深入理解SSL协议:从理论到实践(二)

前言

这是一篇关于SSL协议的技术文章,有理论知识,但又兼具一定的实战性,文章的主要内容分享了SSL协议的核心概念、工作原理、常见的应用场景,以及就https这种实际应用场景,又着重分享具体的工作原理以及如何实现https访问网站。 无论你是信息安全技术的初学者,还是专业人士,相信这篇文章都能给你带来一些帮助或启示。如果有失误之处,烦请在评论区指出,以便共同成长和进步。

为了更清楚叙述清楚,从逻辑上,我把这部分内容拆成了两部分:

《深入理解SSL协议:从理论到实践(一)-CSDN博客》为理论篇;

《深入理解SSL协议:从理论到实践(二)-CSDN博客》为实战篇;

实现https访问的一般步骤

在SSL协议的应用场景中,有一项是使用https协议来实现网站的加密通信。可能有的小伙伴会有疑问,https与ssl都是协议,有什么区别或联系吗?可以么理解:HTTPS实际上就是HTTP协议的安全版本,它在HTTP的基础上加入了SSL/TLS协议的加密机制,通过在传输层加密数据来保护通信的安全。

目前大多数网站都使用了HTTPS,想要在网站上实现HTTPS,通常需要以下几个步骤:

1、获取SSL证书

一般获取 SSL 证书的途径也就那么几个,以下是一些常见的途径:

  • 商业证书颁发机构(CA):你可以选择购买商业 CA(如 Comodo、DigiCert、GlobalSign、Symantec 等)颁发的 SSL 证书。这些证书通常提供更多的功能和保障,适用于各种企业级需求。
  • 托管服务提供商:如果你使用云托管服务(国外如 AWS、Azure、Google Cloud 等,国内,如阿里云、腾讯云等),这些平台通常提供集成的 SSL 证书管理服务,可以方便地获取和配置 SSL 证书。
  • Let's Encrypt:Let's Encrypt 是一个免费的证书颁发机构,通过他们的服务可以获取免费的 SSL 证书,支持自动化签发和更新。
  • 第三方证书市场:有一些第三方的证书市场(如 SSLs.com、Namecheap 等)也提供各种类型的 SSL 证书选择,你可以在这些市场上购买并获取证书。
  • 自签名证书:如果你只是在内部环境或测试目的下使用 SSL 加密,你也可以生成自签名证书来使用。不过需要注意的是,自签名证书在公共网络中可能会受到不信任。

2、安装SSL证书

一旦获得SSL证书,就需要将其安装到Web服务器上。这通常涉及将证书文件和密钥文件配置到服务器软件(如Apache、Nginx等)的相应位置。这个在后面会以nginx为例,安装一个自签名的证书。

3、配置服务器

需要修改Web服务器的配置,启用SSL/TLS协议,并配置加密套件、协议版本等安全参数。

4、更新网站链接

将网站上的所有链接都改为使用https:// 开头,确保网站上所有资源都通过加密连接进行访问。

5、强制重定向

为了确保所有访问都通过HTTPS,通常要对HTTP访问进行强制重定向到HTTPS。

6、测试和验证

最后,需要进行测试和验证,确保HTTPS的配置生效,并且网站在浏览器中显示安全的锁定标志。

至此,就可以以相对安全地访问目标网站了。

HTTPS的工作原理

对于如何实现普通网站的HTTPS的步骤,相信你已经了然。但是整个过程是如何工作的,你了解吗?且往下看。HTTPS(Hypertext Transfer Protocol Secure)的工作原理主要基于SSL/TLS协议,其关键步骤包括:

1、握手阶段

客户端发起与服务器的连接请求,服务器会返回其SSL证书,证书中包含公钥等信息。客户端验证证书的有效性,并生成一个随机的对称密钥,用服务器的公钥加密后发送给服务器。

2、密钥协商阶段

服务器接收到客户端发送的加密后的对称密钥后,使用自己的私钥解密得到对称密钥,然后双方基于该对称密钥生成会话密钥,用于加密通信数据。

3、数据传输阶段

客户端和服务器之间使用会话密钥进行对称加密和解密通信数据,确保数据在传输过程中的机密性和完整性。

通过以上步骤,HTTPS实现了对数据的加密传输,从而确保了数据在传输过程中的安全性。此外,HTTPS还使用数字证书来验证服务器的身份,防止中间人攻击,确保客户端和服务器之间通信的安全性和可靠性。

在Nginx中配置SSL证书,实现https访问网站

在Nginx中配置SSL证书,即可实现客户端的 HTTPS 访问,配置过程并不复杂,但前提是得有证书。

1、获取SSL证书:

在上面已经提到,可以从信任的证书颁发机构(CA),或者使用 Let's Encrypt 等免费证书服务,来获取 SSL 证书。需要注意的是自签名的证书,最好只用在内网中,在互联网中自签名的证书可能并不被信任。

