2. 程式人生 > >openssl https證書

openssl https證書

阿新 發佈:2017-05-14
address world 解密 cipher nginx acer frame agen detail

今天摸索了下 HTTPS 的證書生成,以及它在 Nginx 上的部署。由於博客托管在 github 上,沒辦法部署證書,先記錄下,後續有需要方便快捷操作。本文的闡述不一定完善,但是可以讓一個初學者了解大致的原理,同時跟著操作可以為自己的博客/網站部署一個 HTTPS 證書。
技術分享

網站部署 HTTPS 的重要性

看看下面,部分電信用戶訪問京東首頁的時候,會看到右下角有一個浮動廣告:
技術分享
小白用戶以為是京東有意放置的,細心的用戶會發現,這個 iframe 一層嵌一層的惡心廣告很明顯是電信/中間人通過 DNS 劫持註入進去的,十分惡心,沒有關閉按鈕。
隨著互聯網的快速發展,我們幾乎離不開網絡了,聊天、預訂酒店、購物等等,我們的隱私無時無刻不暴露在這龐大的網絡之中,HTTPS 能夠讓信息在網絡中的傳遞更加安全,增加了 haker 的攻擊成本。
HTTPS 區別於 HTTP,它多了加密(encryption),認證(verification),鑒定(identification)。它的安全源自非對稱加密以及第三方的 CA 認證。

簡述 HTTPS 的運作

技術分享


如上圖所示,簡述如下:
客戶端生成一個隨機數 random-client ,傳到服務器端(Say Hello)
服務器端生成一個隨機數 random-server ,和著公鑰,一起回饋給客戶端(I got it)
客戶端收到的東西原封不動,加上 premaster secret (通過 random-clientrandom-server 經過一定算法生成的東西),再一次送給服務器端,這次傳過去的東西會使用公鑰加密
服務器端先使用私鑰解密,拿到 premaster secret ,此時客戶端和服務器端都擁有了三個要素: random-clientrandom-server

premaster secret
此時安全通道已經建立,以後的交流都會校檢上面的三個要素通過算法算出的session key

CA 數字證書認證中心

如果網站只靠上圖運作,可能會被中間人攻擊,試想一下,在客戶端和服務端中間有一個中間人,兩者之間的傳輸對中間人來說是透明的,那麽中間人完全可以獲取兩端之間的任何數據,然後將數據原封不動的轉發給兩端,由於中間人也拿到了三要素和公鑰,它照樣可以解密傳輸內容,並且還可以篡改內容。

為了確保我們的數據安全,我們還需要一個 CA 數字證書。HTTPS的傳輸采用的是非對稱加密,一組非對稱加密密鑰包含公鑰和私鑰,通過公鑰加密的內容只有私鑰能夠解密。上面我們看到,整個傳輸過程,服務器端是沒有透露私鑰的。而 CA 數字認證涉及到私鑰,整個過程比較復雜,我也沒有很深入的了解,後續有詳細了解之後再補充下。

CA 認證分為三類:DV ( domain validation),OV ( organization validation),EV ( extended validation),證書申請難度從前往後遞增,貌似 EV 這種不僅僅是有錢就可以申請的。

對於一般的小型網站尤其是博客,可以使用自簽名證書來構建安全網絡,所謂自簽名證書,就是自己扮演 CA 機構,自己給自己的服務器頒發證書。

生成密鑰、證書

第一步,為服務器端和客戶端準備公鑰、私鑰

# 生成服務器端私鑰
openssl genrsa -out server.key 1024
# 生成服務器端公鑰
openssl rsa -in server.key -pubout -out server.pem


# 生成客戶端私鑰
openssl genrsa -out client.key 1024
# 生成客戶端公鑰
openssl rsa -in client.key -pubout -out client.pem

第二步,生成 CA 證書

# 生成 CA 私鑰
openssl genrsa -out ca.key 1024
# X.509 Certificate Signing Request (CSR) Management.
openssl req -new -key ca.key -out ca.csr
# X.509 Certificate Data Management.
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

在執行第二步時會出現:

?  keys  openssl req -new -key ca.key -out ca.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Zhejiang
Locality Name (eg, city) []:Hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My CA
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:localhost
Email Address []:

註意,這裏的 Organization Name (eg, company) [Internet Widgits Pty Ltd]: 後面生成客戶端和服務器端證書的時候也需要填寫,不要寫成一樣的!!!可以隨意寫如:My CA, My Server, My Client。

然後 Common Name (e.g. server FQDN or YOUR name) []: 這一項,是最後可以訪問的域名,我這裏為了方便測試,寫成 localhost ,如果是為了給我的網站生成證書,需要寫成 barretlee.com

第三步,生成服務器端證書和客戶端證書

# 服務器端需要向 CA 機構申請簽名證書,在申請簽名證書之前依然是創建自己的 CSR 文件
openssl req -new -key server.key -out server.csr
# 向自己的 CA 機構申請證書,簽名過程需要 CA 的證書和私鑰參與,最終頒發一個帶有 CA 簽名的證書
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt

# client 端
openssl req -new -key client.key -out client.csr
# client 端到 CA 簽名
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt

