HTTPS通信安全及证书管理

最新推荐文章于 2025-04-01 21:48:17 发布
转载 最新推荐文章于 2025-04-01 21:48:17 发布 · 459 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/2400083/blog/809355
文章标签:

#区块链 #python #运维

本文介绍了HTTPS的工作原理及其在防御多种网络攻击方面的应用,详细解析了PKI体系与SSL/TLS协议,以及如何生成和管理证书,包括自签名证书与Let's Encrypt免费证书的配置过程。
部署运行你感兴趣的模型镜像

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

HTTPS基础

  • 基于安全套接字协议(TLS/SSL)之上的HTTP通信协议
  • 可用于抵御 窃听、篡改、冒充、劫持 攻击,实现 身份验证、信息加密、完整性校验
  • 其在TCP协议三次握手之后增加了四次握手

PKI体系原理

  1. CA机构审核服务商身份信息后利用私钥签名其证书请求来签发证书
  2. 客户端利用CA机构公钥校验服务商证书上的签名从而验证其身份

SSL/TLS

SSL/TLSPKI 体系的一种实现

  • TLS: 传输层安全协议(Transport Layer Security),基于RSA加密算法
  • SSL:TLS的上一代产品,已废弃

SSL/TLS通信流程

  1. 客户端请求建立加密通信等 +随机数1
  2. 服务器返回证书(内含非对称加密公钥)等 +随机数2
  3. 客户端校验证书并从中取出公钥,通知服务端握手结束等 +公钥加密随机数3
  4. 服务端私钥解密随机数3,并通知客户端握手结束等
  5. 两端各自基于三个随机数生成对称加密秘钥session key,通信进入常规http协议并用session key加密

证书概要

证书是CA为服务商签发的身份认证凭据

  • 浏览器默认已内置了常用 CA根证书(CA的自签名证书)
  • 我们可选用免费的CA机构 Let's Encrypt 签发的证书
  • 证书可通过信任链传递有效性
  • 证书内容包括
    • CA私钥签名、CA公钥、签发机构、域名、申请者等
    • 可能存在的信任链(如果不是CA根证书签发的话)
  • 证书主要分两类:
    • 自签名证书
    • CA证书(可用于签名其他证书)
  • 有两种方式吊销证书:
    • CRL 文件
    • OCSP
  • 证书格式

常规证书签发

openssl genrsa -out domain.key 4096  # 网站先生成 rsa加密的私钥
openssl req -new -key domain.key -out domain.csr  # 基于 网站私钥 生成 证书请求csr

# csr证书请求 被签名后 转换为证书
# 证书可由商业CA机构签发 或 以下方式自行签发3种证书:
openssl x509 -req -in domain.csr -signkey domain.key -out domain.crt  # 基于网站私钥 签发 自签名证书
openssl x509 -req -in domain.csr -signkey domain.key -extensions v3_ca -out domain_ca.crt  # 基于网站私钥 签发 自签名CA证书
openssl x509 -req -in next_domain.csr -CA domain_ca.crt -CAkey domain_ca.key -CAcreateserial -extensions v3_usr -out next_domain_ca.crt  # 基于 CA证书、CAkey 签发 派生域名的CA证书

自签名证书

sudo mkdir /etc/certs
cd /etc/certs
sudo openssl req -newkey rsa:4096 -nodes -sha256 -keyout domain.key -x509 -days 365 -out domain.crt  # 其中Common Name输入域名
sudo openssl dhparam -out dhparam.pem 1024  # 生成DHE参数文件增强ssl加密
sudo chmod -R 777 /etc/certs

配置客户机信任自签名证书

  • windows平台
    • 自签名证书会被浏览器标记为不安全
    • 需要手动将自签名证书导入到浏览器的根证书信任列表
    • Chrome根证书信任设置:设置 》 高级 》 HTTPS/SSL 》 管理证书 》 受信任的根证书颁发机构 》 导入
  • CentOs7平台
sudo yum install ca-certificates
update-ca-trust enable
sudo cp 自签名证书.crt /etc/pki/ca-trust/source/anchors/
update-ca-trust extract

