经验丰富。野狗官博:https://blog.wilddog.com/ 野狗官网:https://www.wilddog.com/公众订阅号:wilddogbaas 当你访问一个网站时,有没有想过这个问题:如何保证我的访问能直达...
https证书认证
最新发布
icon_sun的博客
06-21 722
数字签名不是用来加解密数据的,而是用来验证数据正确性,判断是否被篡改,场景就类似在一篇文章上签上自己的名字供给别人验证文章是你撰写的;而数字签名就是利用私钥对原始数据的摘要(Hash 值)进行加密出来的。
HTTPS接口加密和身份认证(转)
weixin_34007906的博客
12-04 472
HTTPS接口加密和身份认证HTTPS研究有一段时间了,在这里写下一些收集的资料和自己的理解。有不对的地方希望斧正。 1.为什么要使用HTTPS代替HTTP 1.1HTTPS和HTTP的区别 https协议需要到CA申请证书,一般免费证书很少,需要交费。 http是超文本传输协议,信息是明文传输,https则...
HTTPS接口加密和身份认证
ForeverDirect的博客
08-23 4965
Https
https认证过程(TLS认证过程)
Allennnnnnnnnn的博客
03-11 932
目前的HTTPS是使用http+tls的,所以直接了解tls的认证过程即可 曾经广泛使用的运输层安全协议有两个 (1)安全套接字层 SSL (Secure Socket Laver)。 **(2)运输层安全 TLS (Transport Layer Security)。** ​ SSL是TLS的前身,TLS在SSL基础上改进了很多,但是现在还经常能够看到把SSL/TLS视为TLS的同义词。而现在旧协议SSL被更新为新协议TLS。
Tomcat https认证
10-30
Tomcat https认证 输入密钥库口令: 再次输入新口令: 您的名字与姓氏是什么? [Unknown]: chen 您的组织单位名称是什么? [Unknown]: ffcs 您的组织名称是什么? [Unknown]: ffcs 您所在的城市或区域名称是什么? ...
Https认证授权工具
06-20
HTTPS认证授权工具是一种用于生成和管理HTTPS连接所需证书的实用程序。这个工具主要基于OpenSSL库,一个广泛使用的开源加密库,提供了SSL/TLS协议的支持。在本文中,我们将深入探讨HTTPSSSL/TLS协议、自签名证书...
跳过Https认证
01-11
在这种场景下,为了调试或临时解决访问问题,开发者可能会选择跳过HTTPS安全认证,也就是SSL(Secure Socket Layer)验证。然而,这种方式只应作为开发阶段的临时措施,因为这会极大地降低应用的安全性,不应在...
fiddler生成https认证
05-03
fiddler 生成https认证时出现no root certificate was found时运行此工具后再次设置,则可以生成认证
绕过https认证工具类
12-14
绕过https认证工具类,通过该工具类,可以绕过htts需要认证的环节,针对weblogic服务器有好的效果,亲测有效,绕过https认证工具类,通过该工具类,可以绕过htts需要认证的环节,针对weblogic服务器有好的效果,亲测...
HTTPS加密和认证过程
学而不思则忘
11-29 1187
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer 超文本传输安全协议) HTTPS在传统的HTTP和TCP之间加了一层用于加密解密的SSL/TLS层(安全套接层Secure Sockets Layer / 安全传输层Transport Layer Security)层。使用HTTPS必须要有一套自己的数字证书(包含公钥和私钥) HTTPS解决的问题: 信息加密传输:第三方无法窃听; 校验机制:一旦被篡改,通信双方会立刻发现; .
