网科创想网站管理,wordpress安装2个网站吗,网站续费话术,全国企业查询系统官网HTTPShttpssl/tls 1、加密算法 2、PKI#xff08;公钥基础设施#xff09; 3、证书 4、部署HTTPS服务器 部署CA证书服务器 5、分析HTTPS流量 分析TLS的交互过程 一、HTTPS协议
在http的通道上增加了安全性#xff0c;传输过程通过加密和身份认证来确保传输安全性
1、TLS
… HTTPShttpssl/tls 1、加密算法 2、PKI公钥基础设施 3、证书 4、部署HTTPS服务器 部署CA证书服务器 5、分析HTTPS流量 分析TLS的交互过程 一、HTTPS协议
在http的通道上增加了安全性传输过程通过加密和身份认证来确保传输安全性
1、TLS
传输层安全协议SSL和TLS其实是一个协议SSL2.0版本自SSL3.0版本后更名为TLS1.0目前最高版本是TLS1.3使用最为广泛的是TLS1.2版本设计目标 保密性所有信息都加密传输完整性校验机制认证双方都配备证书防止冒充互操作、通用性可扩展高效率发展史 SSL2.0 SSL3.0 TLS1.0 TLS1.1 TLS1.2 TLS1.3
2、http的缺陷
明文传输
只对传输数据的长度进行完整性校验数据是否有被篡改是不做确认的
3、HTTPS的好处
在传输数据之前客户端会和服务器端协商数据在传输过程中的加密算法包含自己的非对称加密算法RSA/DH数据签名的摘要算法MD5/SHA 加密传输数据的对称加密算法DES/3DES/AES
客户端会生成随机的字符串通过协商好的非对称加密算法使用服务端的公钥对该字符串进行加密发送给服务端。服务端接收到之后使用自己的私钥解密得到该字符串在随后的数据传输中使用这个字符串作为密钥进行对称加密。
二、加密算法
1、对称加密算法
1对称加密算法特点 加密和解密的密钥相同只有一个公共密钥发送方和接收方一起使用
密钥如何传输问题密钥多难管理的问题
由于对称加密算法比较简单所以在大数据数据量比较大传输的时候使用对称加密算法传输是比较快的。
但是会出现密钥多难管理的情况发送方针对不同的接收方有不同的密钥因此会面临密钥多难管理的问题。
2常见的对称加密算法
DES/3DESAESRCIDEA 2、非对称加密算法
1非对称加密算法特点
加密和解密使用的是不同的密钥公开密钥、私钥每个用户都可以有自己的公钥和私钥公钥是公开的私钥是自己保存只要一个密钥加密必须使用另一个密钥解密。
加密算法比较复杂对于大规模的数据进行加密比较影响效率。
2常见的非对称加密算法
Elgamal基于DH密钥的交换算法来的RSAECCRabin
为了解决使用非对称加密算法后进行大规模数据传输会影响效率的问题我们采用对称加密和非对称加密算法结合的方式。 三、PKI体系
1、基本概念
1公钥基础设施
通过使用公钥技术非对称加密算法和数字签名来确保信息安全
公钥加密技术非对称加密算法、数字证书、CA证书颁发机构和RA证书注册机构组成
实现功能
身份验证数据完整性数据机密性操作不可否认性
2身份认证技术
原始数据通过摘要算法哈希计算出信息摘要使用发送方的私钥进行签名得到数字签名
发送方将携带数字签名的原始信息通过网络传输一起传给接收方
接收方收到后使用发送方的公钥对数字签名进行验证得到信息摘要将原始数据通过相同的摘要算法哈希得到信息摘要然后比对接收到的摘要和自己生成的摘要是否相等。
发送方首先将原始数据通过在摘要 发送方首先将原始数据通过摘要算法SHA算出信息摘要并且用自己的私钥进行签名得到数字签名将数字签名和袁术数据发送给接受方
接收方收到发送方发来的原始数据和数字签名将原始数据通过摘要算法SHA得出信息摘要再使用发送方的公钥将数字签名解开得到发送方的信息摘要这里就完成了对发送方的身份认证比对两个摘要信息是否一致如果一致说明数据再传输过程中没有被篡改。 3数字证书
保证密钥的合法性证书的主体可以是用户、计算机、服务等证书包含的信息使用者的公钥使用者的标识有效期颁发者的标识信息颁发者的数字签名
2、数据传输案例
原始信息通过某种摘要算法得到摘要信息然后使用发送者的私钥得到数字签名然后把数字签名原始信息发送者的证书 通过对称加密算法公共密钥进行加密得到密文然后用接受方的公钥对公共密钥进行加密得到密钥信封最后将密文密钥信封 通过网络传输给接收方。