Let's Encrypt证书

Let's Encrypt是由ISRG互联网安全小组开放的免费证书服务,基于ACME协议,证书有效期为90天

0.基于Docker创建证书

sudo docker run -it --rm -p 443:443 -p 80:80 --name certbot \
            -v "/etc/letsencrypt:/etc/letsencrypt" \
            -v "/var/lib/letsencrypt:/var/lib/letsencrypt" \
            certbot/certbot certonly -n -v --standalone --agree-tos --email 邮箱 -d 域名1 -d 域名2

1.基于官方工具Certbot创建Let's Encrypt证书

sudo yum install certbot

# 使用工具内建web服务器模式,需临时停用主机上的已有80端口服务
sudo certbot certonly -n -v --standalone --agree-tos --email 邮箱 -d 域名1 -d 域名2 \
 --pre-hook  "service nginxd stop"  --post-hook "service nginxd start"

Certbot执行成功后将在 /etc/letsencrypt/live/域名 路径下导出以下文件:

  • cert.pem (网站证书)
  • chain.pem (cert.pem + 中间证书)
  • fullchain.pem (【网站证书 + 】 中间证书 + root证书)
  • privkey.pem (证书私钥)

设置每月一号凌晨1点自动更新证书CronJob

0 1 1 * * certbot renew --quiet --pre-hook "service nginxd stop" --post-hook "service nginxd start"

2. 基于 acme-tiny 工具创建证书 GitHub地址

外部依赖:

  • openssl
  • python
sudo mkdir /etc/certs
cd /etc/certs

sudo openssl genrsa 4096 > account.key  # 创建账户私钥
sudo openssl genrsa -out domain.key 4096  # 创建网站rsa私钥

# 两种方式创建csr证书请求
sudo openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com,DNS:www.example.com")) > domain.csr  # 直接导出方式
sudo openssl req -new -sha256 -key domain.key -out domain.csr  # 交互命令行方式,Common Name指定为网站域名

## 校验服务配置 ##
# 1. 校验服务目录
mkdir /srv/ca_challenges
# 2. nginx配置
'server {
    listen 80;
    server_name www.example.com example.com;

    location ^~ /.well-known/acme-challenge/ {
        alias /srv/ca_challenges/;
        try_files $uri =404;
    }

    location / {
        rewrite ^/(.*)$ https://example.com/$1 permanent;
    }
}'

# acme-tiny工具生成证书
cd /etc/certs
sudo wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
sudo python acme_tiny.py --account-key ./domain.key --csr ./domain.csr --acme-dir /srv/ca_challenges/ > ./domain.crt

# 中间证书合并
sudo wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
sudo cat domain.crt intermediate.pem > chain.pem

# 证书信任链
sudo wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
sudo cat root.pem intermediate.pem > fullchain.pem

设置每月一号凌晨1点自动更新证书CronJob

  1. 更新脚本renew_cert.sh
cd /etc/certs
python acme_tiny.py --account-key domain.key --csr domain.csr --acme-dir /srv/ca_challenges/ > signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chain.pem
service nginxd reload
  1. 加入定时任务:
0 0 1 * * /etc/certs/renew_cert.sh

服务器配置支持HTTPS

自动配置生成器:https://mozilla.github.io/server-side-tls/ssl-config-generator

典型的如nginx下配置

server {
    listen 80 default_server;
    listen [::]:80 default_server;
    server_name example.com, www.example.com;

    location ^~ /.well-known/acme-challenge/ {
        alias /srv/ca_challenges/;
        try_files $uri =404;
    }

    location / {
        # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
        return 301 https://$host$request_uri;        
    }

}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name example.com, www.example.com;

    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /etc/certs/chain.pem;
    ssl_certificate_key /etc/certs/domain.key;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;


    # modern configuration. tweak to your needs.
    ssl_protocols TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
    ssl_prefer_server_ciphers on;

    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;

    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;

