SSL/TLS 双向认证(一) -- SSL/TLS工作原理

最新推荐文章于 2024-05-28 17:22:23 发布
最新推荐文章于 2024-05-28 17:22:23 发布
阅读量6.8k 收藏 31
点赞数 4
分类专栏: SSL/TLS ESP8266 文章标签: TLS SSL CA SSL原理 双向认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuliganggang/article/details/78428866
版权

本文部分参考:
https://www.wosign.com/faq/faq2016-0309-03.htm
https://www.wosign.com/faq/faq2016-0309-04.htm
http://blog.csdn.net/hherima/article/details/52469674

一: SSL/TLS介绍

什么是SSL,什么是TLS呢?官话说SSL是安全套接层(secure sockets layer),TLS是SSL的继任者,叫传输层安全(transport layer security)。说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。它的发展依次经历了下面几个时期,像手机软件升级一样,每次更新都添加或去除功能,比如引进新的加密算法,修改握手方式等。
SSL1.0: 已废除
SSL2.0: RFC6176,已废除
SSL3.0: RFC6101,基本废除
TLS1.0: RFC2246,目前大都采用此种方式
TLS1.1: RFC4346
TLS1.2: RFC5246,没有广泛使用
TLS1.3: IETF正在酝酿中
下面我们将介绍TLS1.x 如何保证通讯安全。

二: CA & SSL Server & SSL Client 介绍

如何保证安全呢?你说安全就安全吗,究竟是怎么实现的呢?绝对安全吗?
哈,有人的地方就有江湖,有江湖的地方就没有绝对的安全。但SSL/TLS确实可以极大程度保证信息安全。下面根据图一 SSL/TLS 工作流来一览实现过程。

2.1 SSL/TLS 工作流

SSL workflow

图一 SSL/TLS 工作流

CA: 证书授权中心( certificate authority)。 它呢,类似于国家出入境管理处一样,给别人颁发护照;也类似于国家工商管理局一样,给公司企业颁发营业执照。
它有两大主要性质:
1) CA本身是受信任的 // 国际认可的
2) 给他受信任的申请对象颁发证书 // 和办理护照一样,要确定你的合法身份,你不能是犯罪分子或造反派。当然,你需要被收保护费,同时,CA可以随时吊销你的证书。
证书长啥样?其实你的电脑中有一堆CA证书。你可以看一看嘛:
360浏览器: 选项/设置-> 高级设置 -> 隐私于安全 -> 管理 HTTPS/SSL 证书 -> 证书颁发机构
火狐浏览器: 首选项 -> 高级 -> 证书 -> 查看证书 -> 证书机构
chrome浏览器: 设置 -> 高级 -> 管理证书 -> 授权中心
ubuntu: /etc/ssl/certs
这些都是 CA 的证书!

CA 的证书 ca.crt 和 SSL Server的证书 server.crt 是什么关系呢?
1) SSL Server 自己生成一个 私钥/公钥对。server.key/server.pub // 私钥加密,公钥解密!
2) server.pub 生成一个请求文件 server.req. 请求文件中包含有 server 的一些信息,如域名/申请者/公钥等。
3) server 将请求文件 server.req 递交给 CA,CA验明正身后,将用 ca.key和请求文件加密生成 server.crt
4) 由于 ca.key 和 ca.crt 是一对, 于是 ca.crt 可以解密 server.crt.
在实际应用中:如果 SSL Client 想要校验 SSL server.那么 SSL server 必须要将他的证书 server.crt 传给 client.然后 client 用 ca.crt 去校验 server.crt 的合法性。如果是一个钓鱼网站,那么CA是不会给他颁发合法server.crt证书的,这样client 用ca.crt去校验,就会失败。比如浏览器作为一个 client,你想访问合法的淘宝网站https://www.taobao.com, 结果不慎访问到 https://wwww.jiataobao.com ,那么浏览器将会检验到这个假淘宝钓鱼网站的非法性,提醒用户不要继续访问!这样就可以保证了client的所有https访问都是安全的。

2.2 单向认证双向认证

何为SSL/TLS单向认证,双向认证?
单向认证指的是只有一个对象校验对端的证书合法性。
通常都是client来校验服务器的合法性。那么client需要一个ca.crt,服务器需要server.crt,server.key
双向认证指的是相互校验,服务器需要校验每个client,client也需要校验服务器。
server 需要 server.key 、server.crt 、ca.crt
client 需要 client.key 、client.crt 、ca.crt

