1 常用术语
1.1 HTTPS
HTTPS = HTTP + TLS/SSL
1.2 TLS/SSL
SSL:Secure Sockers Layer,安全套接层
TLS:标准化之后的SSL
1.3 TLS
提供隐私和数据两个通信实体之前的完整性。由两层组成:TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake)。
1.4 单向认证 vs 双向认证
SSL的核心在于提供安全可信的通讯。实际应用中,通常有单向认证和双向认证两种实现方式。
1.4.1 SSL单向认证
1 客户端:发送客户端SSL版本信息等
2 服务端:返回SSL版本信息等及服务器公钥
3 客户端:校验证书是否合法,验证证书是否过期、CA是否可靠等
4 客户端:发送对称加密方案给服务端
5 服务端:选择加密方式
6 服务端:将加密方案明文发送给客户端
7 客户端:产生随机码,生成对称加密密钥,使用服务端公钥加密,发送服务端
8 服务端:使用私钥解密,获得对称加密密钥
9 握手结束,对称加密,安全通信
1.4.2 SSL双向认证
1 客户端:发送客户端SSL版本信息等
2 服务端:返回SSL版本信息等及服务器公钥
3 客户端:校验证书是否合法
4 客户端:将自己的证书和公钥发送至服务端
5 服务端:校验客户端证书,获得客户端公钥
6 客户端:发送对接加密方案给服务端
7 服务端:选择加密方式
8 服务端:将加密方案使用客户端公钥加密后发送给客户端
9 客户端:使用私钥解密,获得加密方式,产生随机码,生成对称加密密钥,使用服务端公钥加密后,发送给服务端
10 服务端:使用私钥解密,获得对称加密密钥
11 握手结束,对称加密,安全通信
1.5 SSL构建
1.5.1 私钥
私钥默认格式为pkcs1,一个简化的私钥生成命令:
openssl genrsa -out private.pem 3072
java对私钥格式有要求,需要转换为pkcs8格式,转换命令:
openssl pkcs8 -topk8 -inform PEM -in private.pem -outform PEM -nocrypt -out private-pkcs8.pem
如何将pkcs8格式证书还原成pkcs1格式?
openssl rsa -in private-pkcs8.pem -out pkcs1.pem
1.5.2 CA
认证中心,第三方认证提供方,为证书提供可靠性认证,开发过程中一般使用自签发证书进行测试,再使用正式签发的证书,
CA在使用时,主要是使用ca证书,ca证书由ca key签发而来。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/79887.html
