https、ssl、tls协议学习

一、知识准备

1.ssl协议：通过认证、数字签名确保完整性；使用加密确保私密性；确保客户端和服务器之间的通讯安全
2.tls协议：在SSL的基础上新增了诸多的功能，它们之间协议工作方式一样
3.https协议：https over tls，tls协议是https协议的核心

名词介绍：
CA：Certificate Authority，也称为电子商务认证中心，是负责发放和管理数字证书的权威机构
对称加密：加密和解密使用相同密钥的加密算法。它的速度快，通常在加密大量数据时使用
非对称加密：需要两个密钥来进行加密和解密，公钥与私钥。公钥加密的只能用私钥解密，反之私钥加密的也只能用公钥解密。通常用于重要信息的安全传输，缺点是速度比对称加密慢很多

二、tls通信过程

废话不说，我们先上tls通信过程

（1）客户端-->服务端：协商协议版本、加密方案、压缩方法等；生成一个随机数，用于之后生成会话秘钥
（2）服务端-->客户端：确认协商信息；生成一个随机数，用于之后生成会话秘钥；发送证书到客户端
（3）客户端-->服务端：生成一个随机数，用于之后生成会话秘钥；验证自己收到的证书是否为合法的证书；若证书没问题，则会从证书中取出公钥，加密最后一个随机数发送给服务端；然后使用产生的3个随机数生成会话秘钥，并且宣布用会话秘钥来进行加密通信（会话秘钥是对称加密）
（4）服务端：收到被公钥加密的最后的随机数，然后用私钥解开之后再加上之前的2个随机数，产生会话秘钥
（5）至此，双方都已经拥有会话秘钥，并且用该会话秘钥进行随后的加密通信

这就是整个通信过程，本文结束了吗？显然没有，我们还有几个问题没有解决

三、tls通信中需要解决的问题

（a）客户端从服务端收到的证书，是真实的证书，还是黑客伪装的证书
（b）私钥是不能公布的，公钥是发布出去大家都知道的，那用什么秘钥去加密

下面我们来一一解决这些问题：

问题（a）

要说清楚客户端怎么验证证书，要先弄明白证书是什么

● 证书内容：如发行机构、有效期、公司信息等  
● 摘要：证书内容等经过hash之后生成摘要  
● 数字签名：CA使用私钥对摘要，加密之后生成签名  
● 数字证书主要由证书内容、公钥、数字签名、使用的hash算法等组成  

certificate.png

证书验证分为真实性验证与有效性验证：

真实性验证：
● 通过内置根证书的公钥对数字签名解密，得到一个hash值，这个hash值就是摘要
● 使用证书内的hash算法将证书内容进行hash之后得到一个hash值，用这个新的hash值与上一步的hash值进行对比
● 若相同，证明证书真实有效，若不同，则证明被串改过

有效性验证：
● CRL。CA会提供一份证书失效名单，浏览器会缓存并定期更新该名单。
● OCSP。CA提供实时接口查询

还有个问题需要解释一下：

关于数字签名中，CA使用的私钥的问题

● CA也会生成一对私钥、公钥，私钥对用户证书进行加密
● 而公钥会内置在操作系统的安装当中成为系统默认的根证书
● 在真实性验证中，客户端使用内置根证书中的公钥对用户的证书进行解密

至此，关于证书验证的问题大致描述到此

问题（b）

完成证书验证之后

● 在tls通信过程中（1）、（2）分别生成了2个随机数，这两个随机数是没有加密传递
● 在tls通信过程中（3）又生成了1个随机数，这个随机数会被公钥加密之后，只能被服务端的私钥解密
● 所以，第三个随机数是安全的，没有被泄露的，通过这3个随机数使用对称加密算法生成会话秘钥
● 之后的数据传输都会使用会话秘钥进行加密
● 由于会话秘钥是对称加密，它的加密解密速度都大大超过非对称秘钥

四、自签根证书测试

自签根证书的帖子网上的大神很多，我就不班门弄斧了

经过一顿猛如虎的操作之后，我手里面拿到了这几个文件：

root@k8s-node2:/opt/CA/certs# ls -l
total 20
-rw-r--r-- 1 root root 1448 Oct 26 10:14 ca.crt
-rw------- 1 root root 1854 Oct 26 10:14 ca.key
-rw-r--r-- 1 root root 4493 Oct 26 10:14 server.crt
-rw------- 1 root root 1675 Oct 26 10:14 server.key

ca.crt：自签的根证书
ca.key：根证书对应的私钥
server.crt：服务器证书
server.key：服务器证书对应的私钥

我们部署一个nginx，并且配置ssl

server {
   listen   443 ssl;
   server_name www.mrvolleyball.com;

   ssl_certificate /etc/nginx/cert/server.crt;
   ssl_certificate_key  /etc/nginx/cert/server.key;

   location / {
       root html;
   }
}

首先来访问一下nginx：

web_http.png

不出所料，证书是不受信任的，接下来我们在系统中信任自签的根证书

root.png

root_trust.png

再次打开

web_https.png

---

至此，本文结束
在下才疏学浅，有撒汤漏水的，请各位不吝赐教...