HTTPS安全證書訪問連接知識講解
01:網絡安全涉及的問題:
①. 網絡安全問題-數據機密性問題
傳輸的數據可能會被第三方隨時都能看到
②. 網絡安全問題-數據完整性問題
傳輸的數據不能隨意讓任何人進行修改
③. 網絡安全問題-身份驗證問題
第一次通訊時,需要確認通訊雙方的身份正確
02:網絡安全涉及的問題解決:
①. 網絡安全問題-數據機密性問題解決
a) 利用普通加密算法解決機密性
利用相應算法,對傳輸數據(明文數據)進行加密(密文數據);再利用對應算法,將加密數據解密變為 真實數據
優點:實現了數據機密傳輸,避免了明文傳輸數據的危險性。
缺點:利用加密算法,將明文改密文,如果第三方獲得加密算法,即可將傳輸密文再次變為明文
b) 利用對稱加密算法解決機密性(重要的一種加密方式)
對稱加密算法就好比將普通算法的規則手冊放入到了保險櫃裏,只有獲取保險櫃和保險櫃鑰匙才能獲 取《算法手冊》
優點:密鑰加密算法計算速度非常快;解決了普通加密算法的安全問題
缺點:加解密過程的安全性完全依賴於密鑰,並且對稱加密密鑰是公開的,當通訊加密對象過多時, 無法解決密鑰管理問題。
②. 網絡安全問題-數據完整性問題解決
a) 利用單項加密算法(全網備份數據完整性)
根據數據生成特征碼(數據指紋信息);接收數據方獲取數據信息算出特征碼,驗證是否與發送過來的 特征碼一致
若特征碼一致,表示數據完整性沒被破壞;若特征碼不一致,表示數據已被破壞,直接丟棄
****************************************************************************
擴展說明:
01:不同數據的特征碼(數據指紋信息)是不可能一致的
單項加密算法特征
· 數據輸入一樣,特征碼信息輸出必然相同
· 雪崩效應,輸入的微小改變,將造成輸出的巨大改變
· 定長輸出,無論源數據多大,但結果都是一樣的
· 不可逆的,無法根據數據指紋,還原出原來的數據信息。
****************************************************************************
優點:有效的解決了數據完整性問題
缺點:沒有考慮中間人攻擊對數據信息的影響
b) 利用單項加密算法(加密特征碼)
利用對稱加密算法對數據加密的同時,也對特征碼進行加密;
接收方擁有和發送方一樣的密鑰,才可以解密加密後的數據和特征碼
而中間人加密的特征碼是沒有辦法讓接收方進行解密的,所以接收方獲取不了特征碼,直接丟棄數據
****************************************************************************
擴展說明:
01:那麽對稱密鑰如何有效的讓通訊雙方獲取呢
需要進行對稱密鑰協商過程,即通過密鑰交換機制(Internet key exchange IKE)
實現密鑰交換機制的協議稱為diffie-hellman協議
****************************************************************************
③. 網絡安全問題-身份驗證問題解決
a)利用非對稱密鑰加密算法(公鑰加密算法)
發送方建立私鑰和公鑰,將公鑰發送給接收方,從而實現發送數據方的身份驗證
問題:用戶第一次訪問百度時(還沒有獲取公鑰),有可能會是釣魚網站
例:讓你的母親驗證你的爸爸身份信息,你的母親就稱為證書頒發機構
公鑰信息在網站訪問過程中,被稱為證書(×××)
網絡安全問題結論:實現網絡安全性,需要解決問題的順序為
1. 解決身份驗證問題
2. 解決數據完整性問題
3. 解決數據機密性問題
1.2 網絡安全證書知識
03:網絡安全證書由來:
根據上述結論可知,網絡安全性最首先要解決的就是身份驗證問題;
而解決身份驗證問題,最主要的方式就是借助私鑰和公鑰
而最主要的公鑰信息獲取就變得尤為重要;利用第三方公正者,公正公鑰信息
目前標準的證書存儲格式是x509,還有其他的證書格式,需要包含的內容為:
證書==比喻為營業執照
? 公鑰信息,以及證書過期時間
? 證書的合法擁有人信息
? 證書該如何被使用(不用關註)
? CA頒發機構信息
? CA簽名的校驗碼
1.4 OpenSSL軟件詳細說明
獲取OpenSSL軟件的版本信息:
openssl version <- 查看openssl版本信息
獲取OpenSSL配置文件信息:
/etc/pki/tls/openssl.cnf <- openssl配置文件,主要用於配置成私有ca時進行使用
說明:基本上openssl配置文件不需要運維過多修改配置
#舉例說明,加密一個文件
# openssl enc -des3 -salt -a -in inittab -out initab.des3 <- 輸入密碼後即加密成功
# openssl enc -des3 -d -salt -a -in initab.des3 -out inittab <- 輸入密鑰後即解密成功
說明:其中命令中的salt參數,主要用於避免密碼加密後,對密鑰串的反推
#生成和用戶一樣的密碼串
openssl passwd -1 <- 采用md5加密用戶密碼串,將明文密碼轉換為密文
說明:企業中實現修改數據庫中用戶密碼信息,實現用戶密碼信息重置
#生成偽隨機數方法
openssl rand -base64 45 <- 給出一個任意的數字,就會生成任意的隨機數
md5sum 1.txt
1.5 OpenSSL軟件建立私有CA(證書頒發機構)
實現HTTPS:
1) 生成私鑰(出生證明)和請求證書文件(戶口本) --- 運維需要完成
2)根據請求證書文件信息,證書頒發機構生成證書文件(×××) --- 證書頒發機構來完成
3)企業網站利用證書,實現用戶安全認證訪問 --- 運維需要完成
模擬證書頒發機構頒發程序:
01)生成私鑰文件信息方法:
openssl genrsa 2048 >server.key <- 創建私鑰信息,並指定私鑰的長度為2048,並將生成的私鑰信息保存在一個文件中
openssl genrsa -out server.key 2048 <- 將私鑰信息直接進行保存,加密長度一定要放在輸出文件後面
(umask 077;openssl genrsa -out server1024.key 1024) <- 利用小括號,實現子shell功能,臨時修改umask,使之創建的私鑰文件權限為600
02) 生成自簽署的證書
[root@NFS-server-01 ~]# openssl req -new -x509 -key server1024.key -out server.crt -days 365
req <- 用於創建新的證書
new <- 表示創建的是新的證書
x509 <- 表示定義證書的格式為標準格式
key <- 表示調用的私鑰文件信息
out <- 表示輸出證書文件信息
days <- 表示證書的有效期
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
----- 以下默認參數可在/etc/pki/tls/openssl.cnf修改
Country Name (2 letter code) [XX]:CN <- 定義生成證書的國家
State or Province Name (full name) []:BJ <- 定義生成證書的省份
Locality Name (eg, city) [Default City]:BJ <- 定義生成證書的城市