    ## verify chain of trust of OCSP response using Root CA and Intermediate certs
    ssl_trusted_certificate /etc/certs/fullchain.pem;

    resolver <IP DNS resolver>;

    ....
}

转载于:https://my.oschina.net/u/2400083/blog/809355

您可能感兴趣的与本文相关的镜像

AutoGPT

AutoGPT

AI应用

AutoGPT于2023年3月30日由游戏公司Significant Gravitas Ltd.的创始人Toran Bruce Richards发布,AutoGPT是一个AI agent(智能体),也是开源的应用程序,结合了GPT-4和GPT-3.5技术,给定自然语言的目标,它将尝试通过将其分解成子任务,并在自动循环中使用互联网和其他工具来实现这一目标

基于LTE的车联网无线通信技术 安全证书管理系统技术要求 - v1.1.1
04-13
基于LTE的车联网无线通信技术中的安全证书管理系统是确保V2X通信安全的关键。通过明确的技术要求和严格的管理流程,可以有效地保障车辆与基础设施之间通信的安全性和可靠性。此外,PKI互信机制的引入进一步增强了...
通信网络安全服务能力评定管理办法.pdf
01-30
通信网络安全服务能力评定管理办法是一套为了提高通信网络安全服务质量,确保服务过程的安全可控性,促进通信网络安全服务行业健康发展,并协助政府主管部门加强对通信网络安全服务的指导而制定的规范性文件。...
SSL/TLS 证书管理
ITmoster的博客
03-30 791
Key Manager Plus是一套基于WEB的SSH密钥管理解决方案,它可以帮助您加固、控制、管理、监控及审计SSH密钥,跨越密钥的整个生命周期。它为管理员提供了可视化的SSH管理能力,帮助管理员有效控制密钥文件的合理使用以及密钥文件的合规性。
知识分享之规范——SSL协议与证书的划分
CN華少的博客
02-05 533
知识分享之规范——SSL协议与证书的划分 背景 知识分享之规范类别是我进行整理的日常开发使用的各类规范说明,作为一个程序员需要天天和各种各样的规范打交道,而有些规范可能我们并不是特别了解,为此我将一些常见的规范均整理到知识分享之规范系列中,便于小伙伴们快速翻阅学习。 概念 SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全(Transport Layer S...
Centos问题记录
yaoct的博客
11-16 1928
1.证书颁发者证书过期 curl#60 The certificate issuer‘s certificate has expired 证书颁发者证书过期 curl#60 The certificate issuer‘s certificate has expired_芏巠的博客-CSDN博客
Let's Encrypt 给网站加 HTTPS 完全指南certbot
热门推荐
cstopery
07-14 1万+
Let's Encrypt 给网站加 HTTPS 完全指南 29 MAY 2016 前段时间在北京联通3G移动网络下,发现自己的站点被联通劫持注入恶心的话费充值广告,决定让我的网站强制使用 HTTPS,避免 ISP 劫持。 使用 HTTPS 前的一些疑惑 现在是 2016 年,使用 HTTPS 已经不像几年前是一件昂贵的事情。当然我也是自己了解了一圈才消除了自己的疑惑,主要是: 我的
HTTPS协议全解析:安全通信的基石
11-19
HTTPS协议全解析:安全通信的基石 在当前数字化时代,网络安全问题已成为全球关注的焦点。...随着网络技术的不断进步和网络安全威胁的演变,HTTPS协议将继续在保护网络通信安全方面发挥其核心作用。
通信工程安全生产管理办法.doc
11-23
《通信工程安全生产管理办法》是通信行业中确保工程项目安全实施的重要指导文件。该办法旨在通过系统性的管理,预防安全事故的发生,保障工作人员的生命安全和设备的完好。本文将深入解析该办法的主要内容。 首先,...
基于LTE的车联网无线通信技术 安全证书管理系统技术要求(报批稿).pdf
07-10
安全证书管理系统是指用于管理V2X通信安全证书的系统。该系统应具备以下技术要求: 1.证书申请:提供安全可靠的证书申请机制,确保证书的唯一性和安全性。 2.证书颁发:提供安全可靠的证书颁发机制,确保证书的合法...
One of the configured repositories failed 解决Centos 7.4 网易镜像 和阿里云yum源镜像无法更新错误
五菱包工头
07-01 3396
