SSL:Secure Socket Layer安全的套介子层


SSL会话的建立是基于IP地址实现的;
SSL 协议的验证的具体过程
SSL 的握手协议让客户和服务器之间完成相互之间的身份认证,其主要过程如下:
1.浏览器发送一个连接请求给安全服务器。
2. 服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。证书中包括标识、公钥、发证机关、防伪标识;
3. 客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。
4.用户端随机产生一个用于后面通讯的“对称密码”K,然后用服务器的公钥对其加密,然后将加密后的“密码”传给服务器。
5. 如果服务器要求客户的身份认证,用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“密码”一起传给服务器。
6.服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。
7.客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤6中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。
8.服务器向客户端发出信息,指明后面的数据通讯将使用的步骤6中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。
9.SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。

SSL的安装:
前提环境:一个作为宿主机的Linux;本文使用的是Redhat Enterprise Linux 5.8;
用yum -y install mod_ssl这个命令安装SSL这样就安装好了。
然后去实现上面的叙述的功能,
打开ssl的配置文件ssl.conf在这个里面启动跟虚拟机的会话功能。添加内容如下:
DocumentRoot "/web/site1"
ServerName www.magedu.com:443

去/etc/pki/CA目录下生产CA的私钥,建立CA之前先去修改CA的配置文件openssl.cnf.
首先CA的目录dir修改为dir=/etc/pki/CA
然后修改如下的内容:

保存退出

现在生成密钥用命令(umask 077; openssl genrsa 2048 > private/cakey.pem)
查看是否保存到cakey.pem这个文件中,用命令ls private查看,用命令ls -l private查看权限是否600

生产自签证书用命令 openssl req -new -x509 -days 3650 -key private/cakey.pem -out cacert.pem 内容如下:

这里生成的是CA的证书

现在生产CA的运行环境:
用命令mkdir certs newcerts crl
创建两个目录用命令 touch index.txt serial
因为serial需要起始号码所以用命令 echo 01 > serial
然后用ll命令查看一下生成的哪些东西
这样CA就建立好了现在能给WEB服务器发证。

去/etc/httpd/conf目录下给http生产密钥,颁发证书的请求以及让CA的给http签一下证书
先创建专门保存的一个目录命令: mkdir ssl,然后到这个目录下
生产密钥,命令:(umask 077; openssl genrsa 1024 > httpd.key)并且保存着httpd.key这个密钥文件中
生证书颁发申请请求,命令:openssl req -new -key httpd.key -out httpd.csr内容如下:

这里一定要跟浏览器输入的名称保持一制,这样就完成了。

签证书:
命令:openssl ca -in httpd.cgr -out httpd.crt
然后出现这个显示:1 out of 1 certificate requests certifed,commit?[y|n] y
这是表示是不是要给它颁发证书,y表示yes,n表示no

现在去编译修改这个文件ssl.conf内容把证书和密钥写进去:

检查语法httpd -t,没有错就重启一下service httpd restart.

在浏览器中输入http://mageud.com访问一下看成功否
在输入:https://magedu.com访问一下
会弹出这个窗口,虽然有CA发证但是需要我们的信任,所以的的把这个证书放入电脑中才行

然后在在浏览器中输入https://magedu.com访问一下,你可以查看证书的信息