2.3 证书详细工作流

证书工作流

图二 证书详细工作流

1)申请认证:服务器需自己生成公钥私钥对pub_svr & pri_svr,同时根据 pri_svr 生成请求文件 csr,提交给CA,csr中含有公钥、组织信息、个人信息(域名)等信息。(图一中server.req就是csr请求文件)
2)审核信息:CA通过线上、线下等多种手段验证申请者提供信息的真实性,如组织是否存在、企业是否合法,是否拥有域名的所有权等。
3)签发证书:如信息审核通过,CA会向申请者签发认证文件-证书。
证书包含以下信息:申请者公钥、申请者的组织信息和个人信息、签发机构
最低0.47元/天 解锁文章
河豚鱼
关注
  • 4
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLSCA证书申请流程
阿里云专家博主,51CTO专家博主、2022年博客之星Top96,嵌入式与物联网赛道Top2
12-04 2889
TLSCA证书申请流程
SSL双向认证与单向认证
m0_51514815的博客
05-29 4717
参考:https://www.cnblogs.com/bluestorm/p/10571989.html整理双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书。
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1472
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
ssl双向认证_详解TLS/SSL运行机制
weixin_39827850的博客
12-08 455
TLS传输层安全性协议(Transport Layer Security)及其前身SSL安全套接层(Secure Sockets Layer)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障,TLS/SSL协议位于网络OSI七层模型的会话层,用来加密通信。TLS/SSL握手过程 第一步,客户端(Client)以明文的形式发起请求信息(client_hello),其中信息包含; 客户端生...
ssl认证、证书】TLS/SSL双向认证概念、openssl genrsa/x509 示例、证书内容
m0_45406092的博客
02-08 3143
ssl
SSL/TLS Cipher Suites
顺其自然~专栏
02-25 3235
Cipher Suite 一个加密算法套件(CipherSuite)是一个四件套,由各类基础的加密算法组成,主要包含了四类: Key Exchange 密钥交换算法; Authentication 身份认证算法; Encryption 对称加密算法; Message Authentication Code 消息认证码算法(信息摘要缩放); 密钥交换算法 顾名思义,该算法用来交换秘钥。 SSL 通信过程(握手结束后)中,双方使用的是对称加密的方式 。由于通信双方以前并不知道彼此的存在,它们也
JAVA实现的SSL/TLS双向认证源代码
02-02
本篇将深入探讨如何使用Java实现SSL/TLS双向认证,以及涉及到的相关工具和步骤。 首先,让我们理解什么是SSL/TLS双向认证。通常,SSL/TLS连接采用单向认证,即服务器验证客户端的身份,而客户端不需要验证服务器。...
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
netty实现SSL/TSL双向加密认证示例
09-21
通过对这些代码的分析和学习,可以更好地理解 Netty 中的 SSL/TLS 双向认证工作原理。 总结,Netty 提供了强大而灵活的工具来实现 SSL/TLS 安全通信,包括双向认证。通过正确配置 `SslContext`、处理通道处理器和...
JSSLTrace - a SSL/TLS Interceptor:基于Java的SSL / TLS协议拦截器-开源
05-08
Jssltrace是一个基于Java的工具,它使用户可以截获两个程序之间基于ssl的通信。 Jssltrace在本质上与tcptrace(http://www.pocketsoap.com/tcptrace)的工作方式相同,这是它的主要灵感。
https单向认证双向认证区别
aaaa111111222的博客
03-22 676
关于证书 1、每个人都可以使用一些证书生成工具为自己的https站点生成证书(比如jdk的keytool),大家称它为“自签名证书”,但是自己生成的证书是不被互联网承认的,所以浏览器会报安全提示,要求你手动安装证书。只有通过权威的CA机构付费获得的证书才能被互联网承认(有点类似于根域服务器的权威机构)。 2、证书(无客户端服务端之分)保存着ip信息、证书过期时间、证书所有者地址信息等...
jsch API文档
05-11
jsch_APIchm.rar
HTTPS SSL/TLS问题及解决方法汇总
ahducheng的博客
03-13 4940
之前处理过很多ThreadX平台及安卓平台上的SSL问题。 SSL问题几乎都和握手失败有关,大致分为四种: 1.客户端没有与服务器相匹配的加密套件,以及SSL版本不匹配。 2.SSL证书错误。 3.网络链路问题。 4.其他问题。 这时使用wireshark抓取网络报文就显得很重要了。 下面列出的是使用PC模拟以上问题情况的报文: 正常报文: PC端命令:openssl s_...
gRPC 的 SSL/TLS 加密认证
qq_46457076的博客
02-16 1518
关于 gRPC 的 SSL/TLS 加密认证介绍!
深入浅出:HTTPS单向与双向认证及证书解析20231208
Narutolxy的博客
12-08 2957
网络安全的核心之一是了解和实施HTTPS认证。本文将探讨HTTPS单向认证双向认证的区别,以及SSL证书和CA证书在这些过程中的作用,并通过Nginx配置实例具体说明。
简述TLS/SSL工作原理
大剑师兰特的GIS世界
04-03 888
TLS/SSL(Transport Layer Security / Secure Sockets Layer)协议的主要工作原理是为了在网络上实现安全的通信,确保数据的机密性、完整性和身份验证。
JSchException: Algorithm negotiation fail
逍遥大俠
10-01 4283
背景 一个需求功能用到了SFTP文件上传的功能,使用的是之前封装好的工具类。 生产环境突然出现了问题,一直报错 com.jcraft.jsch.JSchException: Algorithm negotiation fail at com.jcraft.jsch.Session.receive_kexinit(Session.java:583) ~[jsch-0.1.51.jar:na] at com.jcraft.jsch.Session.connect(Session.
解决Cipher Suites导致的“未能创建 SSL/TLS 安全通道”异常问题
YongMa的博客
09-26 5923
故障描述 昨天晚上在生产环境的某台计算机遇到了访问第三方应用报“未能创建 SSL/TLS 安全通道”的异常。开发的同事重新写了两个命令控制台程序(.net framework 4.5 和 .netcore 3.1),问题可以100%重现。同样的代码在本地或者其它服务器上运行,可以正常使用。更为奇怪的是,同事使用 curl 工具或者 Python写的测试代码竟然都可以正常运行。 环境描述 操作系统: windows server 2016 Datecenter (Azure标准镜像) Host: C.
SSL/TLS工作原理
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
11-10 1014
HTTPS 之所以能达到较高的安全性要求,就是结合了 SSL/TLS 和 TCP 协议,对通信数据进行加密,解决了 HTTP 数据透明的问题。接下来重点介绍一下 SSL/TLS工作原理
TLS_introduct.docx
04-21
通过SSL/TLS工作原理双向认证的过程,可以确保客户端和服务器之间建立安全可靠的连接,防止数据泄露和篡改。同时,CA证书颁发机构的参与也是确保证书的有效性和合法性,加强了网络通讯的安全性。在今后的网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值