https提供安全的web通訊
1.原理部分:
1)了解加密算法:
加密算法的分類:對稱加密和非對稱加密
a.對稱加密:加密和解密使用同一個密鑰,優點是速度快,缺點是密鑰的共享困難。典型的對稱加密算法有DES/AES/RC5/3DES等。
b.非對稱加密:生成一個秘密對(公鑰和私鑰),加密過程中可以是私鑰加密公鑰解密;也可以是公鑰加密私鑰解密;一般情況下私鑰由服務器保存,公鑰共享給客戶端,采用公加私解的方式。它的特征是不論你得到公鑰還是私鑰都是無法逆推密鑰對的另一半,這保證了密鑰的安全性。缺點是加密速度極慢,不適合加密數據量大的流量。典型的非對稱加密算法有RSA/DSA.
如何選擇加密算法?
如果選擇對稱加密,密碼的共享(傳輸)過程不安全;如果選擇非對稱加密,加密速度慢。
一個完美的解決方案:
用對稱加密的密鑰用於加密數據,用非對稱加密來保護對稱加密的密鑰,實現又快又安全的數據加密。保證了數據的私密性。
2)證書服務器:CA
在上述方案中還存在這樣一個問題:如何確認公鑰是由真正的密鑰對擁有者所共享(傳輸)的。解決該問題的方案是證書認證,CA服務器提供證書認證服務。
證書認證的過程:
a.服務器生成密鑰對(公鑰和私鑰)和認證請求,
b.CA服務器根據認證請求為服務器頒發根證書,
c.服務器獲取根證書並共享給客戶機,客戶導入根證書.
d.通訊過程中,客戶機依據根證書確認公鑰的合法性.
證書服務器分為:公共證書服務器(如微軟、google等)和企業自建的私有證書服務器(openssl實現)。證書認證服務器提供了數據的不可否認性。
3)數字簽名:HASH
在上述的方案中,依然還存在一個問題:無法判斷數據在傳輸過程中的完整性(是否被篡改過)。
典型的HASH算法:MD5,SHA1,SHA256,SHA512等。
服務器使用HASH算法對所需傳輸的數據進行hash計算的出一串數字,並將這串數字公布,數據從服務器上傳輸到客戶機後,客戶機使用相同的hash算法計算hash值,如果和服務器公布的數字簽名一致,則數據沒有被篡改,反之亦然。這樣就保證了數據的完整性。
4)了解https的工作原理:
https(Hypertext Transfer Protocol over Secure Socket Layer),即http下加入了SSL,端口默認為443.
SSL:安全套接字層,是netscape公司設計的主要用於安全傳輸。
https通訊過程:
a.客戶端請求https鏈接(通過https://實現),服務端返回證書(攜帶了公鑰、證書的頒發機構、選擇一組加密算法和HASH算法等信息)給客戶端。
b.客戶端收到證書後:驗證證書的合法性,生成隨機密碼(使用協商好的對稱加密算法)並使用公鑰加密,使用約定的HASH計算握手消息並使用隨機密碼對消息進行加密。
c.客戶端將由公鑰加密的隨機密碼和由隨機密碼加密過的HASH數字簽名發給服務器。
d.服務器(網站)收到隨機密碼和數字簽名後:用私鑰解密得到隨機密碼,用隨機密碼解密得到數字簽名,用數字簽名驗證握手消息的完整性。並使用隨機密碼加密一段握手消息發給客戶端(瀏覽器)。
e.瀏覽器解密握手並計算握手hash,確保數據的完整性。之後的通信數據使用隨機密碼進行加密(對稱算法)。
2.實驗:實現https的安全web服務
1)配置域名支持ca:
[root@ns ~]# vim /var/named/chroot/var/named/gxfc.com.zone ##添加ca主機記錄
ca IN A 192.168.100.151
:wq
[root@ns ~]# /etc/init.d/named restart ##重啟服務
[root@ns ~]# nslookup
> server 192.168.100.100
Default server: 192.168.100.100
Address: 192.168.100.100#53
> ca.gxfc.com
Server: 192.168.100.100
Address: 192.168.100.100#53
Name: ca.gxfc.com
Address: 192.18.100.151
> exit
2)配置CA服務器:(192.168.100.151)
a.使用母盤克隆虛擬機,命名為ca服務器,修改如下:
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0 HWADDR=00:0C:29:75:e6:eb TYPE=Ethernet ONBOOT=yes NM_CONTROLLED=no BOOTPROTO=static IPADDR=192.168.100.151 NETMASK=255.255.255.0 DNS1=192.168.100.100 GATEWAY=192.168.100.100
:wq
[root@localhost ~]# vim /etc/sysconfig/network
HOSTNAME=ca.gxfc.com
:wq
[root@localhost ~]# vim /etc/udev/rules.d/70-persistent-net.rules ##刪除eth0,修改eth1為eth0(已經修改的略過次步驟)
[root@localhost ~]# reboot
b.配置CA:
[root@ca ~]# hostname
ca.sggfu.com
[root@ca ~]# yum -y install openssl openssl-devel ##安裝openssl
[root@ca ~]# rpm -ql openssl
/etc/pki/CA
/etc/pki/CA/certs ##證書存放目錄
/etc/pki/CA/crl ##吊銷的證書存放的目錄