此時,我們的 keys 文件夾下已經有如下內容了:

.
├── https-client.js
├── https-server.js
└── keys
    ├── ca.crt
    ├── ca.csr
    ├── ca.key
    ├── ca.pem
    ├── ca.srl
    ├── client.crt
    ├── client.csr
    ├── client.key
    ├── client.pem
    ├── server.crt
    ├── server.csr
    ├── server.key
    └── server.pem

看到上面兩個 js 文件了麽,我們來跑幾個demo。

HTTPS本地測試

服務器代碼:

// file http-server.js
var https = require(‘https‘);
var fs = require(‘fs‘);

var options = {
  key: fs.readFileSync(‘./keys/server.key‘),
  cert: fs.readFileSync(‘./keys/server.crt‘)
};

https.createServer(options, function(req, res) {
  res.writeHead(200);
  res.end(‘hello world‘);
}).listen(8000);

短短幾行代碼就構建了一個簡單的 https 服務器,options 將私鑰和證書帶上。然後利用 curl 測試:

?  https  curl https://localhost:8000
curl: (60) SSL certificate problem: Invalid certificate chain
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn‘t adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you‘d like to turn off curl‘s verification of the certificate, use
 the -k (or --insecure) option.

當我們直接訪問時, curl https://localhost:8000

一堆提示,原因是沒有經過 CA 認證,添加 -k 參數能夠解決這個問題:

?  https  curl -k https://localhost:8000
hello world%

這樣的方式是不安全的,存在我們上面提到的中間人攻擊問題。可以搞一個客戶端帶上 CA 證書試試:

// file http-client.js
var https = require(‘https‘);
var fs = require(‘fs‘);

var options = {
  hostname: "localhost",
  port: 8000,
  path: ‘/‘,
  methed: ‘GET‘,
  key: fs.readFileSync(‘./keys/client.key‘),
  cert: fs.readFileSync(‘./keys/client.crt‘),
  ca: [fs.readFileSync(‘./keys/ca.crt‘)]
};

options.agent = new https.Agent(options);

var req = https.request(options, function(res) {
  res.setEncoding(‘utf-8‘);
  res.on(‘data‘, function(d) {
    console.log(d);
  });
});
req.end();

req.on(‘error‘, function(e) {
  console.log(e);
});

先打開服務器 node http-server.js ,然後執行

?  https  node https-client.js
hello world

如果你的代碼沒有輸出

hello world ,說明證書生成的時候存在問題。也可以通過瀏覽器訪問:

技術分享

提示錯誤:

此服務器無法證明它是localhost;您計算機的操作系統不信任其安全證書。出現此問題的原因可能是配置有誤或您的連接被攔截了。

原因是瀏覽器沒有 CA 證書,只有 CA 證書,服務器才能夠確定,這個用戶就是真實的來自 localhost 的訪問請求(比如不是代理過來的)。

你可以點擊 繼續前往localhost(不安全) 這個鏈接,相當於執行 curl -k https://localhost:8000 。如果我們的證書不是自己頒發,而是去靠譜的機構去申請的,那就不會出現這樣的問題,因為靠譜機構的證書會放到瀏覽器中,瀏覽器會幫我們做很多事情。初次嘗試的同學可以去 startssl.com 申請一個免費的證書。

Nginx 部署

ssh 到你的服務器,對 Nginx 做如下配置:

server_names barretlee.com *.barretlee.com
ssl on;
ssl_certificate /etc/nginx/ssl/barretlee.com.crt;
ssl_certificate_key /etc/nginx/ssl/barretlee.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !MEDIUM";
# Add perfect forward secrecy
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";

會發現,網頁 URL 地址框左邊已經多出了一個小綠鎖。當然,部署好了之後可以去這個網站 看看測評分數,如果分數是 A+,說明你的 HTTPS 的各項配置都還不錯,速度也很快。

openssl https證書

相關推薦

openssl https證書

address world 解密 cipher nginx acer frame agen detail 今天摸索了下 HTTPS 的證書生成,以及它在 Nginx 上的部署。由於博客托管在 github 上,沒辦法部署證書,先記錄下,後續有需要方便快捷操作。本文的闡述不一

使用OpenSSL生成證書並配置Https

兩種 做的 class 令行 .net 基本 我們 服務端 mage 1、密鑰、證書請求、證書概要說明 在證書申請簽發過程中,客戶端涉及到密鑰、證書請求、證書這幾個概念。我們以申請證書的流程說明三者的關系。客戶端(相對於CA)在申請證書的時候,大體上有三個步驟: 第一步:

tomcat部署https,用openssl簽發證書

常見字尾 cer,crt證書(不支援私鑰) 一般是簽署後CA頒發的證書,實質是CA用私鑰在申請者的公鑰上簽名 —–BEGIN CERTIFICATE—– csr:(Certificate Signing Request) 申請簽名的證書請求 –-BEG

最新Https請求原理、OPenssl生成證書、nginx的https配置

Https請求原理 我們都知道HTTPS能夠加密資訊,以免敏感資訊被第三方獲取。所以很多銀行網站或電子郵箱等等安全級別較高的服務都會採用HTTPS協議。 HTTPS其實是有兩部分組成:HTTP + SSL / TLS,也就是在HTTP上又加了一層處理加密資訊

