数字证书
服务端发送自己的公钥给CA(认证中心),CA先生成公钥的摘要,然后用自己的私钥对服务端的摘要进行加密,生成签名,之后将签名和服务端公钥作为数字证书发给服务端。
当服务端将数字证书发给客户端时,客户端用CA的公钥解密后得到服务端的公钥的摘要。
之后客户端生成公钥的摘要,并与解密的摘要对比,就可以判断公钥信息的正确性。
HTTPS通信过程
非对称加密是用来加密密钥,对称加密用来加密数据。
首先客户端请求服务端的443端口。
服务端有一对密钥,公钥和私钥,用做非对称加密的密钥。为了保证公钥不被篡改,要从CA获取数字证书。服务端将数字证书发给客户端。
客户端对数字证书进行检查使用CA公钥进行校验。
如果合法,客户端会生成一个随机字符串,用做对称加密的密钥。并用服务端的公钥对该密钥进行加密。
客户端发起第二次请求,将加密后的密钥发给服务端。
服务端用私钥解密后,就得到了客户端的密钥。
服务端用该密钥加密数据后发送给客户端。
客户端用该密钥解密数据,结束一次通信过程。
Certbot配置https数字证书
yum -y install yum-utils yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional yum install certbot python2-certbot-nginx pip install urllib3 certbot --nginx
错误:ImportError: 'pyOpenSSL' module missing required functionality. Try upgrading to v0.14 or newer.
pip install --upgrade --force-reinstall 'requests==2.6.0'
nginx配置
server {
listen 443 ssl;
server_name rov-lab.top www.rov-lab.top;
ssl_certificate /etc/letsencrypt/live/rov-lab.top/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/rov-lab.top/privkey.pem;
#charset koi8-r;
#access_log logs/host.access.log main;
location /api {
proxy_pass http://127.0.0.1:8080/api;
}
location / {
root /root/html/;
index index.html index.htm;
try_files $uri $uri/ /index.html;
}
}
server {
listen 80;
server_name rov-lab.top www.rov-lab.top;
rewrite ^(.*)$ https://$server_name$1 permanent;
}