HTTPS SSL配置的步驟以及原理說明

2022-03-22 00:40:27 字數 2803 閱讀 5987

說在前面

1.單向認證,就是傳輸的資料加密過了,但是不會校驗客戶端的**

2.雙向認證,如果客戶端瀏覽器沒有匯入客戶端證書,是訪問不了web系統的,找不到位址,想要用系統的人沒有證書就訪問不了系統https概念

https概念

1)簡介  

2)https和http的區別

a. https協議需要到ca申請證書,一般免費證書很少,需要交費。

b. http是超文字傳輸協議,資訊是明文傳輸;https 則是具有安全性的ssl加密傳輸協議。

c. http和https使用的是完全不同的連線方式,用的預設埠也不一樣,前者是80,後者是443。

d. http的連線很簡單,是無狀態的;https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議,比http協議安全。

3)https的作用

a. 一般意義上的https,就是伺服器有乙個證書。主要目的是保證伺服器就是他聲稱的伺服器,這個跟第一點一樣;服務端和客戶端之間的所有通訊,都是加密的。

b. 具體講,是客戶端產生乙個對稱的金鑰,通過伺服器的證書來交換金鑰,即一般意義上的握手過程。

c. 接下來所有的資訊往來就都是加密的。第三方即使截獲,也沒有任何意義,因為他沒有金鑰,當然篡改也就沒有什麼意義了。

d.少許對客戶端有要求的情況下,會要求客戶端也必須有乙個證書。

這裡客戶端證書,其實就類似表示個人資訊的時候,除了使用者名稱/密碼,還有乙個ca 認證過的身份。因為個人證書一般來說是別人無法模擬的,所有這樣能夠更深的確認自己的身份。目前少數個人銀行的專業版是這種做法,具體證書可能是拿u盤(即u盾)作為乙個備份的載體。

ssl簡介

1)簡介

2)ssl提供的服務

a.認證使用者和伺服器,確保資料傳送到正確的客戶機和伺服器

b.加密資料以防止資料中途被竊取

c.維護資料的完整性,確保資料在傳輸過程中不被改變。

3) ssl協議的握手過程

ssl 協議既用到了公鑰加密技術又用到了對稱加密技術,對稱加密技術雖然比公鑰加密技術的速度快,可是公鑰加密技術提供了更好的身份認證技術。ssl 的握手協議非常有效的讓客戶和伺服器之間完成相互之間的身份認證,其主要過程如下:

①客戶端的瀏覽器向伺服器傳送客戶端ssl協議的版本號,加密演算法的種類,產生的隨機數,以及其他伺服器和客戶端之間通訊所需要的各種資訊。

②伺服器向客戶端傳送ssl協議的版本號,加密演算法的種類,隨機數以及其他相關資訊,同時伺服器還將向客戶端傳送自己的證書。

③客戶利用伺服器傳過來的資訊驗證伺服器的合法性,伺服器的合法性包括:證書是否過期,發行伺服器證書的ca 是否可靠,發行者證書的公鑰能否正確解開伺服器證書的「發行者的數字簽名」,伺服器證書上的網域名稱是否和伺服器的實際網域名稱相匹配。如果合法性驗證沒有通過,通訊將斷開;如果合法性驗證通過,將繼續進行第四步。

④使用者端隨機產生乙個用於後面通訊的「對稱密碼」,然後用伺服器的公鑰(伺服器的公鑰從步驟②中的伺服器的證書中獲得)對其加密,然後傳給伺服器。

⑤伺服器用私鑰解密「對稱密碼」(此處的公鑰和私鑰是相互關聯的,公鑰加密的資料只能用私鑰解密,私鑰只在伺服器端保留。詳細請參看: 然後用其作為伺服器和客戶端的「通話密碼」加解密通訊。同時在ssl 通訊過程中還要完成資料通訊的完整性,防止資料通訊中的任何變化。

⑥客戶端向伺服器端發出資訊,指明後面的資料通訊將使用的步驟⑤中的主密碼為對稱金鑰,同時通知伺服器客戶端的握手過程結束。

⑦伺服器向客戶端發出資訊,指明後面的資料通訊將使用的步驟⑤中的主密碼為對稱金鑰,同時通知客戶端伺服器端的握手過程結束。

⑧ssl 的握手部分結束,ssl 安全通道的資料通訊開始,客戶和伺服器開始使用相同的對稱金鑰進行資料通訊,同時進行通訊完整性的檢驗。

https_ssl配置的步驟:

伺服器端單向認證:

附加內容:若要使得應用只能通過https的方式訪問,在該項目的web.xml檔案中加入如下**:

測試 :在瀏覽器中輸入:https://localhost:8443/,會彈出選擇客戶端證書介面,點選「確定」,會進入tomcat主頁,位址列後會有「鎖」圖示,表示本次會話已經通過https雙向驗證,接下來的會話過程中所傳輸的資訊都已經過ssl資訊加密。

可能存在的問題:

eclipse中啟動tomcat7.0,本地tomcat配置檔案被eclipse恢復。

問題是這樣的,在eclipse的servers配置項裡,將tomcat的啟動配置為了use tomcat location,但是每次在eclipse裡publish專案都會把本地g:\tomcate7.0\apache-tomcat-7.0.29\conf下的配置檔案(如:tomcat-user.xml新增了使用者等資訊)給重置,也就是裡面新增的內容被清空了,回覆到原來的樣子:

問題解決方案:

你eclipse工程列表中應該 還有個 servers 工程,下面會有tomcat7的配置檔案,你把裡面的對應配置檔案改了。每次是用這個檔案來覆蓋,tomcat下面的檔案的。

特定的目錄實現https訪問

解決方案:

在web.xml檔案中配置相應的路徑

ssl/login.html

confidential

Nginx下配置HTTPS(SSL)安全站點

一 準備證書 通常情況下 的ssl證書是由專門的ca機構 如verisign 頒發,同時需要交納一定數額的費用。可是對於平時開發測試或其他情況下,我們自己也可以充當ca來生成自己頒發的證書。當然與前者相比缺點很明顯 不能獲得各個瀏覽器的信任,會彈出警告提示。如 好訊息是,對安全性要求稍低的 現在可以...

描述轉殖linux的步驟,以及後續配置

2,描述轉殖 linux 的步驟,以及後續配置 linux初始機配置完畢後,拍攝快照,用快照完成轉殖虛擬機器。登陸轉殖的虛擬機器,輸入命令修改網絡卡資訊 修改ipaddr,不能和母機同樣的 ip位址,否則 ip衝突。3 修改70 persistent net.rules 檔案 4.重啟網絡卡 sta...

配置呼叫action的步驟以及注意事項

步驟1 將struts blank中例子中的lib匯入到當前專案的lib中 步驟2 配置好web.xml中的過濾器,同樣copy的struts blank中的web.xml 步驟3 編寫你的action類 步驟4 編寫struts.xml 檔名必須完全一致,位置應該 src下,別把該檔案放在步驟3中...