http协议:
应用层协议,传输层使用TCP协议,默认使用80端口。http协议主要是用来是实现万维网站点资源的访问。
ssl(安全套接层)协议:
全称为Secure Sockets Layer。工作与传输层和应用层之间,实现对应用层协议的网络连接进行加密。
https协议:
http协议+ssl协议。默认使用tcp的443端口。
https协议的工作过程:
-
客户端发起HTTPS请求
用户在浏览器里输入一个https网址,然后连接到服务器的443端口 -
服务端的配置
采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面。这套证书其实就是一对公钥和私钥 -
传送服务器的证书给客户端
证书里其实就是公钥,并且还包含了很多信息,如证书的颁发机构,过期时间等等 -
客户端解析验证服务器证书
这部分工作是由客户端的TLS来完成的,首先会验证公钥是否有效,比如:颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值。然后用证书中公钥对该随机值进行非对称加密 -
客户端将加密信息传送服务器
这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了 -
服务端解密信息
服务端将客户端发送过来的加密信息用服务器私钥解密后,得到了客户端传过来的随机值 -
服务器加密信息并发送信息
服务器将数据利用随机值进行对称加密,再发送给客户端 -
客户端接收并解密信息
客户端用之前生成的随机值解密服务段传过来的数据,于是获取了解密后的内容
apache实现https的流程:
apache是一个模块化的软件,很多功能由一个个模块来提供的。加载对应的模块就能实现对应的功能。
流程:
1.为apache服务器申请证书
2.配置apache的https功能
3.验证https
apache申请证书的方式
1.搭建私有CA实现证书的颁发
https://www.jb51.net/article/265122.htm
2.使用CentOS7快速生成一个自签名证书
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
[root@ansible certs]# pwd /etc/pki/tls/certs
[root@ansible certs]# ls ca-bundle.crt ca-bundle.trust.crt make-dummy-cert Makefile renew-dummy-cert
#取消makefile文件中对私钥文件的加密 [root@ansible certs]# vim Makefile %.key: umask 77 ; \ #/usr/bin/openssl genrsa -aes128 $(KEYLEN) > $@ /usr/bin/openssl genrsa $(KEYLEN) > $@
#生成证书 [root@ansible certs]# make Makefile httpds.crt |
3.通过阿里云等网站下载免费的证书(需要有域名)
配置apache的https功能
安装mod_ssl软件包,安装mod_ssl软件包后会自动生成apache的ssl配置文件和模块。
|
1 2 3 4 5 6 7 8 9 10 11 12 |
[root@CentOS8 ~]# rpm -ql mod_ssl /etc/httpd/conf.d/ssl.conf #ssl模块的配置文件 /etc/httpd/conf.modules.d/00-ssl.conf #加载ssl模块 /usr/lib/.build-id /usr/lib/.build-id/e6/046e586d8d19fb92e3f8484a62203e841c3e2a /usr/lib/systemd/system/httpd-init.service /usr/lib/systemd/system/httpd.socket.d/10-listen443.conf /usr/lib64/httpd/modules/mod_ssl.so #模块文件 /usr/libexec/httpd-ssl-gencerts /usr/libexec/httpd-ssl-pass-dialog /usr/share/man/man8/httpd-init.service.8.gz /var/cache/httpd/ssl |
修改配置文件:
|
1 2 3 4 5 6 |
[root@CentOS8 ~]# vim /etc/httpd/conf.d/ssl.conf SSLCertificateFile /data/apache/apache1.crt #apache的证书文件 SSLCertificateKeyFile /data/apache/apache1.key #apache的私钥文件 SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt #apache的证书链文件
证书链文件:不指定证书链文件,它就不知道这个证书是谁颁发的。证书链就是上级CA的证书 |
验证:
设置windows的hosts文件用于验证
|
1 2 3 |
windows的hosts文件位置:C:\Windows\System32\drivers\etc
格式:ip地址 名字 |
