^-^
HTTPS篇
  1. 什么是HTTPS
  2. HTTPS加密过程
  3. HTTPS证书
    1. 证书介绍
    2. 购买证书(阿里云部署https)
    3. 自建证书

什么是HTTPS

HTTPS是HTTP通信之间的一个安全通道。https不是一个单独的协议,而是基于http通信之间的一个安全通道。

1
2
3
https =   http +  ssl(旧版)	Secure Sockets Layer  安全套接字层

https =  http  + tls (新版)	Transport Layer Security  传输层安全协议

在网络中,通过明文传输数据会导致很多问题

数据机密性

在网络传输数据信息时,对数据的加密是至关重要的,否则所有传输的数据都是可以随时被第三方看到,完全没有机密性可言。

数据完整性

网络传输数据的完整性,也是安全领域中需要考虑的重要环节,如果不能保证传输数据的完整性,那传输过程中的数据就有可能被任何人所篡改,而传输数据双方又不能及早的进行发现。将会造成互连通讯双方所表达信息的意义完全不一致。因此,对于不完整的数据信息,接收方应该进行相应判断,如果完整性验证错误,就拒绝接收相应的数据。

身份验证问题

网络中传输数据时,很有可能传输的双方是第一次建立连接,进行相互通讯,既然是第一次见面沟通,如何确认对方的身份信息,的确是我要进行通讯的对象呢?

如果不是正确的通讯对象,在经过通讯后,岂不是将所有数据信息发送给了一个陌生人。

如下明文传输的协议,都是不安全的,因此,至少要放在内网,才保证基本安全

1
2
3
4
ftp协议   vsftpd 账户密码验证 都是明文传输,人家直接看到你的账户密码
http协议   ,去登录淘宝,登录发送 login.html  账户密码截取。 
smtp邮箱协议,邮箱协议,账号免密都被明文传输,
telnet协议  ,登录服务器的,登录资产设备,网络设备,服务器设备,都是明文。

HTTPS加密过程

针对以上数据机密性、数据完整性和身份验证问题,可以用以下几种数据加密方式来解决:

数据加密方式 描述 主要解决的问题 常用算法
对称加密 数据加密和解密使用相同的密钥 数据的机密性 DES、AES
非对称加密 也叫公钥加密,指数据加密和解密使用不同的密钥(密钥对) 身份验证 DSA、RSA
单向加密 只能加密数据,不能解密数据 数据的完整性 MD5、SHA系列算法

为保证数据传输的安全性,需要从两个角度来考虑数据加密:

  1. 确认对方的身份,确保连接的目标是正确的。(一般使用非对称加密,更加安全,速度略慢于对称加密)
  2. 连接成功以后,后续的数据传输。(一般使用对称加密,足够安全且速度够快)
1
2
3
4
5
6
7
8
9
10
11
12
13
1. 服务端有一对儿数字证书,包含私钥、公钥(非对称加密算法),也被称为CA证书,这个证书由专门的证书服务商提供,受互联网信任。(也可以自己创建CA证书,但是没人认。。)

2. 客户端发起https://请求,默认端口443

3. 服务端接收到请求后自动将自己的CA证书发给客户端

4. 客户端收到CA证书后,浏览器自动判断,是否在有效期内,是否受互联网信任,信任就是小绿锁,否则就是红色大叉。

5. 客户端如果验证证书通过、此时会【生成一个随机数】通过公钥对随机数加密

6. 客户端将这个【公钥加密后的随机数】发给服务端

7. 服务端接到这个【公钥加密后的随机数】后,使用自己的随机数解密,确认建立连接,后续的所有数据交互,通过这个随机数实现数据【对称加密】。

HTTPS证书

证书介绍

为什么需要证书

http协议通信的网址,浏览器会不信任,明确告知这个http的数据是明文传输,会被黑客截取。

各大云厂商,比如查看阿里云,提供的证书购买功能,以及证书知识的介绍。

1
https://help.aliyun.com/document_detail/188316.html?spm=5176.14113079.help.dexternal.57f96b84CwPbL2

