在 一次简单的通讯 中提到http是用明文进行传递的,如果在中途被人截获了,传输的内容很容易被人修改掉,而通讯的客户端和服务器都不知道信息的准确性。有人可能会说,在http的传输过程中人为的添加加密方法,但是这也不一定就有比较高的安全性,一来浏览器只解读明文,二来如果不是使用浏览器进行展示的信息,密钥会存在客户端中,很容易被人拿到。
而https就不一样,他使用了一次非对称加密和一次对称加密,能够完全避开http中的安全问题。
HTTPS加密过程
下面我们就简单看下HTTPS的加密过程,先看下图。
客户端发起HTTPS请求 这个没什么好说的,就是用户在浏览器里输入一个HTTPS网址,然后连接到服务端的443端口。服务端的配置 采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面。这套证书其实就是一对公钥和私钥。如果对公钥不太理解,可以想象成一把钥匙和一个锁头,只是世界上只有你一个人有这把钥匙,你可以把锁头给别人,别人可以用这个锁把重要的东西锁起来,然后发给你,因为只有你一个人有这把钥匙,所以只有你才能看到被这把锁锁起来的东西。传送证书 这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等等。客户端解析证书 这部分工作是由客户端的SSL/TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警示框,提示证书存在的问题。如果证书没有问题,那么就生成一个随机值。然后用证书(也就是公钥)对这个随机值进行加密。就好像上面说的,把随机值用锁头锁起来,这样除非有钥匙,不然看不到被锁住的内容。传送加密信息 这部分传送的是用证书加密后的随机值,目的是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。服务端解密信息 服务端用私钥解密后,得到了客户端传过来的随机值,然后把内容通过该随机值进行对称加密,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。传输加密后的信息 这部分信息就是服务端用私钥加密后的信息,可以在客户端用随机值解密还原。客户端解密信息 客户端用之前生产的私钥解密服务端传过来的信息,于是获取了解密后的内容。整个过程第三方即使监听到了数据,也束手无策。
到了这里,HTTPS的整个加密过程也就差不多完成了,但是这个过程中是不是还有些概念还是不太清楚,比如SSL是什么,TLS又是什么,他们是怎么验证我们的证书是否有效的呢,它们的验证策略又是怎样的呢。别急,下面我们就讨论下TLS。
为网站配置https
通过对网站的配置,可以更进一步的了解https的过程。通常我们可以在阿里云中申请到免费的https证书,在申请https证书的时候,要验证你是域名的持有者,验证的方式比较都要,一种方式是给你一个文件让你放到自己的域名下,阿里云回去验证。当验证通过以后,他会去CA认证中心为我们签发文件,会给我们两个文件,一个是证书一个是key。把证书和key放在nginx的配置文件下。
当我们访问这个网站的时候,浏览器会去这个域名下的获取证书,而浏览器本身有用CA证书中心,他可以验证你这个证书是不是他颁发给你的,如果验证不是他颁发的,会显示不安全。如果像http中一样,信息被劫持了,他是没办法通过验证的,因为证书在我自己的服务器上。
在windows上可以使用 certMgr.msc 来参看windows底下有多少多少根证书。
自建CA证书及签发证书
如何自建CA证书和签发证书,可以参考 https://www.cnblogs.com/dreamingodd/p/7357029.html, 里面已经讲得比较详细了,需要记住的是签发的网站必须和自建的网站是一样的,不然还是会验证失败。
更多教程:http://www.go2coding.com/
原创文章,作者:共创,如若转载,请注明出处:https://www.sudun.com/ask/95018.html
