本文將通過實驗來實現https加密。主要內容如下:
- https 簡介以及與http的區別
- SSL會話的簡化過程
- 實驗實現https
https 簡介以及與http的區別
https簡介
HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。HTTPS,即http over ssl,是HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。
https和http區別
超文本傳輸協議HTTP協議被用于在Web瀏覽器和網站服務器之間傳遞信息。HTTP協議以明文方式發送內容,不提供任何方式的數據加密,如果攻擊者截取了Web瀏覽器和網站服務器之間的傳輸報文,就可以直接讀懂其中的信息,因此HTTP協議不適合傳輸一些敏感信息,比如信用卡號、密碼等。
為了解決HTTP協議的這一缺陷,需要使用另一種協議:安全套接字層超文本傳輸協議HTTPS。為了數據傳輸的安全,HTTPS在HTTP的基礎上加入了SSL協議,SSL依靠證書來驗證服務器的身份,并為瀏覽器和服務器之間的通信加密。
HTTPS和HTTP的區別主要為以下四點:
一、https協議需要到ca申請證書,一般免費證書很少,需要交費。
二、http是超文本傳輸協議,信息是明文傳輸,https 則是具有安全性加密傳輸協議。
三、http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
四、http的連接很簡單,是無狀態的;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,比http協議安全。
SSL會話的簡化過程
一、客戶端發送可供選擇的加密方式,并向服務器請求證書。
二、服務器端發送證書以及選定的加密方式給客戶端,這個證書是用CA的私鑰加密的服務器的公鑰以及證書的有效期等信息,也就是CA數字簽名的證書。
三、客戶端取得證書并進行證書驗證
如果信任給服務器發證書的CA,客戶端會實驗得到CA的公鑰
- 驗證證書來源的合法性;用CA的公鑰解密證書上數字簽名
- 驗證證書的內容的合法性:完整性驗證
- 檢查證書的有效期限
- 檢查證書是否被吊銷
- 證書中擁有者的名字,與訪問的目標主機要一致
四、客戶端生成臨時會話密鑰(對稱密鑰),并使用服務器端的公鑰加密此數據發送給服務器,完成密鑰交換。
五、 服務用此密鑰加密用戶請求的資源,響應給客戶端。
實驗實現https
下面是實驗的拓撲圖。
基本要實現的功能大致可以從圖中獲取,這里不再仔細介紹。直接進行實驗。
環境準備
準備4臺虛擬機。
A:系統是centos7.3,IP地址是192.168.1.7,充當CA,負責給websrv頒發證書;
B:系統是centos6.9,IP地址是192.168.1.6,充當websrv,供客戶端訪問,需要向CA證書頒發者申請證書,websrv的站點是www.a.com;
C:系統是centos7.3,IP地址是192.168.1.8,充當DNS,負責向client解析域名;
D:系統是centos7.3,IP地址是192.168.1.14,是client,DNS設置為192.168.1.8,用于最終訪問websrv。
實驗過程
一、在C上搭建 DNS
- 安裝相關包,并啟動服務
yum install bind
systemctl start named
systemctl enable named
- 修改/etc/named.conf中的兩行
listen-on port 53 { localhost; };
allow-query { any; };
- /etc/named.rfc1912.zones中添加
zone "a.com" IN {
type master;
file "a.com.zone";
};
- 創建區域數據庫
vim /var/named/a.com.zone
$TTL 1D
@ IN SOA dns1.a.com. admin.a.com. (
2017101015 ; serial
86400 ; refresh (1 day)
3600 ; retry (1 hour)
604800 ; expire (1 week)
10800 ; minimum (3 hours)
)
NS dns1.a.com.
dns1 A 192.168.1.8
websrv A 192.168.1.6
www CNAME websrv
- 語法檢查以及重啟服務
named-checkconf
named-checkzone "a.com" /var/named/a.com.zone
systemctl restart named
- 客戶端測試
# 在D上面,把dns改為192.168.1.8,ping測試
[root@centos7 ~]# ping www.a.com
PING websrv.a.com (192.168.1.6) 56(84) bytes of data.