证书的类型

https协议通信的网址可以看到证书的详细信息,证书是需要绑定域名的。一般证书,我们就关注2个点,证书绑定的域名和证书的有效期。

1
2
3
4
5
DV类型证书:中文全称是域名验证型证书,证书审核方式为通过验证域名所有权即可签发证书。此类型证书适合个人和小微企业申请,价格较低,申请快捷,但是证书中无法显示企业信息,安全性较差。在浏览器中显示锁型标志。

OV类型证书:中文全称是企业验证型证书,证书审核方式为通过验证域名所有权和申请企业的真实身份信息才能签发证书。目前OV类型证书是全球运用最广,兼容性最好的证书类型。此证书类型适合中型企业和互联网业务申请。在浏览器中显示锁型标志,并能通过点击查看到企业相关信息。支持ECC高安全强度加密算法,加密数据更加安全,加密性能更高。

EV类型证书:中文全称是增强验证型证书,证书审核级别为所有类型最严格验证方式,在OV类型的验证基础上额外验证其他企业的相关信息,比如银行开户许可证书。EV类型证书多使用于银行,金融,证券,支付等高安全标准行业。其在地址栏可以显示独特的EV绿色标识地址栏,最大程度的标识出网站的可信级别。支持ECC高安全强度加密算法,加密数据更加安全,加密性能更高。

绑定单域名或泛域名

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
1. 绑定单个域名,如 www.bilibili.com,只能单独的给一个虚拟主机去部署
便宜,免费使用,信任度不够,加密算法,强度不够,安全性,不够高

server{

	server_name www.bilibili.com;
	证书公钥地址  xxx;
	证书私钥地址  xxx;
}


2. 绑定泛域名,二级域名,如*.bilibili.com
价格昂贵,加密算法更强,非常牢靠,可以给多个nginx去使用

server{
	server_name www.bilibili.com;
	泛域名证书公钥地址  xxx;
	泛域名证书私钥地址  xxx;
}

server{
	server_name api.bilibili.com;
	泛域名证书公钥地址  xxx;
	泛域名证书私钥地址  xxx;
}

server{
	server_name movie.bilibili.com;
	泛域名证书公钥地址  xxx;
	泛域名证书私钥地址  xxx;
}

购买证书(阿里云部署https)

1
2
3
4
5
6
去阿里云ssl证书控制台,申请20个免费的证书,但是都只能绑定单域名
https://yundun.console.aliyun.com/?p=cas#/certExtend/buy

证书申请,填写个人资料,新建证书管理员的联系人资料
提交到认证公司,保持电话畅通,并及时查阅邮箱中来自认证公司的电子邮件。
收到提供的一对证书文件,下载之后就可以部署到nginx上了。

自建证书

一部分业务,是纯内网环境的,需要自建https证书。

通过公司内部的dns系统,提供的域名,绑定https证书

安装nginx和openssl

1
2
yum install nginx -y							# 安装nginx
yum install openssl openssl-devel -y			# 安装openssl

创建证书的目录

1
2
mkdir -p /etc/nginx/ssl-cert/					# 创建证书目录
cd /etc/nginx/ssl-cert/							# 进入证书目录可

创建私钥文件

1
2
3
openssl genrsa -idea -out server.key 2048		
#阿里云rsa非对称加密算法,密钥长度是2048,输出密钥信息到server.key文件中,-idea是加密算法的名字
#必须输入密码才可以创建,为了保护私钥

基于私钥文件去创建公钥

1
2
3
openssl req -days 36500 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt
#req:表示这是一个证书签发请求命令。-days 36500:设置生成的证书的有效期为36500天,即约100年。-x509:表示生成自签名的 X.509 格式的证书。-sha256:使用 SHA256 算法来签名证书。-nodes:生成的私钥不需要密码加密。-newkey rsa:2048:生成一个新的 RSA 私钥,长度为 2048 位。-keyout server.key:将生成的私钥存储到文件 server.key 中。-out server.crt:将生成的证书存储到文件 server.crt 中。
#在创建公钥证书的时候,会要求填写企业,组织信息

查看证书

1
2
ls /etc/nginx/ssl-cert
#到这里一对非对称的公私钥就创建好了,下一步和去阿里云下载的证书一样,交给nginx即可。
2023-09-23 该篇文章被 邓胖胖 打上标签: 服务架构 归为分类: 学习笔记