HTTPS协议认证过程详解
qq_44613591的博客
01-19 3113
什么是 HTTPS https不是一种新的协议,只是http的通信接口部分使用了ssl和tsl协议替代,加入了加密、证书、完整性保护的功能,下面解释一下加密和证书,如下图所示 SSL 证书的获取 假设有一个认证中心简称CA(Certificate Authority),这个认证中心 CA 给 A 网站颁发了一个证书,这个证书有: 签发者 证书用途 A 网站的公钥 A 网站的加密算法 A 网站用的HASH算法 证书的到期时间等 但是,如果证书就这样给 A 网站了,那传输过程中如
HTTPS与HTTP区别,SSL/TLS认证过程
ct_bao的博客
07-16 750
1.http是超文本传输协议,信息是明文传输,存在安全风险的问题。Https则解决HTTP不安全的缺陷,在TCP和HTTP网络层之间加入了SSLTLS安全协议,使得报文能够加密传输。 2. HTTP连接建立相对简单,TCP 三次握手之后便可进行HTTP的报文传输。而HTTPS在TCP三次握手之后,还需进行SSLTLS的握手过程,才可进入加密报文传输。 3. HTTP的端口号是80, HTTPS的端口号是443。 4. HTTPS协议需要向CA (证书权威机构)申请数字证书,来保证服务器的身份是可信的。
谈一谈HTTPS的优点-信息加密,完整性校验,身份验证
weixin_37901561的博客
05-06 2471
有没有发现,现在大部分的网站都是用https协议,当你搜索https的时候,你看到的大概是这个 https比http安全https是通过加密来保证数据安全 再或者是这个图片 先来看一下http和https的定义: HTTP协议(HyperText Transfer Protocol,超文本传输协议)是用于从WWW服务器传输超文本到本地浏览器的传输协议。它可以使浏览器更加高效,使网络传输减少...
HTTPS认证过程
热门推荐
jianpan_zouni的博客
04-15 1万+
HTTPS和HTTP的区别主要如下: 1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。 2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。 3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。 4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进...
HTTPS 证书认证流程
yx1166的博客
04-20 5585
发送信息的一方(客户端)使用服务端的公钥加密 "对称密钥",服务端使用私钥解密拿到 "对称密钥"。这样可以确保 "对称密钥" 的传输过程是安全的,后续就可以使用 “对称密钥” 进行数据加密传输。
https证书认证的流程
weixin_44436675的博客
10-08 5056
https进行SSL认证的全过程 事前准备 1、服务器生成一对公钥和私钥(不对称加密方式,此处的公钥简称<服公钥>,密钥简称<服密钥>) 2、服务器向CA机构进行通信,将<服公钥>交给CA机构 3、CA对<服公钥>进行数字签名,生成一个<数字签名>,将两者绑定在一起<公钥证书> 4、<公钥证书>返回并且存在服务器,保存 客户端通信过程 1、客户端向服务器进行请求通信,服务器向客户端发送<公钥证书> 2、客户端使用
HTTPS认证过程总结
u012002125的博客
07-15 3385
一、常见的加密算法 1、对称加密简介 ​ 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种 加密方法称为对称加密,也称为单密钥加密。它要求发送方和接收方在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密,所以密钥的保密性对通信的安全性至关重要。 ​ 基于“对称密钥”的加密算法主要有DES、TripleDES、RC2、RC4、RC5和Blow 2、对称加密优缺点 优点:算法公开、计算量小、加密速度快、加密效率高,在
HttpURLConnection 单向https认证
07-22
在使用 `HttpURLConnection` 进行单向HTTPS认证时,可以通过以下步骤实现: 1. 创建一个信任管理器: ```java TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { @Override public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException { // 不验证客户端证书 } @Override public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException { // 验证服务器证书 try { chain[0].checkValidity(); } catch (Exception e) { throw new CertificateException("证书无效"); } } @Override public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; } } }; ``` 2. 创建一个SSL上下文: ```java SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, trustAllCerts, new SecureRandom()); ``` 3. 设置`HttpURLConnection`的SSL Socket Factory: ```java HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory()); ``` 4. 发起HTTPS请求: ```java URL url = new URL("https://example.com"); HttpURLConnection connection = (HttpURLConnection) url.openConnection(); // 可选:设置其他请求参数 connection.setRequestMethod("GET"); connection.setConnectTimeout(5000); connection.setReadTimeout(5000); // 发起请求 int responseCode = connection.getResponseCode(); // 处理响应 if (responseCode == HttpURLConnection.HTTP_OK) { // 读取响应数据 InputStream inputStream = connection.getInputStream(); // ... } else { // 处理错误情况 } ``` 以上代码将忽略对客户端证书的验证,只验证服务器证书的有效性。同样需要注意,在生产环境中建议使用双向HTTPS认证来增强安全性,即同时验证客户端和服务器证书。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值