Apache+OpenSSL實現證書伺服器提供HTTPS

http://hnlixf.iteye.com/blog/1771050 通過 Linux+Apache+OpenSSL 實現 SSL ( Secure Socket Layer )證書伺服器,提供安全的 HTTPS ( Hypertext Transfer Proto

免費生成https證書以及配置

usr 幫我 有效期 note ssl 查詢 att acm sha http升級到https需要在nginx的配置中加入證書信息,查詢資料後確定生成證書兩種方案 第一種:自簽名證書,然後開啟 CloudFlare 的 CDN 服務 //確定是否安裝open

openssl 生成證書基本原理

detail 數據傳輸 它的 註釋 有一個 -i gen 所在 sig 摘自:http://blog.csdn.net/oldmtn/article/details/52208747 1. 基本原理 公司一個項目要進行交易數據傳輸,因為這個項目銀行那邊也是剛剛開始啟動,所有

記錄一次https證書申請失敗的案例

hydra tor 一次 申請 目錄 tin site text auto 部分站點由於使用了大量的域名,會導致 auto-ssl 配置的內存不夠用,導致證書申請失敗。需要做以下調整 nginx.conf 中 lua_shared_dict auto_ssl 調整為 128

let's encrypt生成免費https證書 ubuntu+tomcat+nginx+let's encrypt

http important 免費https pri perm apt repo www. add 1. 下載let‘s encrypt $ sudo add-apt-repository ppa:certbot/certbot $ sudo apt-get update

獲取服務端https證書

certificate最近開發一個需求,涉及獲取服務端https證書。一般進行https調用我們都不太關心底層細節,直接使用WebClient或者HttpWebRequest來發送請求,這兩種方法都無法獲取證書信息,需要用到ServicePoint,這個類用於提供HTTP連接的管理。寫個Demo,拿新浪首頁試

自簽名的https證書是不安全的

算法 -s tro 手動 ssl證書 為什麽 必須 無法獲得 報錯 一、項目內的需求 我們做的app都是企業級的應用,而企業級的應用的下載需要遵循itms協議,itms協議下需要https鏈接,這就需要你的服務器支持https的協議,該協議需要申請SSL證書,我們測試時用的

通過Authentication Challenge來信任自簽名Https證書

就會 ace 中一 rust 進行 tostring 網絡相關 alt policy 在開發階段我們我們經常使用自簽名的證書來部署我們的後臺rest api。但是在iOS中調用的時候就會因為證書不被信任而調用api不成功。這時候我們就需要通過實現某些網絡回調函數來自定義證書

asp.net core 開發的https證書服務-agilelabs.net

機構 cor line cnblogs .net 中轉 lin .cn csr 創建證書-生成CSR(Certificate Sign Request):填寫證書基本信息接下來我們就可以看到創建的證書簽名請求信息(CSR):為我們剛才創建的CSR簽名:簽名的意思是說通過證書

創建https證書

unit types cer call letter x509 com nal image 第一個裏程碑:創建https證書 創建文件認證目錄 mkdir /application/nginx/key/ -p 在認證目錄下創建認證文件 openssl req -ne

fiddler 無法安裝https證書問題 unable to configure windows to trust the fiddler root certificate

bsp not -s make cert 1.3 fiddler fiddler2 工具 需要 在命令行工具中 cd "C:\Program Files (x86)\Fiddler2" makecert.exe -r -ss my -n "CN=DO

獲取服務端https證書 - Java版

https certificate 接上篇,用java代碼實現一下獲取遠程服務端證書,還是拿新浪首頁測試,上代碼:package org.test;import java.net.URL;import java.security.MessageDigest;import java.security.c

使用 openssl 生成證書

安全 ssl 證書 一、openssl 簡介openssl 是目前最流行的 SSL 密碼庫工具,其提供了一個通用、健壯、功能完備的工具套件,用以支持SSL/TLS 協議的實現。官網:https://www.openssl.org/source/構成部分密碼算法庫密鑰和證書封裝管理功能SSL通信AP

mac burp suite https證書安裝

點擊 並且 證書安裝 分享 load blog port info gpo 1. 下載burp suite 2.安裝,設置並代理上 3. 打開http://burp並且下載證書 4. 點擊打開選擇始終信任並且導出桌面 5. 火狐打開設置至證書一欄[證書機構]導入

Fiddler安裝https證書

bsp media -i capture android 有一種 == 找到 存儲 iddler默認是抓取http類型的接口,要想查看https類型接口就需要安裝fiddler證書。 1、打開fiddler,點擊工具欄中的Tools——>Fiddler Options

http 改 https 的方法,免費的阿裏雲盾證書(https證書)

httpshttps最關鍵就是比http更安全,但是https相對http訪問速度較慢一些,但是拿現在的瀏覽器來說,比如chrome,如果不是https的,那麽會一直顯示不安全的提示,所以要求比較嚴格的網站,能用https就用吧。但想使用https有個前提,是需要跟CA(證書頒布機構)申請https證書的。我