傳輸層安全SSL和TLS

來歷

    在TCP/IP四層模型把網路由上到下分為：應用層，傳輸層，網路層，鏈路層。在應用層，我們有許多的應用層協議，例如：SMTP，POP3，FTP，TFTP，HTTP等，使用者在使用這些協議的時候，往往需要保證機密性、完整性、伺服器身份認證、不可否認性和可用性。然而他們卻無法滿足這些安全需求或者說只能提供簡單的保護，但在因特網這個開放的環境中，這種保護顯得微不足道。

    此時我們有兩種方法解決這個安全問題，一是為每一種應用層協議增加相應的安全功能；二是從傳輸層入手，既然高層應用都是基於傳輸層的，呢麼增強這個層次的安全性就顯得更具備通用性。明顯的後者的價效比更高，SSL安全套接層（Secure Socket Layer）和TLS傳輸層安全（Transport Layer Security）就是第二種途徑的例項。這兩者的區別首先是使用的地方，SSL可以說是專門為Web，也就是HTTP協議提供安全保證的傳輸層協議，而TLS得範圍就更廣泛了。其餘兩者大體相同，只是在具體加密演算法上有所區別，但整體的協議流程都是差不多的。

SSLv3協議的作用和流程

SSL主要滿足機密性、完整性、必選的伺服器身份認證、可選的客戶端身份認證。此外還會在加密前進行資料的壓縮處理。

由4個協議組成：握手協議，記錄協議，更改密碼規範協議，警告協議

SSL的基本協議流程：

1. 首先是TCP之間的三次握手建立TCP連線
2. 客戶機與伺服器之間進行演算法協商，公鑰交換，伺服器認證（傳送證書）期間用在協商報文中加入隨機數防重放攻擊
3. 對稱金鑰的協商，建立安全通訊的環境

如此一來，這之後兩者的通訊就在加密的環境下進行，應用層的內容是非常安全的。

SSL證書介紹

SSL主要做了加密以及伺服器認證，加密是通過對稱金鑰技術，公鑰加密技術，還有隨機數，雜湊雜湊演算法等我們熟知的內容進行作業的。而認證是通過什麼方式來認證呢？答案便是數字證書。由證書籤證機關CA(Certification Authority)頒發，目前全球信賴的支援瀏覽器的SSL證書主要有三種：

1. DV （Domain Validation）域名驗證所得的證書僅驗證這個域名是你的域名，也就是隻驗證線上的而不驗證線下的。僅能支援網站機密資訊的加密，但並不驗證網站的真實身份。
2. OV （Organization Validation）組織驗證所得的證書，這需要由簽證機關不僅是線上驗證你這個域名是你的，而且還要線下驗證你線上的東西是屬於哪個組織，這種證書在檢視使用者的時候就會寫明是哪個組織的。
3. EV （Extended Validation）擴充套件驗證所得的證書，是全球統一嚴格身份驗證頒佈的證書，獲得難度和花費都很高，但在使用後，域名欄內會用綠色的字寫上你的組織名。

    如果是個人使用的網站選擇DV證書就可以了，你想弄其他的別人也不會頒給你，如果是公司使用的網站，可以獲取下OV證書，如果網站非常需要使用者的信任，呢麼可以去使用EV證書。其中DV證書是有免費的，另外兩個是要錢的，下文會對DV證書的獲取和安裝進行探討。

WEB伺服器部署SSL證書

    Apache自身就有SSL的模組，只要啟用並且配置好就好了，所以說要讓網站使用的協議變成HTTPS需要一個備案好的域名；一臺綁定了該域名且裝有Web伺服器的雲伺服器；以及一個數字證書。

    我們需要域名的原因是因為DV證書的頒佈需要進行域名的認證，而域名認證的一種方法就是你在你的web伺服器的根目錄（webroot）下放置一個簽證機構讓你放置的檔案，然後簽證機構通過域名去訪問這個檔案，訪問到了就認證成功了。

