01：網絡安全涉及的問題：

①. 網絡安全問題-數據機密性問題

傳輸的數據可能會被第三方隨時都能看到

②. 網絡安全問題-數據完整性問題

傳輸的數據不能隨意讓任何人進行修改

③. 網絡安全問題-身份驗證問題

第一次通訊時，需要確認通訊雙方的身份正確

02：網絡安全涉及的問題解決：

①. 網絡安全問題-數據機密性問題解決

a） 利用普通加密算法解決機密性

利用相應算法，對傳輸數據(明文數據)進行加密(密文數據)；再利用對應算法，將加密數據解密變為 真實數據

優點：實現了數據機密傳輸，避免了明文傳輸數據的危險性。

缺點：利用加密算法，將明文改密文，如果第三方獲得加密算法，即可將傳輸密文再次變為明文

b） 利用對稱加密算法解決機密性(重要的一種加密方式)

對稱加密算法就好比將普通算法的規則手冊放入到了保險櫃裏，只有獲取保險櫃和保險櫃鑰匙才能獲 取《算法手冊》

優點：密鑰加密算法計算速度非常快；解決了普通加密算法的安全問題

缺點：加解密過程的安全性完全依賴於密鑰，並且對稱加密密鑰是公開的，當通訊加密對象過多時， 無法解決密鑰管理問題。

②. 網絡安全問題-數據完整性問題解決

a） 利用單項加密算法(全網備份數據完整性)

根據數據生成特征碼(數據指紋信息)；接收數據方獲取數據信息算出特征碼，驗證是否與發送過來的 特征碼一致

若特征碼一致，表示數據完整性沒被破壞；若特征碼不一致，表示數據已被破壞，直接丟棄

****************************************************************************

擴展說明：

01：不同數據的特征碼(數據指紋信息)是不可能一致的

單項加密算法特征

· 數據輸入一樣，特征碼信息輸出必然相同

· 雪崩效應，輸入的微小改變，將造成輸出的巨大改變

· 定長輸出，無論源數據多大，但結果都是一樣的

· 不可逆的，無法根據數據指紋，還原出原來的數據信息。

****************************************************************************

優點：有效的解決了數據完整性問題

缺點：沒有考慮中間人攻擊對數據信息的影響

b） 利用單項加密算法(加密特征碼)

利用對稱加密算法對數據加密的同時，也對特征碼進行加密；

接收方擁有和發送方一樣的密鑰，才可以解密加密後的數據和特征碼

而中間人加密的特征碼是沒有辦法讓接收方進行解密的，所以接收方獲取不了特征碼，直接丟棄數據

****************************************************************************

擴展說明：

01：那麽對稱密鑰如何有效的讓通訊雙方獲取呢

需要進行對稱密鑰協商過程，即通過密鑰交換機制（Internet key exchange IKE）

實現密鑰交換機制的協議稱為diffie-hellman協議

****************************************************************************

③. 網絡安全問題-身份驗證問題解決

a）利用非對稱密鑰加密算法(公鑰加密算法)

發送方建立私鑰和公鑰，將公鑰發送給接收方，從而實現發送數據方的身份驗證

問題：用戶第一次訪問百度時（還沒有獲取公鑰），有可能會是釣魚網站

例：讓你的母親驗證你的爸爸身份信息，你的母親就稱為證書頒發機構

公鑰信息在網站訪問過程中，被稱為證書（×××）

網絡安全問題結論：實現網絡安全性，需要解決問題的順序為

1. 解決身份驗證問題

2. 解決數據完整性問題

3. 解決數據機密性問題

1.2 網絡安全證書知識

03：網絡安全證書由來：

根據上述結論可知，網絡安全性最首先要解決的就是身份驗證問題；

而解決身份驗證問題，最主要的方式就是借助私鑰和公鑰

而最主要的公鑰信息獲取就變得尤為重要；利用第三方公正者，公正公鑰信息

目前標準的證書存儲格式是x509，還有其他的證書格式，需要包含的內容為：

證書==比喻為營業執照

? 公鑰信息，以及證書過期時間

? 證書的合法擁有人信息

? 證書該如何被使用（不用關註）

? CA頒發機構信息

? CA簽名的校驗碼

1.4 OpenSSL軟件詳細說明

獲取OpenSSL軟件的版本信息：

openssl version <- 查看openssl版本信息

獲取OpenSSL配置文件信息：

/etc/pki/tls/openssl.cnf <- openssl配置文件，主要用於配置成私有ca時進行使用

說明：基本上openssl配置文件不需要運維過多修改配置

#舉例說明，加密一個文件

# openssl enc -des3 -salt -a -in inittab -out initab.des3 <- 輸入密碼後即加密成功

# openssl enc -des3 -d -salt -a -in initab.des3 -out inittab <- 輸入密鑰後即解密成功

說明：其中命令中的salt參數，主要用於避免密碼加密後，對密鑰串的反推

#生成和用戶一樣的密碼串

openssl passwd -1 <- 采用md5加密用戶密碼串,將明文密碼轉換為密文

說明：企業中實現修改數據庫中用戶密碼信息，實現用戶密碼信息重置

#生成偽隨機數方法

openssl rand -base64 45 <- 給出一個任意的數字，就會生成任意的隨機數

md5sum 1.txt

1.5 OpenSSL軟件建立私有CA（證書頒發機構）

實現HTTPS:

