openssl加密http网站过程1

最新推荐文章于 2023-10-27 11:44:02 发布
最新推荐文章于 2023-10-27 11:44:02 发布
阅读量199 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/510835
版权

服务端在配置HTTPS服务时,加上“HTTP Strict Transport Security”配置项


我们来一起说说HTTPS中间人攻击与证书校验

http://wzlinux.blog.51cto.com/8021085/1908856


公钥和私钥

私钥签名和解密,公钥加密,验证签名




1)、Message Digest commands(信息摘要算法也可以叫单向加密算法)

openssl dgst [-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1][-out filename] /path/to/somefile

openssl dgst -sha1 -out /a.cipher /a.txt

2)、Cipher commands(对称加密)

①公钥:public key,从私钥中提取产生,可公开给所有人。

②私钥:secret key,通过工具创建生成,由使用者自己留存,必须保证其私密性。


以下为DH算法的工作原理图

wKioL1lRyYvgQ2KDAAE7e1sKiMs504.jpg-wh_50

以下为更一般的描述:

  1. Alice生成随机自然数a、随机大质数p和原根g;

  2. Alice计算wKioL1jOIs7gyXH5AAAFNf0J5s8924.png,计算结果为A,并把p,g,A发送给Bob;

  3. Bob生成随机自然数b,根据Alice发过来的p,g,计算wKioL1jOI4Wh8OXKAAAFVEeI9AM149.png,计算结果为B;

  4. Bob把B发送给Alice,并计算wKioL1jOJE7zJJ2gAAAGyZMRBD8825.png,计算结果为K;而Alice计算wKiom1jOI9zhLVr_AAAG7iq8x5o001.png,计算结果也为K;

  5. Alice和Bob以K值作为密钥进行通信。


注意:在整个密钥协商过程中,p、g、wKioL1jOIs7gyXH5AAAFNf0J5s8924.pngwKioL1jOI4Wh8OXKAAAFVEeI9AM149.png的值是可以公开给攻击者的,而a,b,K值是不公开的。但即使攻击者知道wKioL1jOIs7gyXH5AAAFNf0J5s8924.png、p和g的值,也无法计算出a,同理,攻击者无法通过wKioL1jOI4Wh8OXKAAAFVEeI9AM149.png、g和g的值计算出b,更不用说计算出K值(最终Alice和Bob协商好的密钥)了。这个问题就是著名的离散对数问题。


openssl enc -base64 -a -salt -in /etc/passwd  -out /passwd.cipher

openssl enc -d -base64 -a -salt -in /passwd.cipher  -out /passwd

3)、证书(x509格式)

wKiom1lRyenz8XWeAAGDZebTaEI036.jpg-wh_50


openssl中有如下后缀名的文件

key格式:私有的密钥

csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写

crt格式:证书文件,certificate的缩写

crl格式:证书吊销列表,Certificate Revocation List的缩写

pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式

PKI:Public Key Infrastructure,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。

一个完整的PKI系统必须具有注册机构(RC)、权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书吊销系统(CRL)、端实体(API即应用接口)等基本构成部分。


创建目录,目录放置私钥文件、请求文件、证书文件

顺序:私钥-->公钥 请求文件-->核实 发放证书

私钥文件产生:#openssl genrsa 1024(钥匙长度)>私钥文件名

请求文件产生:#openssl req -new -key 私钥文件 -out 请求文件

证书产生:openssl ca -in 请求文件 -out 证书


加密和发送过程:

1、当发送方Alice有数据要发送给Bob时,为了确保数据能够完整地发送至Bob,首先需要使用单向加密算法去计算出这段要发送的数据的特征码;

2、为了便于Bob收到数据之后可验证身份,发送方Alice使用本地私钥加密这段特征码,并将加密后的特征码附加在数据后面;

3、为了确保通信过程是保密的,发送方Alice生成一个临时的对称密钥,并使用这个对称密钥加密整段数据;

4、发送方Alice获取Bob的公钥,再使用Bob的公钥加密来加密刚才生成的临时的对称密钥,并把加密后的对称密钥附加在整段加密数据后面,而后发送给Bob。


接收和解密过程:

接收和解密的过程和解密发送的过程刚好相反。

1、接收方Bob收到数据之后,先使用自己的私钥去解密这段加密过的对称密钥(由Alice生成);

2、接收方Bob用解密得到的对称密钥去解密整段(发送方用对称密钥)加密的内容;此时接收方Bob得到Alice发送给自己的数据和加密后的特征码;

3、接收方Bob用对方Alice的公钥去解密这段特征码,如果能解密出来,则发送方的身份得到验证(没错,就是Alice发送的);

