本文將通過實(shí)驗(yàn)來實(shí)現(xiàn)https加密吐句。主要內(nèi)容如下:
- https 簡介以及與http的區(qū)別
- SSL會話的簡化過程
- 實(shí)驗(yàn)實(shí)現(xiàn)https
https 簡介以及與http的區(qū)別
https簡介
HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版嵌赠。HTTPS,即http over ssl撵颊,是HTTP下加入SSL層问慎,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容就需要SSL当凡。
https和http區(qū)別
超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息山害。HTTP協(xié)議以明文方式發(fā)送內(nèi)容,不提供任何方式的數(shù)據(jù)加密沿量,如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報文浪慌,就可以直接讀懂其中的信息,因此HTTP協(xié)議不適合傳輸一些敏感信息朴则,比如信用卡號权纤、密碼等。
為了解決HTTP協(xié)議的這一缺陷乌妒,需要使用另一種協(xié)議:安全套接字層超文本傳輸協(xié)議HTTPS汹想。為了數(shù)據(jù)傳輸?shù)陌踩琀TTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議撤蚊,SSL依靠證書來驗(yàn)證服務(wù)器的身份古掏,并為瀏覽器和服務(wù)器之間的通信加密。
HTTPS和HTTP的區(qū)別主要為以下四點(diǎn):
一侦啸、https協(xié)議需要到ca申請證書槽唾,一般免費(fèi)證書很少丧枪,需要交費(fèi)。
二庞萍、http是超文本傳輸協(xié)議拧烦,信息是明文傳輸,https 則是具有安全性加密傳輸協(xié)議挂绰。
三屎篱、http和https使用的是完全不同的連接方式,用的端口也不一樣葵蒂,前者是80,后者是443重虑。
四践付、http的連接很簡單,是無狀態(tài)的缺厉;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸永高、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,比http協(xié)議安全提针。
SSL會話的簡化過程
一命爬、客戶端發(fā)送可供選擇的加密方式,并向服務(wù)器請求證書辐脖。
二饲宛、服務(wù)器端發(fā)送證書以及選定的加密方式給客戶端,這個證書是用CA的私鑰加密的服務(wù)器的公鑰以及證書的有效期等信息嗜价,也就是CA數(shù)字簽名的證書艇抠。
三、客戶端取得證書并進(jìn)行證書驗(yàn)證
如果信任給服務(wù)器發(fā)證書的CA久锥,客戶端會實(shí)驗(yàn)得到CA的公鑰
- 驗(yàn)證證書來源的合法性家淤;用CA的公鑰解密證書上數(shù)字簽名
- 驗(yàn)證證書的內(nèi)容的合法性:完整性驗(yàn)證
- 檢查證書的有效期限
- 檢查證書是否被吊銷
- 證書中擁有者的名字,與訪問的目標(biāo)主機(jī)要一致
四瑟由、客戶端生成臨時會話密鑰(對稱密鑰)絮重,并使用服務(wù)器端的公鑰加密此數(shù)據(jù)發(fā)送給服務(wù)器,完成密鑰交換歹苦。
五青伤、 服務(wù)用此密鑰加密用戶請求的資源,響應(yīng)給客戶端暂氯。
實(shí)驗(yàn)實(shí)現(xiàn)https
下面是實(shí)驗(yàn)的拓?fù)鋱D潮模。
基本要實(shí)現(xiàn)的功能大致可以從圖中獲取,這里不再仔細(xì)介紹痴施。直接進(jìn)行實(shí)驗(yàn)擎厢。
環(huán)境準(zhǔn)備
準(zhǔn)備4臺虛擬機(jī)究流。
A:系統(tǒng)是centos7.3,IP地址是192.168.1.7动遭,充當(dāng)CA芬探,負(fù)責(zé)給websrv頒發(fā)證書;
B:系統(tǒng)是centos6.9厘惦,IP地址是192.168.1.6偷仿,充當(dāng)websrv,供客戶端訪問宵蕉,需要向CA證書頒發(fā)者申請證書酝静,websrv的站點(diǎn)是www.a.com;
C:系統(tǒng)是centos7.3羡玛,IP地址是192.168.1.8别智,充當(dāng)DNS,負(fù)責(zé)向client解析域名稼稿;
D:系統(tǒng)是centos7.3薄榛,IP地址是192.168.1.14,是client让歼,DNS設(shè)置為192.168.1.8敞恋,用于最終訪問websrv。
實(shí)驗(yàn)過程
一谋右、在C上搭建 DNS
- 安裝相關(guān)包硬猫,并啟動服務(wù)
yum install bind
systemctl start named
systemctl enable named
- 修改/etc/named.conf中的兩行
listen-on port 53 { localhost; };
allow-query { any; };
- /etc/named.rfc1912.zones中添加
zone "a.com" IN {
type master;
file "a.com.zone";
};
- 創(chuàng)建區(qū)域數(shù)據(jù)庫
vim /var/named/a.com.zone
$TTL 1D
@ IN SOA dns1.a.com. admin.a.com. (
2017101015 ; serial
86400 ; refresh (1 day)
3600 ; retry (1 hour)
604800 ; expire (1 week)
10800 ; minimum (3 hours)
)
NS dns1.a.com.
