①HTTPS 协议介绍 ②Nginx HTTPS 部署实战

HTTPS 协议介绍

HTTP 协议（Hyper Text Transfer Protocol，超文本传输协议）：是客户端浏览器或其他程序与Web服务器之间的应用层通信协议 。

• HTTPS 协议（HyperText Transfer Protocol over Secure Socket Layer）：可以理解为HTTP+SSL/TLS， 即 HTTP 下加入 SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL，用于安全的 HTTP 数据传输。

如上图所示 HTTPS 相比 HTTP 多了一层 SSL/TLS
SSL/TLS :SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层为数据通讯进行加密提供安全支持。
SSL协议可分为两层： SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。相当于连接

​ SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 相当于通信
SSL协议提供的服务主要有：

ssl:身份认证和数据加密。保证数据完整性
1）认证用户和服务器，确保数据发送到正确的客户机和服务器；

2）加密数据以防止数据中途被窃取；

3）维护数据的完整性，确保数据在传输过程中不被改变。

1、加密算法

1. 对称加密
   A要给B发送数据
   1、A做一个对称密钥
   2、使用密钥给文件加密
   3、发送加密以后的文件和钥匙
   4、B拿钥匙解密

   加密和解密都是使用的同一个密钥。

2. 非对称加密 ---- 公钥加密，私钥解密
   A要给B发送数据
   1、B做一对非对称的密钥（公钥、私钥）

   2、发送公钥给A

   3、A拿公钥对数据进行加密

   4、发送加密后的数据给B

   5、B拿私钥解密

3. 哈希算法
   将任意长度的信息转换为较短的固定长度的值，通常其长度要比信息小得多。

   例如：MD5、SHA-1、SHA-2、SHA-256 等

4. 数字签名
   签名就是在信息的后面再加上一段内容（信息经过hash后的值），可以证明信息没有被修改过。hash值一般都会加密后（也就是签名）再和信息一起发送，以保证这个hash值不被修改。

3、HTTPS 原理

1、HTTP 访问过程

如上图所示，HTTP请求过程中，客户端与服务器之间没有任何身份确认的过程，数据全部明文传输，“裸奔”在互联网上，所以很容易遭到黑客的攻击，如下：

可以看到，客户端发出的请求很容易被黑客截获，如果此时黑客冒充服务器，则其可返回任意信息给客户端，而不被客户端察觉。

所以 HTTP 传输面临的风险有：

• 窃听风险：黑客可以获知通信内容。
• 篡改风险：黑客可以修改通信内容。
• 冒充风险：黑客可以冒充他人身份参与通信。

那有没有一种方式既可以安全的获取公钥，又能防止黑客冒充呢？ 那就需要用到终极武器了：SSL 证书（申购）

• 证书：.crt, .pem

• 私钥：.key

• 证书请求文件：.csr
  
  如上图所示，在第 ② 步时服务器发送了一个SSL证书给客户端，SSL 证书中包含的具体内容有：

（1）证书的发布机构(CA认证中心)

（2）证书的有效期

（3）公钥

（4）证书所有者

（5）签名 ----- 签名就可以理解为是钞票里面的一个防伪标签。

客户端在接受到服务端发来的SSL证书时，会对证书的真伪进行校验，以浏览器为例说明如下：

（1）首先浏览器读取证书中的证书所有者、有效期等信息进行校验

（2）浏览器开始查找操作系统中已内置的受信任的证书发布机构CA，与服务器发来的证书中的颁发者CA比对，用于校验证书是否为合法机构颁发

（3）如果找不到，浏览器就会报错，说明服务器发来的证书是不可信任的。

（4）如果找到，那么浏览器就会从操作系统中取出颁发者CA 的公钥，然后对服务器发来的证书里面的签名进行解密

（5）浏览器使用相同的hash算法计算出服务器发来的证书的hash值，将这个计算的hash值与证书中签名做对比

（6）对比结果一致，则证明服务器发来的证书合法，没有被冒充

（7）此时浏览器就可以读取证书中的公钥，用于后续加密了

(8）client与web协商对称加密算法，client生成一个对称加密密钥并使用web公钥加密，发送给web服务器，web服务器使用web私钥解密

(9)使用对称加密密钥传输数据，并校验数据的完整性
所以相比HTTP，HTTPS 传输更加安全
（1） 所有信息都是加密传播，黑客无法窃听。

（2） 具有校验机制，一旦被篡改，通信双方会立刻发现。

（3） 配备身份证书，防止身份被冒充。

3、HTTPS 总结

综上所述，相比 HTTP 协议，HTTPS 协议增加了很多握手、加密解密等流程，虽然过程很复杂，但其可以保证数据传输的安全。

HTTPS 缺点：

1. SSL 证书费用很高，以及其在服务器上的部署、更新维护非常繁琐
2. HTTPS 降低用户访问速度（多次握手）
3. 网站改用HTTPS 以后，由HTTP 跳转到 HTTPS 的方式增加了用户访问耗时（多数网站采用302跳转）
4. HTTPS 涉及到的安全算法会消耗 CPU 资源，需要增加大量机器（https访问过程需要加解密）

Nginx HTTPS 部署实战

1. 申请证书与认证
2. 证书下载与配置
3. 问题分析与总结

1、申请证书与认证

要搭建https服务首先需有SSL证书，证书通常是在第三方申请，在阿里云的安全服务中有SSL证书这一项，可以在里面申请免费的证书；

也可以在自己电脑中生成，虽然也能完成加密，但是浏览器是不认可的，因此最好还是去第三方申请

1、证书申请

阿里云提供免费的证书，不需要人工审核，用来做测试是非常不错的选择，申请地址如下URL。

免费型的证书隐藏的比较深，想要申请免费证书需要先选择 1个域名->Symantec->免费型 ,所以读者这里需要注意一下，如下图参考 阿里的。

选择之后，一直点击下一步，便可购买完成，免费购买证书之后笔者需要回到证书控制台，在控制台有一个补全信息的链接地址，需要通过此地址补充申请人的联系信息，参考下图填写!

ssl证书申请成功
审核因为不需要人为干预，所以很快就能下发证书，下发证书的时间大约是2分钟左右。

2、证书下载与配置

1、证书下载

证书签发之后，可以在列表中可以看到状态栏中为 已签发 ，同时操作栏可以下载以及查看详情等，如下图所示

点击下载后，会跳转到下载详情页面，在下载详情页可以选择自己相对应的web服务，比如使用nginx，当选择nginx之后，下方还会很贴心的提示如何配置，下载nginx配置文件。

下载配置文件之后，需要将其解压，解压之后可以看见里面包含了两个证书文件
xxx.key

xxx.pem

6433113_www.mingqing.fun.key 6433113_www.mingqing.fun.pem
[root@localhost https]# mv /etc/nginx/

2、证书配置

证书复制完成之后，可以对nginx配置文件进行更改，使用vim命令编辑nginx配置文件，参考命令如下 子配置文件

server {
    listen 443 ssl;
    server_name www.mingqing.fun;
    ssl_certificate 6433113_www.mingqing.fun.pem;   #需要将cert-file-name.pem>替换成已上传的证书文件的名称。
    ssl_certificate_key 6433113_www.mingqing.fun.key;   #需要将cert-file-name.key替换已上传的证书密钥文件的名称。
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    location / {
        root html;
        index index.html index.htm;
    }
}
server {
    listen  80;
    server_name www.mingqing.fun;
    return 301 https://$host$request_uri; #永久重定向到https
}

配置解析 本地 windows10

测试 www.mingqing.fun 会自动跳转到 https://www.mingqing.fun/