64 bytes from 192.168.1.6 (192.168.1.6): icmp_seq=1 ttl=64 time=0.309 ms
64 bytes from 192.168.1.6 (192.168.1.6): icmp_seq=2 ttl=64 time=0.345 ms
二、在A上搭建CA
- 創建私鑰文件
cd /etc/pki/CA
(umask 066; openssl genrsa -out private/cakey.pem 4096)
- 利用私鑰文件生成自簽名證書
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
# 填寫的信息如下
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:henan
Locality Name (eg, city) [Default City]:zhengzhou
Organization Name (eg, company) [Default Company Ltd]:magedu.com
Organizational Unit Name (eg, section) []:Opt
Common Name (eg, your name or your server's hostname) []:ca.magedu.com
Email Address []:
# 查看簽名證書的內容
openssl x509 -in cacert.pem -noout -text
- 創建數據庫文件以及序列號文件
touch index.txt
echo 00 > serial
三、在B上加載https模塊以及申請證書
- 安裝SSL模塊
一般系統都是安裝httpd,所以只要安裝https模塊就可以了。
yum install mod_ssl
service httpd reload # 安裝完之后需要重新加載httpd服務
[root@centos6 ~]#httpd -M | grep ssl
Syntax OK
ssl_module (shared)
- 申請證書
cd /etc/httpd/conf.d/
mkdir ssl;cd ssl
# 創建私鑰文件
(umask 066; openssl genrsa -out httpd.key 1024)
# 利用私鑰生成證書申請文件
openssl req -new -key httpd.key -out httpd.csr
# 填寫信息如下
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:henan
Locality Name (eg, city) [Default City]:luoyang
Organization Name (eg, company) [Default Company Ltd]:magedu.com
Organizational Unit Name (eg, section) []:opt
Common Name (eg, your name or your server's hostname) []:*.a.com
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
# 提交證書申請文件
scp httpd.csr 192.168.1.7:/etc/pki/CA/
四、A向B頒發證書
cd /etc/pki/CA
# 生成證書文件
openssl ca -in httpd.csr -out certs/httpd.crt -days 300
# 將證書發送給B(websrv)
scp certs/httpd.crt 192.168.1.6:/etc/httpd/conf.d/ssl/
# 將自簽名證書發送給B
scp cacert.pem 192.168.1.6:/etc/httpd/conf.d/ssl/
# 將自簽名證書發送給D(client)
scp cacert.pem 192.168.1.14:
五、在B上使用證書,以及實現HSTS
HSTS:HTTP Strict Transport Security。服務器端配置支持HSTS后,會在給瀏覽器返回的HTTP首部中攜帶HSTS字段。瀏覽器獲取到該信息后,會將所有HTTP訪問請求在內部跳轉到HTTPS。
# 修改/etc/httpd/conf.d/ssl.conf文件中的三行
SSLCertificateFile /etc/httpd/conf.d/ssl/httpd.crt
SSLCertificateKeyFile /etc/httpd/conf.d/ssl/httpd.key
SSLCACertificateFile /etc/httpd/conf.d/ssl/cacert.pem
# http重定向https,創建/etc/httpd/conf.d/test.conf,內容如下
Header always set Strict-Transport-Security "max-age=15768000"
RewriteEngine on
RewriteRule ^(/.*)$ https://%{HTTP_HOST}$1 [redirect=301]
# 重新加載http服務
service httpd reload
六、在D上測試
在D(client)上面,向火狐瀏覽器中導入證書cacert.pem,訪問測試一下。
http://www.a.com
https://www.a.com
用上面兩個都是可以的,最終效果圖如下:
至此,https的簡單實現介紹完畢,不足之處,請多指正。
