十二、HTTPS安全證書訪問連接實踐配置
(一)網路安全涉及的問題
①. 網路安全問題-資料機密性問題
傳輸的資料可能會被第三方隨時都能看到
②. 網路安全問題-資料完整性問題
傳輸的資料不能隨意讓任何人進行修改
③. 網路安全問題-身份驗證問題
第一次通訊時,需要確認通訊雙方的身份正確
(二)網路安全涉及的問題
①. 網路安全問題-資料機密性問題解決
a) 利用普通加密演算法解決機密性
利用相應演算法,對傳輸資料(明文資料)進行加密(密文資料);再利用對應演算法,將加密資料解密變為真實資料
優點:實作了資料機密傳輸,避免了明文傳輸資料的危險性,
缺點:利用加密演算法,將明文改密文,如果第三方獲得加密演算法,即可將傳輸密文再次變為明文
b) 利用對稱加密演算法解決機密性(重要的一種加密方式)
對稱加密演算法就好比將普通演算法的規則手冊放入到了保險柜里,只有獲取保險柜和保險柜鑰匙才能獲取《演算法手冊》
優點:密鑰加密演算法計算速度非常快;解決了普通加密演算法的安全問題
缺點:加解密程序的安全性完全依賴于密鑰,并且對稱加密密鑰是公開的,當通訊加密物件過多時,無法解決密鑰管理問題,
②. 網路安全問題-資料完整性問題解決
a) 利用單項加密演算法(全網備份資料完整性)
根據資料生成特征碼(資料指紋資訊);接收資料方獲取資料資訊算出特征碼,驗證是否與發送過來的特征碼一致
若特征碼一致,表示資料完整性沒被破壞;若特征碼不一致,表示資料已被破壞,直接丟棄
****************************************************************************
擴展說明:
01:不同資料的特征碼(資料指紋資訊)是不可能一致的
單項加密演算法特征
· 資料輸入一樣,特征碼資訊輸出必然相同
· 雪崩效應,輸入的微小改變,將造成輸出的巨大改變
· 定長輸出,無論源資料多大,但結果都是一樣的
· 不可逆的,無法根據資料指紋,還原出原來的資料資訊,
****************************************************************************
優點:有效的解決了資料完整性問題
缺點:沒有考慮中間人攻擊對資料資訊的影響
b) 利用單項加密演算法(加密特征碼)
利用對稱加密演算法對資料加密的同時,也對特征碼進行加密;
接收方擁有和發送方一樣的密鑰,才可以解密加密后的資料和特征碼
而中間人加密的特征碼是沒有辦法讓接收方進行解密的,所以接收方獲取不了特征碼,直接丟棄資料
****************************************************************************
擴展說明:
01:那么對稱密鑰如何有效的讓通訊雙方獲取呢
需要進行對稱密鑰協商程序,即通過密鑰交換機制(Internet key exchange IKE)
實作密鑰交換機制的協議稱為diffie-hellman協議
③. 網路安全問題-身份驗證問題解決
a)利用非對稱密鑰加密演算法(公鑰加密演算法)
發送方建立私鑰和公鑰,將公鑰發送給接收方,從而實作發送資料方的身份驗證
讓你的母親驗證你的爸爸身份資訊,你的母親就稱為證書頒發機構
公鑰資訊在網站訪問程序中,被稱為證書(身份證)
網路安全問題結論:實作網路安全性,需要解決問題的順序為
1. 解決身份驗證問題
2. 解決資料完整性問題
3. 解決資料機密性問題
(三)網路安全證書由來:
根據上述結論可知,網路安全性最首先要解決的就是身份驗證問題;
而解決身份驗證問題,最主要的方式就是借助私鑰和公鑰
而最主要的公鑰資訊獲取就變得尤為重要;利用第三方公正者,公正公鑰資訊
目前標準的證書存盤格式是x509,還有其他的證書格式,需要包含的內容為:
證書==身份證
? 公鑰資訊,以及證書過期時間
? 證書的合法擁有人資訊
? 證書該如何被使用(不用關注)
? CA頒發機構資訊
? CA簽名的校驗碼
(四) OpenSSL軟體詳細說明
獲取OpenSSL軟體的版本資訊:
rpm -qa openssl
openssl version <- 查看openssl版本資訊
獲取OpenSSL組態檔資訊:
/etc/pki/tls/openssl.cnf <- openssl組態檔,主要用于配置成私有ca時進行使用
說明:基本上openssl組態檔不需要運維過多修改配置
利用openssl軟體實作HTTPS訪問程序
實作HTTPS:
第一步:創建出一個私鑰檔案(出生證明) --- 運維人員需要會
openssl genrsa 2048 >server.key <- 創建私鑰資訊,并指定私鑰的長度為2048,并將生成
的私鑰資訊保存在一個檔案中
openssl genrsa -out server.key 2048 <- 將私鑰資訊直接進行保存,加密長度一定要放在輸出
檔案后面
(umask 077;openssl genrsa -out server1024.key 1024)
<- 利用小括號,實作子shell功能,
臨時修改umask,使之創建的私鑰檔案權限為600
第二步:生成證書檔案資訊
①. 生成自簽發證書 --- 運維人員可以自行操作
[root@NFS-server-01 ~]# openssl req -new -x509 -key server.key -out server.crt -days 365
req <- 用于請求創建一個證書檔案
new <- 表示創建的是新的證書
x509 <- 表示定義證書的格式為標準格式
key <- 表示呼叫的私鑰檔案資訊
out <- 表示輸出證書檔案資訊
days <- 表示證書的有效期
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN <- 定義生成證書的國家
State or Province Name (full name) []:BJ <- 定義生成證書的省份
Locality Name (eg, city) [Default City]:BJ <- 定義生成證書的城市
Organization Name (eg, company) [Default Company Ltd]:oldboy <- 定義生成證書的組織
Organizational Unit Name (eg, section) []:it <- 定義生成證書的職能部門
Common Name (eg, your name or your server's hostname) []:oldboy.com.cn <- 定義主機服務器名稱
說明:此輸出資訊非常重要,客戶端在獲取證書前,會利用主機名與相應服務器之間建立連接,然后獲得證書
Email Address []:
②. 向證書頒發機構申請證書 --- ca證書版本機構完成
生成請求證書檔案 (戶口本) --- 運維人員完成
openssl req -new -key httpd.key -out httpd.csr
獲取得到證書檔案 (身份證) --- ca頒發機構完成
省略
? 第三步:配置網站服務,加載私鑰和證書資訊
server {
server_name YOUR_DOMAINNAME_HERE;
listen 443;
ssl on;
ssl_certificate /usr/local/nginx/conf/server.crt;
ssl_certificate_key /usr/local/nginx/conf/server.key;
}
server {
listen 80;
server_name www.etiantian.org;
rewrite ^(.*)$ https://$host$1 permanent;
}
server {
listen 443;
server_name www.etiantian.org;
ssl on;
ssl_certificate /server/key/server.crt;
ssl_certificate_key /server/key/server.key;
root html/www;
index index.html index.htm;
}
第四步:利用瀏覽器訪問測驗
ssl模塊官方鏈接:http://nginx.org/en/docs/http/ngx_http_ssl_module.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/87915.html
標籤:Linux