2、配置SSL证书

在 Nginx 的配置中,指定 SSL 证书的位置、私钥以及其他相关配置。下面nginx.conf中的一段关键配置示例:

    server {listen       443 ssl;server_name  192.168.35.106;root         /usr/share/nginx/html;ssl_certificate /etc/nginx/ssl/cert.crt;ssl_certificate_key /etc/nginx/ssl/key.pem;ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';ssl_prefer_server_ciphers on;# Load configuration files for the default server block.include /etc/nginx/default.d/*.conf;error_page 404 /404.html;location = /404.html {}error_page 500 502 503 504 /50x.html;location = /50x.html {}}server {listen 80;server_name 192.168.35.106;return 301 https://$host$request_uri;}

上面的配置示例内容中,需要重点关注几个地方:

  • ssl_certificate:指定 SSL 证书文件的路径,这里是 /etc/nginx/ssl/cert.crt,该证书文件包含了公钥、证书链和其他必要信息。
  • ssl_certificate_key :指定 SSL 证书的私钥文件路径,这里是 /etc/nginx/ssl/key.pem,该私钥用于解密客户端发来的加密数据。
  • ssl_protocols TLSv1.2 TLSv1.3;:指定 Nginx 支持的 SSL/TLS 协议版本,这里配置了支持 TLS 1.2 和 TLS 1.3 版本。
  • ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';:设置加密套件的优先顺序,这里指定了两个加密套件,分别为 ECDHE-ECDSA-AES256-GCM-SHA384 和 ECDHE-RSA-AES256-GCM-SHA384。
  • ssl_prefer_server_ciphers on;:启用服务器端的加密套件优先设置,表示服务器会优先选择自己支持的加密套件与客户端协商加密方式。
  • listen 443 ssl;:当使用 HTTPS 协议时,通常会使用 443 端口来提供加密的网站访问,因此需要确保443可以通过防火墙,并且并启用 SSL 加密。
  • 第二个server中listen 80;:这个配置的作用是将所有通过 HTTP(端口 80)访问服务器的请求重定向到 HTTPS(端口 443)上,以确保网站访问是通过加密的安全连接进行;
  • return 301 https://$host$request_uri;:这是重定向指令,当收到 HTTP 请求时,会返回一个 HTTP 301 永久重定向响应,将请求重定向到相同的请求 URL,但使用 HTTPS 协议。其中 $host 表示原始请求的主机名,$request_uri 表示原始请求的 URI。

3、重启Nginx

完成 SSL 配置后,需要重新加载或重启 Nginx 以使更改生效。可以使用命令 nginx -s reload 或者 systemctl restart nginx来重新加载配置。

nginx -s reload 
systemctl restart nginx

4、验证

使用浏览器访问你的网站,由原来http访问,改成https访问,如果可以通过 HTTPS 访问并且浏览器地址栏中显示安全连接的标识,那就说明配置已经成功。

写在最后

非常感谢你能耐心看完我的这篇文章,希望我的分享对你有所帮助。当然,如果你觉得这篇文章对你有所帮助,不妨点击点赞按钮,让更多的人看到这篇优质的技术分享。同时,别忘了将这篇文章收藏起来,也方便日后再次查阅。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/774902.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

鸿蒙HarmonyOS应用开发之使用Node-API接口创建ArkTs运行时环境

场景介绍 开发者通过pthread_create创建新线程后,可以通过napi_create_ark_runtime来创建一个新的ArkTs基础运行时环境,并通过该运行时环境加载ArkTs模块,目前仅支持在ArkTs模块中使用console接口打印日志,使用timer定时器功能。…

气体间隙的击穿强度

本篇为本科课程《高电压工程基础》的笔记。 气体间隙的击穿电压难以精确计算。工程应用中,大多参照一些典型的击穿电压试验数据来选择绝缘距离,要求较高的情况下感召实际电极布置,用实验方法来确定击穿电压。 稳态电压下的击穿 直流与工频…

SQL数据插入详解:单行与多行数据添加指南

在SQL(Structured Query Language,结构化查询语言)中,添加数据通常使用INSERT INTO语句。以下是如何使用INSERT INTO语句向数据库表中添加数据的详细步骤和示例。 基本语法 INSERT INTO table_name (column1, column2, column3,…

每天一个数据分析题(二百三十)

在神经网络的优化算法中,Adam优化算法是结合了哪两种优化技术的优点? A.动量 (Momentum) 和 Adagrad B.Nesterov 动量和 RMSprop C.RMSprop 和 动量 (Momentum) D.SGD 和 Nesterov 动量 题目来源于CDA模拟题库 点击此处获取答案

SpringBoot 多数据源及事务解决方案

1. 背景 一个主库和N个应用库的数据源,并且会同时操作主库和应用库的数据,需要解决以下两个问题: 如何动态管理多个数据源以及切换? 如何保证多数据源场景下的数据一致性(事务)? 本文主要探讨这两个问题的解决方案…

