發(fā)表日期:2018-12 文章編輯:小燈 瀏覽次數:2284
引言
使用HTTP(超文本傳輸)協(xié)議訪問互聯網上的數據是沒有經過加密的。也就是說,任何人都可以通過適當的工具攔截或者監(jiān)聽到在網絡上傳輸的數據流。但是有時候,我們需要在網絡上傳輸一些安全性或者私秘性的數據,譬如:包含信用卡及商品信息的電子訂單。這個時候,如果仍然使用HTTP協(xié)議,勢必會面臨非常大的風險!相信沒有人能接受自己的信用卡號在互聯網上裸奔。
HTTPS(超文本傳輸安全)協(xié)議無疑可以有效的解決這一問題。所謂HTTPS,其實就是HTTP和SSL/TLS的組合,用以提供加密通訊及對網絡服務器的身份鑒定。HTTPS的主要思想是在不安全的網絡上創(chuàng)建一安全信道,防止黑客的竊聽和攻擊。
SSL(安全套接層)可以用來對Web服務器和客戶端之間的數據流進行加密。
SSL利用非對稱密碼技術進行數據加密。加密過程中使用到兩個秘鑰:一個公鑰和一個與之對應的私鑰。使用公鑰加密的數據,只能用與之對應的私鑰解密;而使用私鑰加密的數據,也只能用與之對應的公鑰解密。因此,如果在網絡上傳輸的消息或數據流是被服務器的私鑰加密的,則只能使用與其對應的公鑰解密,從而可以保證客戶端與與服務器之間的數據安全。
數字證書(Certificate)
在HTTPS的傳輸過程中,有一個非常關鍵的角色——數字證書,那什么是數字證書?又有什么作用呢?
所謂數字證書,是一種用于電腦的身份識別機制。由數字證書頒發(fā)機構(CA)對使用私鑰創(chuàng)建的簽名請求文件做的簽名(蓋章),表示CA結構對證書持有者的認可。數字證書擁有以下幾個優(yōu)點:
使用數字證書能夠提高用戶的可信度
數字證書中的公鑰,能夠與服務端的私鑰配對使用,實現數據傳輸過程中的加密和解密
在證認使用者身份期間,使用者的敏感個人數據并不會被傳輸至證書持有者的網絡系統(tǒng)上
X.509證書包含三個文件:key,csr,crt。
key是服務器上的私鑰文件,用于對發(fā)送給客戶端數據的加密,以及對從客戶端接收到數據的解密
csr是證書簽名請求文件,用于提交給證書頒發(fā)機構(CA)對證書簽名
crt是由證書頒發(fā)機構(CA)簽名后的證書,或者是開發(fā)者自簽名的證書,包含證書持有人的信息,持有人的公鑰,以及簽署者的簽名等信息
備注:在密碼學中,X.509是一個標準,規(guī)范了公開秘鑰認證、證書吊銷列表、授權憑證、憑證路徑驗證算法等。
創(chuàng)建自簽名證書的步驟
注意:以下步驟僅用于配置內部使用或測試需要的SSL證書。
第1步:生成私鑰
使用openssl工具生成一個RSA私鑰
1$?openssl?genrsa?-des3?-out?server.key?2048
說明:生成rsa私鑰,des3算法,2048位強度,server.key是秘鑰文件名。
注意:生成私鑰,需要提供一個至少4位的密碼。
第2步:生成CSR(證書簽名請求)
生成私鑰之后,便可以創(chuàng)建csr文件了。
此時可以有兩種選擇。理想情況下,可以將證書發(fā)送給證書頒發(fā)機構(CA),CA驗證過請求者的身份之后,會出具簽名證書(很貴)。另外,如果只是內部或者測試需求,也可以使用OpenSSL實現自簽名,具體操作如下:
1$?openssl?req?-new?-key?server.key?-out?server.csr
說明:需要依次輸入國家,地區(qū),城市,組織,組織單位,Common Name和Email。其中Common Name,可以寫自己的名字或者域名,如果要支持https,Common Name應該與域名保持一致,否則會引起瀏覽器警告。
1
2
3
4
5
6
7
Country?Name?(2?letter?code)?[AU]:CN
State?or?Province?Name?(full?name)?[Some-State]:Beijing
Locality?Name?(eg,?city)?[]:Beijing
Organization?Name?(eg,?company)?[Internet?Widgits?Pty?Ltd]:joyios
Organizational?Unit?Name?(eg,?section)?[]:info?technology
Common?Name?(e.g.?server?FQDN?or?YOUR?name)?[]:demo.joyios.com
Email?Address?[]:liufan@joyios.com
第3步:刪除私鑰中的密碼
在第1步創(chuàng)建私鑰的過程中,由于必須要指定一個密碼。而這個密碼會帶來一個副作用,那就是在每次Apache啟動Web服務器時,都會要求輸入密碼,這顯然非常不方便。要刪除私鑰中的密碼,操作如下:
1
2
cp?server.key?server.key.org
openssl?rsa?-in?server.key.org?-out?server.key
第4步:生成自簽名證書
如果你不想花錢讓CA簽名,或者只是測試SSL的具體實現。那么,現在便可以著手生成一個自簽名的證書了。
需要注意的是,在使用自簽名的臨時證書時,瀏覽器會提示證書的頒發(fā)機構是未知的。
1$?openssl?x509?-req?-days?365?-in?server.csr?-signkey?server.key?-out?server.crt
說明:crt上有證書持有人的信息,持有人的公鑰,以及簽署者的簽名等信息。當用戶安裝了證書之后,便意味著信任了這份證書,同時擁有了其中的公鑰。證書上會說明用途,例如服務器認證,客戶端認證,或者簽署其他證書。當系統(tǒng)收到一份新的證書的時候,證書會說明,是由誰簽署的。如果這個簽署者確實可以簽署其他證書,并且收到證書上的簽名和簽署者的公鑰可以對上的時候,系統(tǒng)就自動信任新的證書。
第5步:安裝私鑰和證書
將私鑰和證書文件復制到Apache的配置目錄下即可,在Mac 10.10系統(tǒng)中,復制到/etc/apache2/目錄中即可。
日期:2018-04 瀏覽次數:6776
日期:2017-02 瀏覽次數:3451
日期:2017-09 瀏覽次數:3676
日期:2017-12 瀏覽次數:3544
日期:2018-12 瀏覽次數:4842
日期:2016-12 瀏覽次數:4594
日期:2017-07 瀏覽次數:13659
日期:2017-12 瀏覽次數:3522
日期:2018-06 瀏覽次數:4279
日期:2018-05 瀏覽次數:4456
日期:2017-12 瀏覽次數:3569
日期:2017-06 瀏覽次數:3995
日期:2018-01 瀏覽次數:3958
日期:2016-12 瀏覽次數:3923
日期:2018-08 瀏覽次數:4441
日期:2017-12 瀏覽次數:3730
日期:2016-09 瀏覽次數:6444
日期:2018-07 瀏覽次數:3221
日期:2016-12 瀏覽次數:3241
日期:2018-10 瀏覽次數:3392
日期:2018-10 瀏覽次數:3502
日期:2018-09 瀏覽次數:3592
日期:2018-02 瀏覽次數:3611
日期:2015-05 瀏覽次數:3537
日期:2018-09 瀏覽次數:3318
日期:2018-06 瀏覽次數:3447
日期:2017-02 瀏覽次數:3884
日期:2018-02 瀏覽次數:4347
日期:2018-02 瀏覽次數:4191
日期:2016-12 瀏覽次數:3587
Copyright ? 2013-2018 Tadeng NetWork Technology Co., LTD. All Rights Reserved.