/etc/pki/CA/newcerts##新證書目錄
/etc/pki/CA/private ##私鑰存放目錄
/etc/pki/tls/openssl.cnf ##主配置文件
/usr/bin/openssl ##主程序命令
[root@ca ~]# vim /etc/pki/tls/openssl.cnf ##修改主配置文件使用“:set nu”打印行號
40 [ CA_default ] 41 42 dir = /etc/pki/CA # Where everything is kept 43 certs = $dir/certs # Where the issued certs are kept 44 crl_dir = $dir/crl # Where the issued crl are kept 45 database = $dir/index.txt # database index file. 46 #unique_subject = no # Set to ‘no‘ to allow creation of 47 # several ctificates with same subject. 48 new_certs_dir = $dir/newcerts # default place for new certs. 49 50 certificate = $dir/cacert.pem # The CA certificate 51 serial = $dir/serial # The current serial number 52 crlnumber = $dir/crlnumber # the current crl number 53 # must be commented out to leave a V1 CRL 54 crl = $dir/crl.pem # The current CRL 55 private_key = $dir/private/cakey.pem# The private key 130 countryName_default = CN ##修國家 135 stateOrProvinceName_default = beijing ##設置省 138 localityName_default = beijing ##設置城市 141 0.organizationName_default = gxfc.com Ltd ##設置組織名稱 148 organizationalUnitName_default = tech ##設置部門
:wq
[root@ca ~]# cd /etc/pki/CA/
[root@ca CA]# ls private/
[root@ca CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048) ##生成私鑰同時將權限設置為600
Generating RSA private key, 2048 bit long modulus
....................+++
...........................................................................................+++
e is 65537 (0x10001)
[root@ca CA]# ls -l private/ ##驗證私鑰
總用量 4
-rw-------. 1 root root 1679 1月 2 20:09 cakey.pem
[root@ca CA]#
[root@ca CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650 ##生成自簽證書(根證書)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [BeiJing]:
Locality Name (eg, city) [BeiJing]:
Organization Name (eg, company) [gxfc.com]:
Organizational Unit Name (eg, section) [tech]:
Common Name (eg, your name or your server‘s hostname) []:ca.gxfc.com ##主機名填寫CA服務器的主機名
Email Address []:[email protected]
[root@ca CA]# ls -l cacert.pem
-rw-r--r--. 1 root root 1419 1月 2 20:13 cacert.pem
[root@ca CA]#
[root@ca CA]# mkdir -p certs crl newcerts
[root@ca CA]# touch index.txt ##證書索引
[root@ca CA]# echo 00 >serial ##證書序列號
[root@ca CA]# ls
cacert.pem certs crl index.txt newcerts private serial
[root@ca CA]#
3)配置web服務器支持https:
a.為web服務器生成密鑰和證書請求:
[root@www ~]# mkdir /usr/local/httpd/conf/ssl
[root@www ~]# cd /usr/local/httpd/conf/ssl/
[root@www ssl]# (umask 077;openssl genrsa 2048 >httpd.key)
