1.1 單向認證 ssl 步驟
1、客戶端的瀏覽器向伺服器傳送客戶端 ssl 協議的版本號,加密演算法的種類,產生的隨機數,以及其他伺服器和客戶端之間通訊所需要的各種資訊
2、伺服器向客戶端傳送 ssl 協議的版本號,加密演算法的種類,隨機數以及其他相關資訊,同時伺服器還將向客戶端傳送自己的證書
3、客戶利用伺服器傳過來的資訊驗證伺服器的合法性,伺服器的合法性包括:證書是否過期,發行伺服器證書的 ca 是否可靠,發行者證書的公鑰能否正確解開伺服器證書的「發行者的數字簽名」,伺服器證書上的網域名稱是否和伺服器的實際網域名稱相匹配。如果合法性驗證沒有通過, 通訊將斷開;如果合法性驗證通過,將繼續進行第4步
4、使用者端隨機產生乙個用於後面通訊的「對稱密碼」,然後用伺服器的公鑰(伺服器的公鑰從步驟2中的伺服器的證書中獲得)對其加密,然後將加密後的「預主密碼」傳給伺服器
5、如果伺服器要求客戶的身份認證(在握手過程中為可選),使用者可以建立乙個隨機數然後對其進行資料簽名,將這個含有簽名的隨機數和客戶自己的證書以及加密過的「預主密碼」一起傳給伺服器
6、如果伺服器要求客戶的身份認證,伺服器必須檢驗客戶證書和簽名隨機數的合法性,具體的合法性驗證過程包括:客戶的證書使用日期是否有效,為客戶提供證書的 ca 是否可靠,發行ca 的公鑰能否正確解開客戶證書的發行 ca 的數字簽名,檢查客戶的證書是否在證書廢止列表(crl)中。檢驗如果沒有通過,通訊立刻中斷;如果驗證通過,伺服器將用自己的私鑰解開加密的「預主密碼 」,然後執行一系列步驟來產生主通訊密碼(客戶端也將通過同樣的方法產生相同的主通訊密碼)
7、伺服器和客戶端用相同的主密碼即「通話密碼」,乙個對稱金鑰用於 ssl 協議的安全資料通訊的加解密通訊。同時在 ssl 通訊過程中還要完成資料通訊的完整性,防止資料通訊中的任何變化
8、客戶端向伺服器端發出資訊,指明後面的資料通訊將使用的步驟7中的主密碼為對稱金鑰,同時通知伺服器客戶端的握手過程結束
9、伺服器向客戶端發出資訊,指明後面的資料通訊將使用的步驟7中的主密碼為對稱金鑰,同時通知客戶端伺服器端的握手過程結束
10、ssl 的握手部分結束,ssl 安全通道的資料通訊開始,客戶和伺服器開始使用相同的對稱金鑰進行資料通訊,同時進行通訊完整性的檢驗
1.2 雙向認證 ssl 步驟
1、瀏覽器傳送乙個連線請求給安全伺服器
2、伺服器將自己的證書,以及同證書相關的資訊傳送給客戶瀏覽器
3、客戶瀏覽器檢查伺服器送過來的證書是否是由自己信賴的 ca 中心所簽發的。如果是,就繼續執行協議;如果不是,客戶瀏覽器就給客戶乙個警告訊息:警告客戶這個證書不是可以信賴的,詢問客戶是否需要繼續
4、接著客戶瀏覽器比較證書裡的訊息,例如網域名稱和公鑰,與伺服器剛剛傳送的相關訊息是否一致,如果是一致的,客戶瀏覽器認可這個伺服器的合法身份
5、伺服器要求客戶傳送客戶自己的證書。收到後,伺服器驗證客戶的證書,如果沒有通過驗證,拒絕連線;如果通過驗證,伺服器獲得使用者的公鑰
6、客戶瀏覽器告訴伺服器自己所能夠支援的通訊對稱密碼方案
7、伺服器從客戶傳送過來的密碼方案中,選擇一種加密程度最高的密碼方案,用客戶的公鑰加過密後通知瀏覽器
8、瀏覽器針對這個密碼方案,選擇乙個通話金鑰,接著用伺服器的公鑰加過密後傳送給伺服器
9、伺服器接收到瀏覽器送過來的訊息,用自己的私鑰解密,獲得通話金鑰
10、伺服器、瀏覽器接下來的通訊都是用對稱密碼方案,對稱金鑰是加過密的
1.3 常見證書格式
1、 pkcs:public-key cryptography standards ,是由 rsa 實驗室與其它安全系統開發商為促進公鑰密碼的發展而制訂的一系列標準
2、x.509:常見通用的證書格式。所有的證書都符合為public key infrastructure (pki) 制定的 itu-t x509 國際標準。x.509是國際電信聯盟-電信(itu-t)部分標準和國際標準化組織(iso)的證書格式標準。作為itu-iso目錄服務系列標準的一部分,x.509是定義了公鑰證書結構的基本標準。
3、常見證書格式
副檔名檔案格式
含證書含私鑰
備註.der
二進位制是
否.cer
二進位制是
否.crt
二進位制/文字是否
.pem
文字可選
可選只含私鑰時可使用.key做副檔名,帶密碼保護
.pfx
二進位制是
是.p12
二進位制是
是2.1 生成證書(根證書、服務端證書、客戶端證書)
2.1.2 測試:自己生成 根證書、服務端證書、客戶端證書