mv /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo_bak 1. Contact the upstream for the repository and get them to fix the problem. 2. Reconfigure the baseurl/etc. for the repository, to point to a working upstream. This is most oft...
下载 nginx 的时候遇见的问题
wowo
03-20 6312
错误: 无法验证 downloads.sourceforge.net 的由 “/C=US/O=Let’s Encrypt/CN=R3” 颁发的证书: 颁发的证书已经过期。 要以不安全的方式连接至 downloads.sourceforge.net,使用“–no-check-certificate”。 这是你大概是用的普通用户下载 解决方式 sudo yum install -y ca-certificates 这时需要保证普通用户有root权限 就先要切换root用户,chmod u+w /etc/s
阿里云使用(一)【证书服务】
极客神殿
03-10 2202
for Nginx安装证书文件说明: 1. 证书文件213997104800398.pem,包含两段内容,请不要删除任何一段内容。 2. 如果是证书系统创建的CSR,还包含:证书私钥文件213997104800398.key。 ( 1 ) 在Nginx的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,请将对应的私钥文件放到cert目录
CA系统的设计(CA证书生成,吊销,数字签名生成)
m0_62584974的博客
12-28 1294
本文阐述了CA系统系统概述,功能分析,和代码讲解
java SSL证书请求(需要处理器链 chain.pem和私钥privateKey.key)
月夜流心的博客
12-12 1046
首先安装openSSL环境,linux或者windows都可以。
系统添加根证书
u011238098的博客
01-26 1030
How to add CA to system root Reference KERIO Overview If you want to send or receive messages signed by root authorities and these authorities are not installed on the server, you must add a trusted root certificate manually. Use the following steps to
逐级验证签名的详细技术流程
最新发布
2301_81882590的博客
04-01 1198
text{验证通过} \iff \text{Decrypt}_{\text{CA公钥}}(\text{签名}) == \text{SHA256}(\text{TBSCertificate})\text{验证通过} \iff \text{Decrypt}_{\text{CA公钥}}(\text{签名}) == \text{SHA256}(\text{TBSCertificate})数字证书的信任链验证是PKI(公钥基础设施)的核心机制,其核心是通过。- 根CA = 公安部(签发身份证的标准机构)
Nginx 启用 OCSP Stapling的配置
很酷的站长的博客
12-11 761
OCSP 查询的本质,是一次完整的 HTTP 请求加响应的过程,这中间涵括的 DNS 查询、建立 TCP 连接、Web 端工作等步骤,都将耗费更多时间,使得建立 TLS 花费更多时长。经由 OCSP Stapling(OCSP 封套),Web 端将主动获取 OCSP 查询结果,并随证书一起发送给客户端,以此让客户端跳过自己去寻求验证的过程,提高 TLS 握手效率。中间证书和根证书,需要根据你的证书的 CA,去下载对应的证书。使用这个命令后,返回你的证书对应的 OCSP 服务地址。
Let's Encrypt免费申请HTTPS 证书
Do it Yourself
03-23 776
前提: 一、首先创建一个目录,存放临时生成的文件和生成的证书,例如: 二、创建帐号 三、创建CSR 四、配置验证服务 五、获取网站证书 六、指定账户私钥、CSR 以及验证目录,执行脚本: 七、下载中间证书 八、为了后续能顺利启用 OCSP Stapling,我们再把根证书和中间证书合在一起: 九、Nginx 配置 十、配置自动跟新脚本 十一、加入crontab实现定期执行 ...
"通信工程安全管理要求及预防措施
综上所述,通信工程安全管理是确保通信工程项目安全可靠的重要措施,要求将安全放在首位,预防为主,并从安全技术、安全教育和安全管理三个方面入手,制定相关的管理制度和安全要求,确保通信工程的安全生产。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值