    首先我們需要選擇一個證書籤證機構，我使用的是Let's Encrypt.這個機關可以免費頒佈DV證書給你，並且自身有一個軟體certbot.只要在伺服器上安裝這個軟體，就可以通過這個軟體完成證書的生成，認證以及部署。

    具體的部署方法，在certbot的官網上寫的非常詳細，並且不同的伺服器系統，不同的web伺服器在命令上有所差別，在certbot更新後也有可能部署的方式有細微的改變，因此，授人以魚不如授人以漁，自己去下面的官網上看吧：

https://certbot.eff.org/#ubuntuxenial-apache

我的第一次部署經歷apache+tomcat

apache版本：2.4.18

伺服器版本：ubuntu16.04

部署時間：2018年2月

CA機構：Let's Encrypt

部署軟體：Certbot

1. 安裝apache和tomcat
2. 安裝Certbot及apache的相關模組

   apt-get update    // 更新軟體源中的所有軟體列表。 
   apt-get install software-properties-common
   apt-get update
   apt-get install pythen-certbot-apache

3. 生成證書

   certbot --anthenticator webroot --installer apache        //webroot方式
   certbot -authenticator standalone --installer apache --pre-hook "apachectl -k stop" --post-hook "apachectl -k start"    //standalone方式

   Let's Encrypt支援3種認證方式：apache，standalone，webroot
4. 允許訪問更目錄

   <Directory /var/www>
           Options Indexes FollowSymLinks
           AllowOverride All
           Order allow,deny
           Allow from all
           Require all granted
   </Directory>
   

   
   
5. 開啟SSL代理模組以及重定向功能

   a2enmod ssl    //ssl模組
   a2enmod rewrite    //重定向模組

   開啟 /etc/apache2/sites-available/000-default.conf ，

   在 <\VirtualHost *:80><\VirtualHost> 標籤內隨便一個地方加入以下三行

   RewriteEngine on
   RewriteCond   %{HTTPS} !=on
   RewriteRule   ^(.*)  https://%{SERVER_NAME}$1 [L,R]

   
   

6. XAMPP中的apache部署證書的fangshi

   • 證書在/etc/letsencrypt/live/xxxxx.com目錄下,
     然後我們需要兩個：fullchain.pem和privkey.pem，
     將其移動到/opt/lampp/etc/ssl.crt和/opt/lampp/etc/ssl.key中，
     並進行相應改名為 server.key和server.crt

   • 開啟xampp的ssl功能：xampp enablessl

   
   
7. 啟用apache反向代理模組

   a2enmod proxyt    //啟用代理模組
   a2dismod proxy    //禁用代理模組

       編輯apache2配置檔案

   vi /etc/apache2/apache2.conf
   #載入兩個代理模組
   LoadModule proxy_module /usr/lib/apache2/modules/mod_proxy.so
   LoadModule proxy_http_module /usr/lib/apache2/modules/mod_proxy_http.so
   #靜態檔案不反向代理
   ProxyPass /images/ !
   ProxyPass /html/ !
   ProxyPass /css/ !
   ProxyPass /js/ !
   #其餘請求讓tomcat進行處理，此處可配置一個tomcat叢集
   ProxyPass / http://localhost:8080/

參考：

xampp配置https：

    https://www.cnblogs.com/Rainlee007/p/6849792.html

apache80埠重定向為443埠：

    http://blog.csdn.net/s502414680/article/details/70338457?utm_source=itdadao&utm_medium=referral

各個SSL證書的介紹：

    https://www.wosign.com/faq/faq-how-https.htm

Let’s Encrypt配置免費SSL證書建立HTTPS（Ubuntu+Apache）：

https://www.centos.bz/2018/02/lets-encrypt%E9%85%8D%E7%BD%AE%E5%85%8D%E8%B4%B9ssl%E8%AF%81%E4%B9%A6%E5%BB%BA%E7%AB%8Bhttps%EF%BC%88ubuntuapache%EF%BC%89/