[root@www ssl]# scp [email protected]:/etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf ##復制openssl配置文件
[root@www ssl]# openssl req -new -key httpd.key -out httpd.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [BeiJing]:
Locality Name (eg, city) [BeiJing]:
Organization Name (eg, company) [gxfc.com]:
Organizational Unit Name (eg, section) [tech]:
Common Name (eg, your name or your server‘s hostname) []:www.gxfc.com ##必須填寫web服務器的主機名,註意web虛擬主機只能有唯一一個站點可以設置為https
Email Address []:[email protected]
Please enter the following ‘extra‘ attributes
to be sent with your certificate request
A challenge password []: ##證書保護的密碼短語,直接回車
An optional company name []:
[root@www ssl]#
[root@www ssl]# scp httpd.csr [email protected]:/tmp ##將證書認證請求復制給CA服務器
b.登錄到192.168.100.151,為web服務器簽發證書:
[root@ca CA]# openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 3650 ##簽發證書httpd.crt,執行中y回車即可
[root@ca CA]# ls /tmp/httpd.c* ##驗證
/tmp/httpd.crt /tmp/httpd.csr
[root@ca CA]# scp /tmp/httpd.crt [email protected]:/usr/local/httpd/conf/ssl ##復制證書給web服務器
[root@ca CA]# rm -rf /tmp/httpd.* ##刪除證書,避免非法用戶獲取證書
c.修改web服務器配置文件:登錄192.168.100.150
[root@www ~]# cd /usr/local/httpd/conf/extra/
[root@www extra]# cp httpd-ssl.conf httpd-ssl.conf.bak ##備份證書
[root@www extra]# vim httpd-ssl.conf ##修改如下
74 <VirtualHost 192.168.100.150:443> 77 DocumentRoot "/usr/local/httpd/htdocs/gxfc/" ##註意和http的網頁根目錄一致 78 ServerName www.gxfc.com:443 79 ServerAdmin [email protected] 80 ErrorLog "/usr/local/httpd/logs/error_log" 81 TransferLog "/usr/local/httpd/logs/access_log" 85 SSLEngine on ##確認為on,表示開啟https 99 SSLCertificateFile "/usr/local/httpd/conf/ssl/httpd.crt" ##指定證書路徑 107 SSLCertificateKeyFile "/usr/local/httpd/conf/ssl/httpd.key" ##指定私鑰路徑,註意私鑰必須小心保管
:wq
[root@www extra]# vim /usr/local/httpd/conf/httpd.conf ##修改主配置文件,調用httpd-ssl.conf
399 Include conf/extra/httpd-ssl.conf
:wq
[root@www extra]# /etc/init.d/httpd restart ##重啟服務器
4)共享根證書:
[root@www ~]# cd /usr/local/httpd/htdocs/gxfc/
[root@www sggfu]# scp [email protected]:/etc/pki/CA/cacert.pem cacert.crt ##復制CA服務器的證書(根證書)
[root@www sggfu]# vim index.html ##通過首頁共享根證書
<html> <head> <meta http-equiv="content-type" content="text/html; charset=utf-8" /> <title>www.gxfc.com</title> </head> <body> <h1>www.gxfc.com</h1> 為了你更好的訪問網站,請下載安裝<a href="cacert.crt" target="_blank">根證書</a> </body> </html>
:wq
5)測試:
http://www.gxfc.com ##下載證書並導入證書
https://www.gxfc.com ##訪問測試
本文出自 “11628205” 博客,請務必保留此出處http://11638205.blog.51cto.com/11628205/1981873
https提供安全的web通訊