https的简单介绍和nginx搭建

一、https简介

简单的说,https就是http的基础上增加ssl/tsl,其中tsl是ssl的升级版协议名称,现在用的大部分都已经是tsl协议了。这里不深究ssl/tsl这个协议了,深究也不会哈,

二、https涉及到的常用加密算法

1.对称加密算法

加密与解密秘钥相同,算法具体的实现这里不做介绍

des(data 已经不安全了) ,3des(des的加强版,兼容des)

aes(advanced 128位,192位,256位)推荐使用

2.非对称加密算法

rsa(名字来自于三个发明开发者的姓氏)

3.单向散列函数

MD5(message digest)

SHA-1 SHA-2(使用最多)

三、消息认证

消息认证码mac(message authenticaation code)确认完整性并进行认证的技术,实现散列函数+对称加密,通信时会将消息和mac码都发送,验证收到的mac码和本地生产的mac码是否相同来确认消息的完整性和认证。但是没有第三方认证,存在抵赖,一方否认。还有就是秘钥分发困难

四、数字签名与CA证书

解决了向大家告诉我是谁的问题,利用到了非对称加密中的私钥来证明自己,大家可以使用公钥来解析,也就是利用了私钥加密来证明了自己,而公钥解密就不可否认了,但是这里公钥可能变中间者替换,从而导致整个消息被替换,于是产生了公钥与域名绑定绑定的CA证书,CA证书是实现https通信的基础,CA就是解决你就是你的问题,其实自己可以实现自己证明自己,只不过操作系统和浏览器不认识,所有的被信任的CA证书都是根证书,或者根证书信任的子证书,而且还是花钱的。CA也叫证书授权中心

五、自己生成证书与部署nginx

都知道ssl/tsl是协议,是一种规则,具体到软件上可以是openssl,下面就是利用openssl工具在linux生成自己颁发的证书

命令行敲入 openssl进入openssl模式

1.生成非对称秘钥对,公钥的信息是保存在私钥里面的,随后会让你输入密码并确定密码

genrsa -des3 -out server.key 2048  这里使用的2048位rsa算法生成私钥比对私钥进行3des加密,也就是说生成的秘钥是加密过的,

2.生成CSR(证书签名请求),这个是包装自己的私钥一遍向CA机构发送,这是要输入自己网站的信息,根据提示一步步填

req -new -key server.key -out server.csr

3.为避免生成的server.key使用时反复输入密码,这里解密出来

   rsa -in server.key -out server.key

4.生成自签名证书,server.crt就是自己生成的证书

 x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

5.nginx的配置,这里只展示nginx https的配置


# Settings for a TLS enabled server.

    server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  _;
        root         /usr/share/nginx/html;

        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/server.key";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_ciphers HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;

        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;

        location / {
        }
        location /avatar {
            expires 24h;
            root /my/project/img;
        }
        error_page 404 /404.html;
            location = /40x.html {
        }

        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
    }

其中ssl_certificate 和ssl_certificate_key 分别是证书的位置和私钥的位置,此时就可以实现https协议访问了,但是浏览器会提示证书无效之类的警告。一直忽略也可以实现https通信,

https的简单介绍和nginx搭建_第1张图片

六、使用wireShark抓包工具对同一个接口不同协议交互时的区别

wireShark与fiddler抓包原理不一样,wireShark是抓网卡,fiddler是软代理

1.http请求时,可以看到tcp的三次握手和四次挥手,而且http是明文的

https的简单介绍和nginx搭建_第2张图片

2.https请求时,依然有tcp的三次握手和四次挥手(截图只展示了一部分),但是没有了http协议 而是TLSV1.2协议,https协议体现是在浏览器认识这个协议,其实使用TSL通信的,如果用在邮件上也可使用ssl/tsl,则发送的邮件也是加密的

https的简单介绍和nginx搭建_第3张图片

只简要拿出tls协议的部分,b为浏览器,s为客户端,我的理解是先商量一下咱俩都支持加密吗,对应到端口也就是两台机器上的进程程序,浏览器得至服务器支持加密,把秘钥发给服务器,并以后发送的application data我都是加密了的,服务收到了秘钥,并用秘钥加密,同样的方式也将application data的数据加密,这个秘钥是客户端生成的。

1.b-->s Client Hello 

2.s-->b Server Hello

3.b-->s Client Key Exchange,change cipher spec,Encrypted Handshake message 

4.b-->s Application Data

5.b-->s Application Data

6.s-->b New Session Ticket,Change Cipher spec,Encrypted Handshake Message

7.s-->b  Application Data

8.s--b> Application Data

9.s-->b  Application Data

10.s--b> Application Data

11.s--b> Application Data

12.s--b> Encrypted Alert 

七.使用正式的证书

在阿里云上可以申请免费的CA证书,而且是可信的,但是也要走购买ssl证书流程,只不过支付的是0元,是Symantec厂商生成的,下载证书后,将.pem的证书代替第五部.crt的证书,将.key的私钥代替.key的文件,nginx -s reload即可。

八、https总结

https的传输过程应用到了对称加密,非对称加密,单向散列函数加密技术,数据传输中其实使用的是对称加密,且秘钥有客户端生成,而ca证书是解决公钥的可信度问题,使用可信的公钥对自己生成的密码加密进行分发到服务器,因为私钥只有服务器有,所以这个密码只有服务器可以获取,完成了对称加密密码分发困难的解决。但是https也不是绝对安全的。

你可能感兴趣的:(https的简单介绍和nginx搭建)