接收方首先用自己的私钥对密钥信封进行解密得到密钥公共密钥然后使用公共密钥解开密文得到原始信息发送方的数字签名发送方的证书证书中有发送方的公开密钥接收方将接收到的数字签名通过证书中的发送方的公开密钥算法得到发送方的摘要接收方通过和发送方相同的摘要算法得出自己的摘要然后将另两个摘要信息进行比对看是否相同。 3、数字证书颁发机构
CA主要是进行颁发和管理数字证书
四、证书服务器和HTTPS服务器
1、部署证书服务器
windows active directory 基于域的这里用独立的
固定IP Vmnet4 证书颁发机构web注册可以通过web注册颁发证书。 默认会把web服务器装上 下一步安装 安装好之后点一下这里的感叹号配置目标服务器的ActiveDirectory证书服务器所需的配置
如果是独立的就是属于Administrators组如果是企业呢就必须是域管理源 勾选 证书颁发机构和证书颁发机构Web注册 这里选的是独立CA 根CA 创建私钥 加密默认是RSA加密算法也可以用其他的。 指定CA名称 有效期 证书数据库位置及日志位置 确认配置 进度 然后再开始菜单Windows管理工具-证书颁发机构
里面有吊销的证书颁发的证书、挂起的申请、失败的申请
主要是审核管理证书包括吊销和批准。 服务器自己的证书
然后我们看下证书颁发机构Web注册
下面有虚拟目录 看下服务器它是有自己的证书的 CA颁发给CA的一个证书 双击点开 你有一个该证书对应的私钥证书里面 会有
证书的颁发者、算法以及公钥、私钥等信息它对应的私钥是可以拷贝下来的点击 复制到文件 私钥受密码保护如果要将私钥跟证书一起导出你必须在后面键入密码。 设置密码123456 默认是个人信息交换.pfx文件 2、创建自签名证书
web服务器自己颁发给自己的 3、创建CA颁发给Web的证书
创建证书申请 加密方式有DHC 和RSA可以随便选默认是RSA 指定申请名称 创建了一串证书申请会生成一串码。 去证书申请页面申请证书
证书申请页面 CA注册页面 申请证书 高级申请 使用base64编码申请 然后再证书颁发机构-挂起的申请这里有一个申请 颁发之后 再次访问就可以下载证书了 下载CA证书 保存下打开看下它是颁发给web的 有了证书之后就是可以来到web旧服务器完成证书申请 这里就有了新导入的证书 证书搞定之后就可以再网站绑定https了 添加 添加https之后证书这里可以去选 有三个证书分别是自己颁发的证书、CA颁发的证书和CA颁发给web的证书。
如果想要实现网站只能通过https的443端口的访问不能通过默认端口访问可通过修改SSL设置来实现。 虚拟机与服务器之间HTTPS访问测试
开一台windows虚拟机设置网络vmnet4、设置下IP和web服务器在同一网段然后ping测试一下网络
使用http访问下看能否访问 https访问
由于不是权威机构颁发的证书 这里会提示不安全 客户机在访问网站的时候服务器把证书传到客户机了所以这里可以看到服务器的证书。
五、分析HTTPS流量
1、winshark流量分析
打开Windows上的cwinshark抓包
使用HTTPS访问网站
直接看TLS报文、追踪流
TCP三次握手 客户机向服务器发TLS握手报文 client hello握手报文 这个报文里面的内容会比较多重点关注两个内容
第一个客户机会生成一个随机数第二个 会列出所支持的加密算法 第二步serverhello
服务器把自己的证书创维客户机进行密钥交换
server hello done服务器表示serverhello握手结束 证书无效 客户机向服务器发送断开连接请求 服务器向客户机发送RST报文 然后客户机和服务器会重新建立TCP连接 追踪这个流
服务器密钥交换 客户机密钥交换更爱加密方式设置密钥 服务器更改加密方式 紧接着才是Application Data开始数据交换 2、TLS握手过程 如果你有一个winshark抓出来的报文且有一个密钥那就是可以对抓到的TLS加密报文进行解密
前提是你得有正确的密钥这个密钥一般是公共密钥因为使用的是对称加密算法进行加密的。
‘
winshark编辑-首选项-protocols-TLS把公共密钥导入进去 导入进去之后只要密钥正确winshark会自动把报文解开。
