SSL安全访问协议及配置

我不是女神ヾ 2022-05-20 08:20 214阅读 0赞

一.https协议介绍

概述：

https=http+ssl（安全套接层）

![70][]

https公钥验证失败警告：

1、证书不受信任会出现该警告

2、证书受信任，但并非在当前访问域名下也会出现此警告。

![70 1][]

公钥证书查看方法：

![70 2][]![70 3][]

上图所示为普通的https网站实例，某些网站https公钥类型不同则会有其它展现形式，如：

中国工商银行：

![70 4][]

![70 5][]

![70 6][]

查看本机证书管理控制台：

![70 7][]

受信任的证书颁发机构列表，若网页能正常访问，那么其证书就存在于该列表中：

![70 8][]

工作原理步骤：

1、用户（客户端）先向服务器发送一个https请求

2、服务器拿到请求之后进行处理，服务器端存放了2个钥匙（私钥、公钥，公钥和私钥是不一样的，但是是一对，可以开一把锁），具体的处理步骤如下：先使用私钥把需要响应客户端的内容进行加密，再去把公钥随同响应内容一起发送给客户端

3、当浏览器获取到服务器端响应内容之后先去验证公钥的有效性，如果验证通过则继续后续操作，如果验证不通过，则会显示警告信息；受信任则产生随机的钥匙，然后使用公钥进行内容的加密

4、将加密完成的数据发送给服务器端

5、服务器端在获取加密信息之后再去使用私钥进行解密

6、服务器再去把需要响应的内容再返回给客户端，发送之前先使用私钥进行加密；

后续的步骤就是循环这个过程，只是后面不需要每次传送公钥

二.ssl协议配置

证书即公钥:

证书中有颁发者: 也就是证书的签发人(CA,即证书签发机构)

通过证书路径可以看到找到根证书:

![70 9][]

证书的颁发是层级结构的,根证书父级还存在一个证书,该证书是全局证书,"自己发给自己",所有的子级证书都受信任于这个证书.

ssl部署时要求:证书使用的域名要和证书允许的域名一致(要么和"颁发给"或者和"使用者的可选名称"中给定的域名一致)

证书大多都是需要收费申请的,也有部分类型是免费的.现在CA一般不会给ip颁发,只给域名颁发,之前可以给ip颁发.

申请后的证书文件目录结构如:

![70 10][]

CA机构不止一家

证书是有有效期的.

![70 11][]

若域名通过https访问如下则表示https没有配置ok:

![70 12][]

在apache中配置https协议环境

配置文件httpd-ssl.conf(apache目录下Conf/extra/httpd-ssl.conf)

修改httpd.conf文件，引入httpd-ssl.conf

“Include conf/extra/httpd-ssl.conf”

httpd中开启ssl扩展：

LoadModule ssl\_module modules/mod\_ssl.so

将证书文件以及其关联文件全部复制到apache目录下一个指定目录（如“i:/wamp/apache/conf/ssl/https/”）

即以下三个文件：

bundle.crt

privatekey.key

publickey.crt

crt证书文件内容是经过base64加密过的。

修改httpd-ssl.conf中相关配置段如下：

\#ssl站点根目录

DocumentRoot "I:\\www"

\#ssl协议站点访问域名

ServerName www.itcast.biz:443

\#管理员邮箱，在站点产生500错误会显示在页面上

ServerAdmin admin@example.com

\#ssl引擎开关

SSLEngine on

\#ssl加密的组件，允许客户端使用的加密套件

SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

\#服务器证书文件

SSLCertificateFile "I:\\www\\Apache\\conf\\ssl\\https\\publickey.crt"

\#服务器私钥证书

SSLCertificateKeyFile " I:\\www\\Apache\\conf\\ssl\\https\\privatekey.key"

\#证书信任链文件

SSLCertificateChainFile " I:\\www\\Apache\\conf\\ssl\\https\\bundle.crt"

精简配置项后如下图：

![70 13][]

注：在window下\\/都可以使用，在linux下必须/。

重启apache

[70]: /images/20220520/a49da2b6368b4bc89a9bcb06037356a4.png
[70 1]: /images/20220520/49686ee09bfa48158a26915f847596fb.png
[70 2]: https://img-blog.csdn.net/20180715214128352?watermark/2/text/aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3JpanU0NzEz/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70
[70 3]: /images/20220520/90197006995b446899f6f5fbacb34465.png
[70 4]: /images/20220520/5a12b47054c444699dfb830c99469b15.png
[70 5]: /images/20220520/d143fd87c2c34170bd4830247987512d.png
[70 6]: /images/20220520/fc095c444f9e4bad9021b6d70de475d9.png
[70 7]: /images/20220520/4748f156f32b4ff98de05cc6a90fbc1a.png
[70 8]: /images/20220520/67330a7d34634541b93cbb9ebab7a5b4.png
[70 9]: /images/20220520/e2139f94d68640449dfd5b5b384a2fe2.png
[70 10]: /images/20220520/98b4fef657074914872b588167d76f56.png
[70 11]: /images/20220520/0df749b24d094db1bd5b769155fe3e1f.png
[70 12]: /images/20220520/7aaeca8533c24784a30bed1b02dbcf38.png
[70 13]: /images/20220520/a8dde0c2ef364267b7b9d5e2588366eb.png