1、根證書
1)建立根證書私鑰
openssl genrsa -out root-key.key 1024
2)建立根證書請求檔案
openssl req -new -out root-req.csr -key root-key.key
注:國家,省市,公司等需要和後面的證書保持一致,challenge password直接回車即可
3)自簽根證書
openssl x509 -req -in root-req.csr -out root-cert.cer -signkey root-key.key -cacreateserial -days 3650
4)生成p12格式根證書,密碼填寫123456
openssl pkcs12 -export -clcerts -in root-cert.cer -inkey root-key.key -out root.p12
2、服務端證書
1)生成服務端key
openssl genrsa -out server-key.key 1024
2)生成服務端請求檔案
openssl req -new -out server-req.csr -key server-key.key
注:國家,省市,公司等需要和1.2保持一致,common name是伺服器網域名稱,本地測試時可通過配置host將ip對映成網域名稱
3)生成服務端證書(root證書,rootkey,服務端key,服務端請求檔案這4個生成服務端證書)
openssl x509 -req -in server-req.csr -out server-cert.cer -signkey server-key.key -ca root-cert.cer -cakey root-key.key -cacreateserial -days 3650
3、生成客戶端證書
1)生成客戶端key
openssl genrsa -out client-key.key 1024
2)生成客戶端請求檔案
openssl req -new -out client-req.csr -key client-key.key
3)生成客戶端證書(root證書,rootkey,客戶端key,客戶端請求檔案這4個生成客戶端證書)
openssl x509 -req -in client-req.csr -out client-cert.cer -signkey client-key.key -ca root-cert.cer -cakey root-key.key -cacreateserial -days 3650
4)生成客戶端p12格式根證書(密碼設定123456)
openssl pkcs12 -export -clcerts -in client-cert.cer -inkey client-key.key -out client.p12
2.2 nginx server配置
server }
說明:1、網域名稱zhanghao61 在host中已配置為對映到本地127.0.0.1
2、服務端證書根據具體使用的證書進行調整
2.3 客戶端配置(chrom為例)
1、直接呼叫測試介面
2、為瀏覽器證書管理中匯入client.p12和root.p12(可能需要手動信任證書)
3、再次訪問測試介面:正常返回
雙向認證 什麼是單向認證和雙向認證?
雙向認證 ssl 協議要求伺服器和使用者雙方都有證書。單向認證 ssl 協議不需要客戶擁有ca證書,具體的過程相對於上面的步驟,只需將伺服器端驗證客戶證書的過程去掉,以及在協商對稱密碼方案,對稱通話金鑰時,伺服器傳送給客戶的是沒有加過密的 這並不影響 ssl 過程的安全性 密碼方案。這樣,雙方具體的...
ssl雙向認證
ssl雙向認證 ca.key 根證書的私鑰 ca.crt 根證書的簽名證書 server.key,server.crt client.key,client.crt 1 openssl ca.key,ca.crt 2 openssl server.key server.csrserver.crt 3 ...
linux ssl 雙向認證
一,首先切換到apache目錄下,建立乙個ca資料夾 sudo mkdir ca sudo chmod 777 ca 二,然後進去ca資料夾 cp ca 三,建立其它檔案 mkdir democa mkdir democa newcerts mkdir democa private touch de...