dns1 A 192.168.1.8
websrv A 192.168.1.6
www CNAME websrv
- 語法檢查以及重啟服務(wù)
named-checkconf
named-checkzone "a.com" /var/named/a.com.zone
systemctl restart named
- 客戶端測試
# 在D上面,把dns改為192.168.1.8倚评,ping測試
[root@centos7 ~]# ping www.a.com
PING websrv.a.com (192.168.1.6) 56(84) bytes of data.
64 bytes from 192.168.1.6 (192.168.1.6): icmp_seq=1 ttl=64 time=0.309 ms
64 bytes from 192.168.1.6 (192.168.1.6): icmp_seq=2 ttl=64 time=0.345 ms
二浦徊、在A上搭建CA
- 創(chuàng)建私鑰文件
cd /etc/pki/CA
(umask 066; openssl genrsa -out private/cakey.pem 4096)
- 利用私鑰文件生成自簽名證書
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
# 填寫的信息如下
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:henan
Locality Name (eg, city) [Default City]:zhengzhou
Organization Name (eg, company) [Default Company Ltd]:magedu.com
Organizational Unit Name (eg, section) []:Opt
Common Name (eg, your name or your server's hostname) []:ca.magedu.com
Email Address []:
# 查看簽名證書的內(nèi)容
openssl x509 -in cacert.pem -noout -text
- 創(chuàng)建數(shù)據(jù)庫文件以及序列號文件
touch index.txt
echo 00 > serial
三、在B上加載https模塊以及申請證書
- 安裝SSL模塊
一般系統(tǒng)都是安裝httpd天梧,所以只要安裝https模塊就可以了盔性。
yum install mod_ssl
service httpd reload # 安裝完之后需要重新加載httpd服務(wù)
[root@centos6 ~]#httpd -M | grep ssl
Syntax OK
ssl_module (shared)
- 申請證書
cd /etc/httpd/conf.d/
mkdir ssl;cd ssl
# 創(chuàng)建私鑰文件
(umask 066; openssl genrsa -out httpd.key 1024)
# 利用私鑰生成證書申請文件
openssl req -new -key httpd.key -out httpd.csr
# 填寫信息如下
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:henan
Locality Name (eg, city) [Default City]:luoyang
Organization Name (eg, company) [Default Company Ltd]:magedu.com
Organizational Unit Name (eg, section) []:opt
Common Name (eg, your name or your server's hostname) []:*.a.com
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
# 提交證書申請文件
scp httpd.csr 192.168.1.7:/etc/pki/CA/
四、A向B頒發(fā)證書
cd /etc/pki/CA
# 生成證書文件
openssl ca -in httpd.csr -out certs/httpd.crt -days 300
# 將證書發(fā)送給B(websrv)
scp certs/httpd.crt 192.168.1.6:/etc/httpd/conf.d/ssl/
# 將自簽名證書發(fā)送給B
scp cacert.pem 192.168.1.6:/etc/httpd/conf.d/ssl/
# 將自簽名證書發(fā)送給D(client)
scp cacert.pem 192.168.1.14:
五呢岗、在B上使用證書冕香,以及實(shí)現(xiàn)HSTS
HSTS:HTTP Strict Transport Security。服務(wù)器端配置支持HSTS后后豫,會在給瀏覽器返回的HTTP首部中攜帶HSTS字段悉尾。瀏覽器獲取到該信息后,會將所有HTTP訪問請求在內(nèi)部跳轉(zhuǎn)到HTTPS挫酿。
# 修改/etc/httpd/conf.d/ssl.conf文件中的三行
SSLCertificateFile /etc/httpd/conf.d/ssl/httpd.crt
SSLCertificateKeyFile /etc/httpd/conf.d/ssl/httpd.key
SSLCACertificateFile /etc/httpd/conf.d/ssl/cacert.pem
# http重定向https构眯,創(chuàng)建/etc/httpd/conf.d/test.conf,內(nèi)容如下
Header always set Strict-Transport-Security "max-age=15768000"
RewriteEngine on
RewriteRule ^(/.*)$ https://%{HTTP_HOST}$1 [redirect=301]
# 重新加載http服務(wù)
service httpd reload
六早龟、在D上測試
在D(client)上面惫霸,向火狐瀏覽器中導(dǎo)入證書cacert.pem猫缭,訪問測試一下。
http://www.a.com
https://www.a.com
用上面兩個都是可以的壹店,最終效果圖如下:
至此猜丹,https的簡單實(shí)現(xiàn)介紹完畢,不足之處硅卢,請多指正射窒。