4、接收方Bob再用同样的单向加密算法去计算这段数据的特征码,与解密得到的特征码进行比较,如果相同,则数据完整性得到验证,否则说明数据有可能被篡改或被破坏。


wKiom1lV2tOgjaUbAAfY9aWxmNw467.jpg



wKioL1lV2liy2Q99AAIIy2lLsN4704.jpg-wh_50

wKiom1lV2ljgMCrJAACSKg0fwNM449.jpg-wh_50

wKioL1lV2lmj8nmTAAA7_mCOxlY319.png-wh_50

wKiom1lV2lrTkXQuAAKWRwCylwU433.jpg-wh_50

wKiom1lV2lujfCqpAAOu4KxNWHQ128.jpg-wh_50



本文转自 liqius 51CTO博客,原文链接:http://blog.51cto.com/szgb17/1942308,如需转载请自行联系原作者

weixin_33971205
关注
使用OpenSSL自建一个HTTPS服务
Assassin
12-13 1742
1. 理论知识 1.1 什么是https 传统的 HTTP 协议以明文方式进行通信,不提供任何方式的数据加密,很容易被中间攻击者破解通信内容或者伪装成服务器与客户端通信,在安全性上存在很大问题。 HTTPS 协议是由 HTTP 加上 TLS/SSL 协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密,实现互联网传输安全保护。 关于非对称加密以及公钥私钥相关知识不在赘述,可自行了解。 PS: TLS 是传输层加密协议,前身是由网景公司1995年发
openssl加密http网站过程2
weixin_34355881的博客
11-28 155
所以https总共有两种加密方式。 https两种方式 1.白话Https 这种加密方式与openssl加密http网站过程1中加密方式不同 http://www.cnblogs.com/xinzhao/p/4949344.html 1.client 信息:客户端公钥,客户端会话密钥 使用服务器公钥加密 2.server 信息:服务器会话密钥 ...
openssl+http实现https
weixin_34348174的博客
10-22 1127
openssl详解及实现httpsopenssl详解及实现httpsOpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。秘钥算法和协议:对称加密加密和解密使用同一个密钥,原始数据分成固定大小块,算法不同 秘钥过多,秘钥分发困难 DES,3DES AES Blowfish T...
C++ socket访问HTTPOpenSSL访问HTTPS
03-27
本代码使用MFC方式实现了如下功能: 1> 原生socket POST访问HTTP站点。可成功登陆某站点; 2> 集成OpenSSL POST访问HTTPS站点。可成功登陆小米官网。 文件包内含有完整的,编译好的OpenSSL开发需要的头文件以及库文件等,可以方便的使用在您的项目中。
openssl命令、https 、http理解、公钥、私钥、CA证书】
最新发布
Answer的博客
10-27 223
服务端先去证书中心申请证书,数字签名是通过一些特定的hash算法计算得到的一串值,证书中心会将 服务端上传的网站信息、公钥加上证书中心添加的数字签名、证书信息组成证书,但是这些都写明文,故通过hash算法得到hash值,之后客户端收到证书后,用同样的hash的算法验证。如果A生成的密钥后,由A亲自将自己的公钥放在B的服务上就可以确定该公钥是A的,例如ssh,在访问github时候,一开始需要在自己的电脑上生成密钥对,之后将公钥放在github上,然后就可以通过ssh安全的push和pull,
openssl-engine-0.9.6l.tar.gz_ENGINE openssl_openssl加密解密
09-24
加密过程中,数据被转换成密文,解密则将密文恢复为原始数据。OpenSSL还提供了公钥加密机制,如RSA和DSA,它们基于非对称加密原理,用于密钥交换和数字签名。 在实际应用中,OpenSSL常用于SSL/TLS协议的实现,确保...
C语言使用openSSL库DES模块实现加密功能详解
12-31
在通讯过程中为了防止普通的玩家截取协议修改内容并且发送,我们是有必要对协议进行加密的。当前这样的加密手段都已经是变成世界里面的基础设施了。我们只需要将其引入到工程中就好。本文将会基于OpenSSL来编写一个...
ECC.rar_ecc_ecc 加密_openssl ecc_openssl ecc 加密_openssl ecc加密
09-19
**ECC加密过程:** 1. **密钥生成:**首先,选择一个合适的椭圆曲线并生成一对密钥,包括一个私钥(通常是一个大整数)和一个对应的公钥(由私钥乘以曲线上的基点得到的点)。 2. **加密:**发送方使用接收方的公钥...
php实现基于openssl加密解密方法
10-21
- 示例1中的openssl加密方法定义了一个名为encrypt的函数,该函数接收一个参数$id,然后对$id进行序列化,设置一个密钥$key和初始化向量$iv,最后使用openssl_encrypt进行加密并返回一个base64编码的JSON字符串。...
OpenSSL加密解密库
12-24
1. 加密算法:OpenSSL支持多种加密算法,如AES(高级加密标准)、DES(数据加密标准)、3DES(三重DES)、Blowfish、RC4等,这些算法在网络安全中广泛用于数据保护。 2. 公钥基础设施(PKI):OpenSSL提供了RSA、...
使用nginx以及openssl实现https转http
aaaaa2428572的博客
08-20 456
