SSL TLS HTTP HTTPS SSH 分别是什么意思？

HTTP + SSL/TLS = HTTPS

• SSL(Secure Sockets Layer，安全套接字协议)
• TLS(Transport Layer Security，传输层安全协议)
• HTTP(HyperText Transfer Protocol ，超文本传输协议)，让计算机之间可以进行明文数据交换，默认端口80.
• HTTPS(HyperText Transfer Protocol Secure，超文本传输安全协议)，用SSL/TLS对数据加密，再通过HTTP传输，保证数据的安全性，默认端口443.

---

SSL 与 TLS 区别

SSL与TLS都是用于互联网传输的加密协议。

• SSL是有Netscape开发加密协议；
  • SSL 1.0版本没有公开发布；
  • SSL 2.0版本于1995年发布，简写成SSLv2, 于2011年被IETF废弃；
  • SSL 3.0版本于1996年发布,简写成SSLv3, 于2015年被IETF废弃；
• TLS是基于SSL 3.0的一个新版本，原则上他的名字是SSL 4.0；只是IETF在把SSL标准化时把SSL名称改成了TLS。

---

CA及数字证书

证书颁发机构（CA, Certificate Authority）即颁发数字证书的机构，HTTP服务升级为HTTPS时，就需要数字证书来保证其通讯链路的安全，Let's Encrypt 是免费提供此证书的公益机构。

• 申领证书流程：

  1. 服务器先生成一对密钥(私钥+公钥)；
  2. 公钥+服务器信息(域名、ip等)，发送给CA机构；
  3. CA机构会根据收到的信息，核实身份并加密生成证书，此证书也只有CA机构的私钥才能解密，这样也就保证了域名与服务器ip的一一对应关系，保证通讯链路的安全性。

• 使用证书

  1. 客户访问域名：「https://www.example.com」
     从CA机构获取域名对应证书，客户浏览器根据证书中公钥给需要传输的数据进行加密。
  2. 服务器获得数据后，用自己的私钥来解密数据，如果公钥与私钥数据不匹配，就算第三方获得数据，也无法解密。

• 数字证书组成部分有：

  1. 主体信息(域名、公司名、地址、国家等);
  2. 有效期；
  3. Public Key；
  4. CA的签名；

---

Telenet + SSH = ssh

SSH(Security Shell) 是专为远程登录和其他网络服务(Telnet、ftp等)提供安全性的协议。OpenSSH基于SSH协议实现了很多应用：ssh、scp、sftp等，ssh默认端口22。

---

OpenSSH是什么？

OpenSSH是实现了SSH协议的软件包，OpenSSH官方网站，包含以下工具：

• Remote operations are done using ssh, scp, and sftp.
• Key management with ssh-add, ssh-keysign, ssh-keyscan, and ssh-keygen.
• The service side consists of sshd, sftp-server, and ssh-agent.

---

1、ssh

ssh是OpenSSH实现远程登录的客户端软件，让远程服务器执行命令操作。

# 远程关机命令
$ ssh -t user@ip 'sudo shutdown -h now'

# 远程关闭多台服务器：
$ ssh -t user@ip1 'sudo shutdown -h now';ssh -t user@ip2 'sudo shutdown -h now';

# 远程重启命令
$ ssh -t user@ip1 'sudo reboot'

# 重启SSH
$ /etc/init.d/ssh restart
$ sudo service ssh restart

# SSH配置目录
/etc/ssh

# 公钥的目录
~/.ssh

# 可以输出登录时log信息
ssh -v [root@node1](mailto:user@ip)

# 查看SSH的进程情况
$ ps aux | grep ssh 

2、ssh免密登录

$ ssh user@ip登录远程服务器，每一次都要输入密码，用密钥可免密登录。

# 系统环境 : MAC
# 创建SSH秘钥(ssh-keygen是生成和管理密钥工具)
$ ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa

# 把密钥加入到远程机器上（ssh-copy-id是安装密钥到远程服务器的工具）
$ ssh-copy-id -i ~/.ssh/id_rsa.pub user@ip

# 直接登录，无需再输入密码
$ ssh user@ip

3、scp

scp使用ssh与远程服务器相互传输文件，此通信过程也是加密的。

# 本地文件「test.txt」拷贝到服务器的「~/」目录下
$ scp ~/test.txt user@ip:~/

# 本地文件夹「test」拷贝到服务器「~/」目录下
$ scp -r ~/test user@ip:~/

# 服务器文件夹「test」拷贝到本地「~/」目录下
$ scp -r user@ip:~/test ~/ 

4、ssh-copy-id

# MAC下安装ssh-copy-id
$ brew install ssh-copy-id

# 使用见「ssh免密登录」

---

问题与解决方案

1、WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

$ ssh [email protected]

# 出现下面错误:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:VrUX6WSrWP7GYk+9rjNfUitciAFE1DJPPR8lilyXq4Q.
Please contact your system administrator.
Add correct host key in /Users/liuhai/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /Users/liuhai/.ssh/known_hosts:5
ECDSA host key for 192.168.1.9 has changed and you have requested strict checking.
Host key verification failed.

# Mac下解决方案：
第一步：$ sudo nano ~/.ssh/known_hosts
第二步：删除ip对应哪一行数据(fn+delete)
第三步：ctrl+x，保存退出！

---

参考文档

• SSL TLS HTTP HTTPS SSH 分别是什么意思？