Organization Name (eg, company) [Default Company Ltd]:oldboy <- 定義生成證書的組織
Organizational Unit Name (eg, section) []:it <- 定義生成證書的職能部門
Common Name (eg, your name or your server's hostname) []:oldboy.com.cn <- 定義主機服務器名稱
說明:此輸出信息非常重要,客戶端在獲取證書前,會利用主機名與相應服務器之間建立連接,然後獲得證書
Email Address []:
#openssl x509 -text -in server.crt --- 用於查看證書中的信息
# CA自簽發證書實際創建過程
cd /etc/pki/CA/private/ <- 進入到私鑰保存目錄中
(umask 077;openssl genrsa -out ./cakey.pem 2048) <- 創建一個ca私鑰文件
cd /etc/pki/CA <- 進入到CA自簽發保存目錄中
openssl req -new -x509 -key private/cakey.pem -out cacert.pem <- 生成自簽發證書
說明:由於配置文件中定義了一些證書信息,所以默認輸入即可
1.6 利用證書實現HTTPS訪問Nginx服務
1) 安裝opessl軟件
# yum install openssl
# yum install openssl-devel
2)進行證書目錄規劃
# cd /application/nginx/conf/ <- 編譯安裝Nginx的程序目錄
# mkdir key
# cd key/
3) 創建私鑰文件
創建服務器私鑰,命令會讓你輸入一個口令: 這裏輸入的是oldboy
openssl genrsa -des3 -out server.key 1024
Generating RSA private key, 1024 bit long modulus
......................++++++
...................++++++
e is 65537 (0x10001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:
4)創建請求證書
創建簽名請求的證書(CSR):
openssl req -new -key server.key -out server.csr
擴展說明:去掉私鑰文件口令密碼信息
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key <- 生成無口令的私鑰
5)配置Nginx服務使之支持證書訪問
修改Nginx配置文件,讓其包含新標記的證書和私鑰:
server {
server_name YOUR_DOMAINNAME_HERE;
listen 443;
ssl on;
ssl_certificate /application/nginx/conf/key/server.crt;
ssl_certificate_key /application/nginx/conf/key/server.key;
}
6)nginx ssl 模塊指令總結:
http://nginx.org/en/docs/http/ngx_http_ssl_module.html
1.7 單臺web服務器實現http訪問自動跳轉到https:
方法一:利用地址重寫功能rewrite
說明:在https配置server基礎上再添加http跳轉server
[root@web01 keys]# cat /application/nginx/conf/extra/blog.conf
server {
listen 80; #默認用戶訪問的是http,80端口,讓它跳轉為https
server_name blog.etiantian.org;
rewrite ^(.*)$ https://$host$1 permanent;
}
server {
listen 443;
ssl on;
ssl_certificate /server/keys/server.crt;
ssl_certificate_key /server/keys/server1024.key;
server_name blog.etiantian.org;
root html/blog;
index index.php index.html index.htm;
location ~ .*\.(php|php5)?$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fastcgi.conf;
}
}
方法二:error_page 497 利用狀態碼跳轉到https
說明:497為內置錯誤碼,當訪問http無法處理,需要利用https處理時
[root@web01 keys]# vim /application/nginx/conf/extra/blog.conf
server {
listen 443;
listen 80;
ssl on;
ssl_certificate /server/keys/server.crt;
ssl_certificate_key /server/keys/server1024.key;
server_name blog.george.org;
root html/blog;
index index.php index.html index.htm;
location ~ .*\.(php|php5)?$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fastcgi.conf;
}
error_page 497 https://$host$uri;
}
方法三:利用返回狀態碼實現跳轉訪問
說明:在https配置server基礎上再添加http跳轉server
server {
listen 80;
server_name www.etiantian.org;
return 301 https://$host$uri;
}
1.8 利用反向代理服務器實現訪問https自動跳轉為https
vim /applicaiton/nginx/conf/nginx.conf
第一個裏程碑:修改地址池信息
upstream kai {
server 10.0.0.7:443;
server 10.0.0.8:443;
server 10.0.0.9:443;
}
第二個裏程碑:修改地址池調用信息
server {
listen 443;
server_name www.george.com;
ssl on;
ssl_certificate /application/nginx/conf/key/server.crt;
ssl_certificate_key /application/nginx/conf/key/server.key;
location / {
proxy_pass https://kai;
}
}
第三個裏程碑:定義http到https跳轉配置信息
server {
listen 80;
server_name www.george.com;
rewrite ^(.*)$ https://$host$1 permanent;
}
HTTPS安全證書訪問連接知識講解