解决方案: 在对工程升级访问协议的时候,其实可以通过代理或者对tomcat进行配置,我是通过tomcat进行设置,通过jdk 生成证书,步骤如下: 使用keytool命令生成证书tomcat.keystore keytool -genkey -v -alias tomcat -keyalg RSA -keystore tomcat.keystore -validity 36500 *注意:*最后一步的输入tomcat密钥口令一定要和第一步输入的密码一致,不然tomcat启动就报错 出现的问题: 在请求
win如何使用OpenSSL生成自签名证书,使 http 升级为 https
guigenyi的专栏
06-27 1万+
HTTPS其实就是HTTP over SSL,也就是让HTTP连接建立在SSL安全连接之上。创建自签名证书需要安装openssl。参考本文安装OpenSSL部分。使用OpenSSL生成自签名证书的步骤:参考本文使用OpenSSL生成自签名证书部分。创建私钥Key(.key文件);创建签名请求(.csr文件);将Key中的密码;用Key签名证书(.key+.csr=>.crt)为HTTPS准备的证书需要注意,创建的签名请求的CN必须与域名完全一致,否则无法通过浏览器验证。
Linux命令之openssl命令
月生的静心苑
10-25 1万+
openssl是一个功能极其强大的命令行工具,可以用来完成公钥体系(Public Key Infrastructure)及HTTPS相关的很多任务。openssl是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。   openssl有两种运行模式:交互模式和批处理模式。...
http系列---OpenSSL生成根证书CA及签发子证书
lipviolet的博客
11-02 1万+
系统:CentOS7 32位 目标:使用OpenSSL生成一个CA根证书,并用这个根证书颁发两个子证书server和client。 先确保系统中安装了OpenSSL,若没安装,可以通过以下命令安装: sudo yum install openssl 修改OpenSSL的配置 安装好之后,定位一下OpenSSL的配置文件openssl.cnf: locate openssl.cnf 如图,我这里的目录是/etc/pki/tls/openssl.cnf。 修改配置文件,修改其中的dir变量,重新设置SSL
HTTPS是大势所趋?看腾讯专家通过Epoll+OpenSSL在高并发压测机器人中支持https
wetest_tencent的博客
12-01 5305
WeTest 导读用epoll编写一个高并发网络程序是很常见的任务,但在epoll中加入ssl层的支持则是一个不常见的场景。腾讯WeTest服务器压力测产品,在用户反馈中收到了不少支持https协议的请求。基于此,本文介绍了在基于epoll的高并发机器人框架中加入openssl,实现对https支持时的基本实现思路。一、背景2014年,谷歌在其官方博客中发布公告称,为了打造更安全的互联网环境,谷歌搜
https openssl http2
weixin_34357887的博客
03-21 456
2018-3-21 10:27:45 星期三 参考: 对https, http2的解释 总结: 生成自有证书(非第三方证书颁发公司) 我使用的是gitbash工具, 命令为: $ openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout example.key -out example.crt 接下来会提问一堆问题: ...
HTTPHTTPS—使用OpenSSL创建自签名SSL证书以及Tomcat配置SSL证书实战
麦克劳林
12-05 1300
HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。它是一个URI scheme(抽象标识符体系),句法类同http:体系,用于安全的HTTP数据传输。https:URL表明它使用了HTTPS,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。
基于opensslhttps client例子
jun2016425的博客
12-17 9389
因为微信公众获取access_token需要用到https,开始用http请求的时候发现不行查了之后, 发现它是需要https方式访问的.因为这方面的资料感觉有点少这里就再写一下,我也是参照大神的: 只是想多一个链接让多 一点人知道而已:#include <sys/socket.h> #include <sys/types.h> #include <netinet/in.h> #include
linux安装nginx并设置https(openssl
热门推荐
码客 卢益贵 ygluu
12-06 2万+
一、安装依赖包 1.$sudo apt-get install openssl    或者$sudo apt-get install libssl-dev 2.$sudo apt-get install libpcre3 libpcre3-dev 二、安装nginx 1.$cd /usr/local/src 2.sudo wget http://nginx.org/download
使用OpenSSL AES加密文件的ECB模式实践
主要涉及的知识点包括:AES加密、ECB模式、openssl库的使用、EVP_CIPHER_CTX结构体以及加密过程的基本步骤。" 在加密领域,AES(Advanced Encryption Standard)是一种广泛使用的对称加密算法,提供强安全性,适用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值