https、ssl、tls协议学习

作者: wilsonchai | 来源:发表于2019-02-21 09:50 被阅读1次

    一、知识准备

    1.ssl协议:通过认证、数字签名确保完整性;使用加密确保私密性;确保客户端和服务器之间的通讯安全
    2.tls协议:在SSL的基础上新增了诸多的功能,它们之间协议工作方式一样
    3.https协议:https over tls,tls协议是https协议的核心

    名词介绍:
    CA:Certificate Authority,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构
    对称加密:加密和解密使用相同密钥的加密算法。它的速度快,通常在加密大量数据时使用
    非对称加密:需要两个密钥来进行加密和解密,公钥与私钥。公钥加密的只能用私钥解密,反之私钥加密的也只能用公钥解密。通常用于重要信息的安全传输,缺点是速度比对称加密慢很多

    二、tls通信过程

    废话不说,我们先上tls通信过程

    (1)客户端-->服务端:协商协议版本、加密方案、压缩方法等;生成一个随机数,用于之后生成会话秘钥
    (2)服务端-->客户端:确认协商信息;生成一个随机数,用于之后生成会话秘钥;发送证书到客户端
    (3)客户端-->服务端:生成一个随机数,用于之后生成会话秘钥;验证自己收到的证书是否为合法的证书;若证书没问题,则会从证书中取出公钥,加密最后一个随机数发送给服务端;然后使用产生的3个随机数生成会话秘钥,并且宣布用会话秘钥来进行加密通信(会话秘钥是对称加密)
    (4)服务端:收到被公钥加密的最后的随机数,然后用私钥解开之后再加上之前的2个随机数,产生会话秘钥
    (5)至此,双方都已经拥有会话秘钥,并且用该会话秘钥进行随后的加密通信

    这就是整个通信过程,本文结束了吗?显然没有,我们还有几个问题没有解决

    三、tls通信中需要解决的问题

    (a)客户端从服务端收到的证书,是真实的证书,还是黑客伪装的证书
    (b)私钥是不能公布的,公钥是发布出去大家都知道的,那用什么秘钥去加密

    下面我们来一一解决这些问题:

    问题(a)

    要说清楚客户端怎么验证证书,要先弄明白证书是什么

    ● 证书内容:如发行机构、有效期、公司信息等  
    ● 摘要:证书内容等经过hash之后生成摘要  
    ● 数字签名:CA使用私钥对摘要,加密之后生成签名  
    ● 数字证书主要由证书内容、公钥、数字签名、使用的hash算法等组成  
    
    certificate.png

    证书验证分为真实性验证与有效性验证:

    真实性验证:
    ● 通过内置根证书的公钥对数字签名解密,得到一个hash值,这个hash值就是摘要
    ● 使用证书内的hash算法将证书内容进行hash之后得到一个hash值,用这个新的hash值与上一步的hash值进行对比
    ● 若相同,证明证书真实有效,若不同,则证明被串改过
    
    有效性验证:
    ● CRL。CA会提供一份证书失效名单,浏览器会缓存并定期更新该名单。
    ● OCSP。CA提供实时接口查询
    

    还有个问题需要解释一下:

    关于数字签名中,CA使用的私钥的问题

    ● CA也会生成一对私钥、公钥,私钥对用户证书进行加密
    ● 而公钥会内置在操作系统的安装当中成为系统默认的根证书
    ● 在真实性验证中,客户端使用内置根证书中的公钥对用户的证书进行解密
    

    至此,关于证书验证的问题大致描述到此

    问题(b)

    完成证书验证之后

    ● 在tls通信过程中(1)、(2)分别生成了2个随机数,这两个随机数是没有加密传递
    ● 在tls通信过程中(3)又生成了1个随机数,这个随机数会被公钥加密之后,只能被服务端的私钥解密
    ● 所以,第三个随机数是安全的,没有被泄露的,通过这3个随机数使用对称加密算法生成会话秘钥
    ● 之后的数据传输都会使用会话秘钥进行加密
    ● 由于会话秘钥是对称加密,它的加密解密速度都大大超过非对称秘钥
    

    四、自签根证书测试

    自签根证书的帖子网上的大神很多,我就不班门弄斧了

    经过一顿猛如虎的操作之后,我手里面拿到了这几个文件:

    root@k8s-node2:/opt/CA/certs# ls -l
    total 20
    -rw-r--r-- 1 root root 1448 Oct 26 10:14 ca.crt
    -rw------- 1 root root 1854 Oct 26 10:14 ca.key
    -rw-r--r-- 1 root root 4493 Oct 26 10:14 server.crt
    -rw------- 1 root root 1675 Oct 26 10:14 server.key
    
    ca.crt:自签的根证书
    ca.key:根证书对应的私钥
    server.crt:服务器证书
    server.key:服务器证书对应的私钥
    

    我们部署一个nginx,并且配置ssl

    server {
       listen   443 ssl;
       server_name www.mrvolleyball.com;
    
       ssl_certificate /etc/nginx/cert/server.crt;
       ssl_certificate_key  /etc/nginx/cert/server.key;
    
       location / {
           root html;
       }
    }
    

    首先来访问一下nginx:

    web_http.png

    不出所料,证书是不受信任的,接下来我们在系统中信任自签的根证书

    root.png root_trust.png

    再次打开

    web_https.png

    至此,本文结束
    在下才疏学浅,有撒汤漏水的,请各位不吝赐教...

    相关文章

      网友评论

        本文标题:https、ssl、tls协议学习

        本文链接:https://www.haomeiwen.com/subject/mkglyqtx.html