1. 程式人生 > >HTTPS安全證書訪問連接實踐配置

HTTPS安全證書訪問連接實踐配置

rpm 不一致 優點 交換 crt 完成 corporate 安全證書 接收

01:網絡安全涉及的問題:
①. 網絡安全問題-數據機密性問題
傳輸的數據可能會被第三方隨時都能看到

②. 網絡安全問題-數據完整性問題
傳輸的數據不能隨意讓任何人進行修改

③. 網絡安全問題-身份驗證問題
第一次通訊時,需要確認通訊雙方的身份正確

02:網絡安全涉及的問題:
①. 網絡安全問題-數據機密性問題解決
a) 利用普通加密算法解決機密性
利用相應算法,對傳輸數據(明文數據)進行加密(密文數據);再利用對應算法,將加密數據解密變為真實數據
優點:實現了數據機密傳輸,避免了明文傳輸數據的危險性。
缺點:利用加密算法,將明文改密文,如果第三方獲得加密算法,即可將傳輸密文再次變為明文

    b) 利用對稱加密算法解決機密性(重要的一種加密方式)
        對稱加密算法就好比將普通算法的規則手冊放入到了保險櫃裏,只有獲取保險櫃和保險櫃鑰匙才能獲取《算法手冊》
        優點:密鑰加密算法計算速度非常快;解決了普通加密算法的安全問題
        缺點:加解密過程的安全性完全依賴於密鑰,並且對稱加密密鑰是公開的,當通訊加密對象過多時,無法解決密鑰管理問題。

②. 網絡安全問題-數據完整性問題解決
    a) 利用單項加密算法(全網備份數據完整性)
        根據數據生成特征碼(數據指紋信息);接收數據方獲取數據信息算出特征碼,驗證是否與發送過來的特征碼一致
        若特征碼一致,表示數據完整性沒被破壞;若特征碼不一致,表示數據已被破壞,直接丟棄
        ****************************************************************************
        擴展說明:
        01:不同數據的特征碼(數據指紋信息)是不可能一致的
            單項加密算法特征
            · 數據輸入一樣,特征碼信息輸出必然相同
            · 雪崩效應,輸入的微小改變,將造成輸出的巨大改變
            · 定長輸出,無論源數據多大,但結果都是一樣的
            · 不可逆的,無法根據數據指紋,還原出原來的數據信息。
        ****************************************************************************

        優點:有效的解決了數據完整性問題
        缺點:沒有考慮中間人×××對數據信息的影響

    b) 利用單項加密算法(加密特征碼)
        利用對稱加密算法對數據加密的同時,也對特征碼進行加密;
        接收方擁有和發送方一樣的密鑰,才可以解密加密後的數據和特征碼
        而中間人加密的特征碼是沒有辦法讓接收方進行解密的,所以接收方獲取不了特征碼,直接丟棄數據
        ****************************************************************************
        擴展說明:
        01:那麽對稱密鑰如何有效的讓通訊雙方獲取呢
            需要進行對稱密鑰協商過程,即通過密鑰交換機制(Internet key exchange IKE)
            實現密鑰交換機制的協議稱為diffie-hellman協議
        ****************************************************************************            

③. 網絡安全問題-身份驗證問題解決
a)利用非對稱密鑰加密算法(公鑰加密算法)
發送方建立私鑰和公鑰,將公鑰發送給接收方,從而實現發送數據方的身份驗證

       讓你的母親驗證你的爸爸身份信息,你的母親就稱為證書頒發機構
       公鑰信息在網站訪問過程中,被稱為證書(×××)  

網絡安全問題結論:實現網絡安全性,需要解決問題的順序為
1. 解決身份驗證問題
2. 解決數據完整性問題
3. 解決數據機密性問題    

03:網絡安全證書由來:
根據上述結論可知,網絡安全性最首先要解決的就是身份驗證問題;
而解決身份驗證問題,最主要的方式就是借助私鑰和公鑰
而最主要的公鑰信息獲取就變得尤為重要;利用第三方公正者,公正公鑰信息

目前標準的證書存儲格式是x509,還有其他的證書格式,需要包含的內容為:
證書==×××
?   公鑰信息,以及證書過期時間  
?   證書的合法擁有人信息  
?   證書該如何被使用(不用關註)   
?   CA頒發機構信息 
?   CA簽名的校驗碼    

04: OpenSSL軟件詳細說明
獲取OpenSSL軟件的版本信息:
rpm -qa openssl
openssl version <- 查看openssl版本信息

獲取OpenSSL配置文件信息:
/etc/pki/tls/openssl.cnf            <- openssl配置文件,主要用於配置成私有ca時進行使用
說明:基本上openssl配置文件不需要運維過多修改配置

利用openssl軟件實現HTTPS訪問過程
實現HTTPS:
第一步:創建出一個私鑰文件(出生證明)             --- 運維人員需要會
方法一:openssl genrsa 2048 >server.key         <- 創建私鑰信息,並指定私鑰的長度為2048,並將生成
或者:                                          的私鑰信息保存在一個文件中
openssl genrsa -out server.key 2048     <- 將私鑰信息直接進行保存,加密長度一定要放在輸出文件後面
chmod 600 server.key
方法二:(umask 077;openssl genrsa -out server1024.key 1024)     
                                        <- 利用小括號,實現子shell功能,臨時修改umask,使之創建的私鑰文件權限為600
第二步:生成證書文件信息
①. 生成自簽發證書  註意:自簽發證書一般用來測試用的                   --- 運維人員可以自行操作
[root@NFS-server-01 ~]# openssl req -new -x509 -key server.key -out server.crt -days 365
req     <- 用於請求創建一個證書文件
new     <- 表示創建的是新的證書
x509    <- 表示定義證書的格式為標準格式
key     <- 表示調用的私鑰文件信息
out     <- 表示輸出證書文件信息
days    <- 表示證書的有效期
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN                    <- 定義生成證書的國家
State or Province Name (full name) []:BJ                <- 定義生成證書的省份
Locality Name (eg, city) [Default City]:BJ              <- 定義生成證書的城市
Organization Name (eg, company) [Default Company Ltd]:oldboy              <- 定義生成證書的組織
Organizational Unit Name (eg, section) []:it                              <- 定義生成證書的職能部門

Common Name (eg, your name or your server‘s hostname) []:oldboy.com.cn <- 定義主機服務器名稱
說明:此輸出信息非常重要,客戶端在獲取證書前,會利用主機名與相應服務器之間建立連接,然後獲得證書
Email Address []:

②. 向證書頒發機構申請證書            --- ca證書版本機構完成
    生成請求證書文件 (戶口本)       --- 運維人員完成
    openssl req -new -key server.key -out server.csr  註:這個步驟,後面要求設置密碼,避免自己公司的信息泄露
    獲取得到證書文件 (×××)       --- ca頒發機構完成   
    省略

第三步:配置網站服務,加載私鑰和證書信息
server {
    listen        80;
    server_name  www.etiantian.org;
    rewrite ^(.*)$  https://$host$1 permanent; 
}
server {
    listen       443;
    server_name  www.etiantian.org;
    ssl on;
    ssl_certificate /server/key/server.crt;
    ssl_certificate_key /server/key/server.key;
    root   html/www;
    index  index.html index.htm;
}

第四步:利用瀏覽器訪問測試   

ssl模塊官方鏈接:http://nginx.org/en/docs/http/ngx_http_ssl_module.html

HTTPS安全證書訪問連接實踐配置