1) 生成私鑰（出生證明）和請求證書文件（戶口本） --- 運維需要完成

2）根據請求證書文件信息，證書頒發機構生成證書文件（×××） --- 證書頒發機構來完成

3）企業網站利用證書，實現用戶安全認證訪問 --- 運維需要完成

模擬證書頒發機構頒發程序：

01）生成私鑰文件信息方法:

openssl genrsa 2048 >server.key <- 創建私鑰信息，並指定私鑰的長度為2048，並將生成的私鑰信息保存在一個文件中

openssl genrsa -out server.key 2048 <- 將私鑰信息直接進行保存，加密長度一定要放在輸出文件後面

(umask 077;openssl genrsa -out server1024.key 1024) <- 利用小括號，實現子shell功能，臨時修改umask，使之創建的私鑰文件權限為600

02) 生成自簽署的證書

[root@NFS-server-01 ~]# openssl req -new -x509 -key server1024.key -out server.crt -days 365

req <- 用於創建新的證書

new <- 表示創建的是新的證書

x509 <- 表示定義證書的格式為標準格式

key <- 表示調用的私鑰文件信息

out <- 表示輸出證書文件信息

days <- 表示證書的有效期

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

----- 以下默認參數可在/etc/pki/tls/openssl.cnf修改

Country Name (2 letter code) [XX]:CN <- 定義生成證書的國家

State or Province Name (full name) []:BJ <- 定義生成證書的省份

Locality Name (eg, city) [Default City]:BJ <- 定義生成證書的城市

Organization Name (eg, company) [Default Company Ltd]:oldboy <- 定義生成證書的組織

Organizational Unit Name (eg, section) []:it <- 定義生成證書的職能部門

Common Name (eg, your name or your server's hostname) []:oldboy.com.cn <- 定義主機服務器名稱

說明：此輸出信息非常重要，客戶端在獲取證書前，會利用主機名與相應服務器之間建立連接，然後獲得證書

Email Address []:

#openssl x509 -text -in server.crt --- 用於查看證書中的信息

# CA自簽發證書實際創建過程

cd /etc/pki/CA/private/ <- 進入到私鑰保存目錄中

(umask 077;openssl genrsa -out ./cakey.pem 2048) <- 創建一個ca私鑰文件

cd /etc/pki/CA <- 進入到CA自簽發保存目錄中

openssl req -new -x509 -key private/cakey.pem -out cacert.pem <- 生成自簽發證書

說明：由於配置文件中定義了一些證書信息，所以默認輸入即可

1.6 利用證書實現HTTPS訪問Nginx服務

1) 安裝opessl軟件

# yum install openssl

# yum install openssl-devel

2）進行證書目錄規劃

# cd /application/nginx/conf/ <- 編譯安裝Nginx的程序目錄

# mkdir key

# cd key/

3) 創建私鑰文件

創建服務器私鑰，命令會讓你輸入一個口令： 這裏輸入的是oldboy

openssl genrsa -des3 -out server.key 1024

Generating RSA private key, 1024 bit long modulus

......................++++++

...................++++++

e is 65537 (0x10001)

Enter pass phrase for server.key:

Verifying - Enter pass phrase for server.key:

4）創建請求證書

創建簽名請求的證書（CSR）：

openssl req -new -key server.key -out server.csr

擴展說明：去掉私鑰文件口令密碼信息

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key <- 生成無口令的私鑰

5）配置Nginx服務使之支持證書訪問

修改Nginx配置文件，讓其包含新標記的證書和私鑰：

server {

server_name YOUR_DOMAINNAME_HERE;

listen 443;

ssl on;

ssl_certificate /application/nginx/conf/key/server.crt;

ssl_certificate_key /application/nginx/conf/key/server.key;

}

6）nginx ssl 模塊指令總結：

http://nginx.org/en/docs/http/ngx_http_ssl_module.html

1.7 單臺web服務器實現http訪問自動跳轉到https：

方法一：利用地址重寫功能rewrite

說明：在https配置server基礎上再添加http跳轉server

[root@web01 keys]# cat /application/nginx/conf/extra/blog.conf

server {

listen 80; #默認用戶訪問的是http，80端口，讓它跳轉為https

server_name blog.etiantian.org;

rewrite ^(.*)$ https://$host$1 permanent;

}

server {

listen 443;

ssl on;

ssl_certificate /server/keys/server.crt;

ssl_certificate_key /server/keys/server1024.key;

server_name blog.etiantian.org;

root html/blog;

index index.php index.html index.htm;

location ~ .*\.(php|php5)?$ {

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

include fastcgi.conf;

}

}

方法二：error_page 497 利用狀態碼跳轉到https

說明：497為內置錯誤碼，當訪問http無法處理，需要利用https處理時

[root@web01 keys]# vim /application/nginx/conf/extra/blog.conf

server {

listen 443;

listen 80;

ssl on;

ssl_certificate /server/keys/server.crt;

ssl_certificate_key /server/keys/server1024.key;

server_name blog.george.org;

root html/blog;

index index.php index.html index.htm;

location ~ .*\.(php|php5)?$ {

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

include fastcgi.conf;

}

error_page 497 https://$host$uri;

}

方法三：利用返回狀態碼實現跳轉訪問

說明：在https配置server基礎上再添加http跳轉server

server {

listen 80;

server_name www.etiantian.org;

return 301 https://$host$uri;

}

1.8 利用反向代理服務器實現訪問https自動跳轉為https

vim /applicaiton/nginx/conf/nginx.conf

第一個裏程碑：修改地址池信息

upstream kai {

server 10.0.0.7:443;

server 10.0.0.8:443;

server 10.0.0.9:443;

}

第二個裏程碑：修改地址池調用信息

server {

listen 443;

server_name www.george.com;

ssl on;

ssl_certificate /application/nginx/conf/key/server.crt;

ssl_certificate_key /application/nginx/conf/key/server.key;

location / {

proxy_pass https://kai;

}

}

第三個裏程碑：定義http到https跳轉配置信息

server {

listen 80;

server_name www.george.com;

rewrite ^(.*)$ https://$host$1 permanent;

}

HTTPS安全證書訪問連接知識講解