全量知识系统 详细设计 “祖传代码”之序 “元素周期表”(QA)之2

Q11.将三部分拿出来单独看一下:一、管理者-组传代码(祖传--宝藏:源头上保证): 二、代理者-软件代理(继承--差异:广度上扩展)。 三、提供者-AI组件(遗传--对齐:强度上增强…

第4章树与二叉树

属于二叉树 跟链表的不同:每个节点可以指向多个节点 所以直接改变next[n]就好 链表是树形结构特例 树的深度(高度): 层数 5 [1 4 5 7 8] 节点深度:从根节点开始,4的深度:[1 4] 1 节点高度:从叶子节点开始,4…

数字化时代下的电子元器件商城模式创新

在数字化时代,电子元器件商城可以通过以下方式进行模式创新: 智能化搜索与推荐: 引入人工智能和机器学习技术,提供智能化搜索和个性化推荐功能,根据客户的需求和历史购买记录推荐相关的电子元器件,以提高购…

全国植被类型分布数据

引言 全国植被类型分布数据利用 Landsat 卫星数据(Landsat TM,ETM和 OLI)完成了长时序的地表覆盖变化检测,并结合变化 检测结果实现了逐区域和逐期的地表覆盖动态更新,30米精细植被类型分布数据,共包含 2…

Java 总结二

一、抽象类和接口 抽象类使用abstract修饰,不能实例化。抽象类中可以有零到多个抽象方法。抽象方法使用abstract关键字修饰,没有方法体。如果非抽象类继承抽象类,则必须实现父类的所有的抽象方法,否则子类还是一个抽象类。用fina…

Python爬虫之爬取网页图片

当我们想要下载网页的图片时,发现网页的图片太多了,无从下手,那我们写一个脚本来爬取呗。 这次的脚本是专门针对某个外国网站使用的,因此仅供参考思路。 在测试的过程中,我发现网站使用了发爬虫机制,具体就…

FPGA工程师及其相关岗位招聘~

社区的招聘功能上线之后,许多企业都在上面发布了招聘岗位。 目前有30企业,岗位围绕FPGA工程师,涵盖嵌入式软件工程师、射频工程师、C语言开发、BMC工程师等等,入口放在这里:F学社-全球FPGA技术提升平台 登录账号后&a…

<QT基础(1)>对象树结构

在Qt中,当你将一个对象设置为另一个对象的子对象时,Qt会自动管理它们的生命周期,包括子对象在堆上分配的内存空间。这意味着,如果你使用 new 在堆上创建了一个子对象,并将其设置为另一个对象的子对象,当父对…

海思 Hi3536AV100 简介

海思 Hi3536AV100 简介 Hi3536AV100 是针对多路高清/超高清(1080p/4M/5M/4K)智能NVR产品应用开发的新一代专业高端SoC芯片。集成了ARM Cortex-A55八核处理器和性能强大的神经网络处理器,支持多种智能算法应用。支持32路1080p多协议解码及4路…

OpenFoam最全总结

一、OpenFOAM用户指南-9(中文版):这个里面用中文写了OpenFOam相关的基础知识和文件结构和基础语法,包括安装、使用、案例、paraview可视化等,是最全的的一个文档。 http://www.dyfluid.com/theory.pdf 二、无痛苦N-S方程笔记(东岳…

深入浅出(五)QtPropertyBrowser库—属性编辑器

文章目录 1. QtPropertyBrowser简介1.1 下载 2. 编译和部署:3. C示例 1. QtPropertyBrowser简介 QtPropertyBrowser是一个第三方库,用于在Qt应用程序中显示和编辑属性。它不是Qt框架的一部分,但可以与Qt一起使用。 1.1 下载 GitHub地址&am…

URL是什么?(概念+应用场景+优缺点)

1、概念 URL(Uniform Resource Locator)是统一资源定位符的缩写,简称网址。 用于指定网络上的资源的位置和访问方式。 它包含了资源的协议、主机名、路径等信息,可以唯一标识互联网上的资源。 2、作用: ① 定位资…

HCIP-Datacom(H12-821)题库补充(3/27)

最新 HCIP-Datacom(H12-821)完整题库请扫描上方二维码访问,持续更新中。 运行OSPF协议的路由器,所有接口必须属于同一个区域。 A:正确 B:错误 答案:B 解析:OSPF的邻居关系是基于…

Python环境下滚动轴承状态监测与故障诊断(NASA IMS轴承数据集)

智能维护系统IMS)滚动轴承数据是美国辛辛那提大学智能维护系统中心提供的全寿命周期数据,轴上安装了4个轴承。通过摩擦带将转速保持恒定在 2000r/min。包含3个数据集,每个数据集描述了一个测试到失败的实验。其中第一个实验装置的数据采集从 2003 年 10月…

鸿蒙OS开发实例:【工具类封装-emitter组件间通信】

import Emitter from ohos.events.emitter; import pasteboard from ohos.pasteboard; MyEmitterUtil 是一个针对 HarmonyOS 的事件驱动编程封装类,主要用于组件间的通信和数据传递。 使用要求: DevEco Studio 3.1.1 Release 或更高版本API 版本&…