• 一文读懂HTTP, HTTPS, SSL和TLS

    目录

    名词介绍

    HTTP:

    HTTPS:

    SSL:

    TLS:

    HTTPS实现原理 

    一、为什么要用HTTPS ?

    二、HTTPS 怎么实现的?

     数字证书 CA (Certificate Authority)概念及原理

    数字证书包含的内容

    证书制作过程

    证书验证过程 

    解答几个疑问

    1. 什么是对称加密和非对称加密?

    2. 为什么证书验证采用非对称加密,数据传输采用对称加密?

    3. 在证书验证阶段,为什么需要CA认证机关办理的证书?

    4. 在上面的提到的公钥,是验证阶段使用的重要验证依据,怎么保证拿到的公钥没有被篡改呢?

    5. 什么是keystore文件?保存证书和密钥对的存储库,在keystore里,包含两种数据:

    6. 证书标准X.509 - 这是一种证书标准,主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准.

    7. 编码格式同样的X.509证书,有不同的编码格式,目前有以下两种编码格式.

    实例讲解

    第一步,用keytool产生keystore文件。

     第二步,用keytool转化keystore文件为PKCS12格式的文件。

     第三步,使用openssl提取私钥。

    第四步,创建证书签名请求certificate request。

    第五步,创建自己信任的CA。

    第六步,使用CA签名。

    第七步,配置httpd服务端。

    第八步,访问网页。 

    名词介绍

    HTTP:

    Hyper Text Transfer Protocol超文本传输协议,现在互联网世界里,从你的电脑访问一个网站,你所看到的浏览器显示的内容,就是通过HTTP获取来的。通俗地讲,HTTP可以理解为网络世界里约定俗成的规则,通过这组规则,可以把远端服务器(网站架设在此)上的网页内容,像文字、图片、视频等杂七杂八的东西,传输到终端用户(你的浏览器上)。当然,当中还涉及很多其他协议。这就好比你在高速上行驶必须遵守高速公路行驶的规则一样,只有这样你才能顺利到达目的地。

    图1 

    HTTPS:

    Hyper Text Transfer Protocol Secure,是以安全为目标的HTTP通道(也可以说HTTP over TLS,HTTP over SSL或HTTP Secure)是一种网络安全传输协议。因为HTTP是以明文(clear text)在网络上传输的,意味着在网络上传输的什么内容想看的人都可以轻易看到(就像开着敞篷跑车,路人随便可以看到车上坐着谁、在干什么等等,没有隐私),非常不安全,想想,如果你访问一个网站,需要输入你的用户名、密码,甚至你的信用卡号、安全码等,瑟瑟发抖不?所以HTTPS就派上用场了,HTTPS确保传输途中的安全,保证内容不被窃听、篡改、丢失等,因为HTTPS会把传输的内容通过指定的算法加密,并且在传输内容之前还要网站提供“证据”自证清白,这样确保你的电脑要连的是真实可靠的网站而不是冒牌货,并且传输过程中内容加密。

    图2 

    图3 

    SSL:

    Secure Sockets Layer安全套接层,通常直接理解为protocol协议,是HTTPS在HTTP的基础上对传输内容进行加密,这一过程叫SSL加密。SSL协议位于TCP/IP协议与各种应用层协议比如HTTPS之间,为数据通讯提供安全支持。

    TLS:

    Transport Layer Security传输层安全(协议),是业界标准最新的加密协议,属于SSL的后任,所以干的话跟SSL类似,包括认证server和client以及加密传输。

            图4 

    HTTPS实现原理 

    一、为什么要用HTTPS ?

    通过前面名词的解释,已经明白,使用HTTPS无外乎有两个好处:

    • 建立一个信息安全通道,来保证数据传输的安全(对称加密与非对称加密方式)
    • 确保网站的真实性,防止钓鱼网站(数字证书的使用)

    二、HTTPS 怎么实现的?

    以单向的https验证流程步骤为例,请看下面的工作流程图。

    图5 

    证书验证阶段:

    • 浏览器发起 HTTPS 请求。
    • 服务端返回 HTTPS 证书。
    • 客户端验证CA(Certificate Authority)证书是否合法,如果不合法则提示告警。

    数据传输阶段:

    • 当证书验证合法后,在本地生成随机数。
    • 通过公钥加密随机数,并把加密后的随机数传输到服务端。
    • 服务端通过私钥对随机数进行解密。
    • 服务端通过客户端传入的随机数构造对称加密算法
    • 服务端对数据进行加密后传输。

     

     数字证书 CA (Certificate Authority)概念及原理

        简单的理解就是网络世界的身份证,这个发行机关就是数字认证中心,它负责证书的发放,管理和废除。证书的作用就是检查持证人身份的合法性,并签发证书,以防止证书被伪造或者篡改,并对证书和密钥进行管理。 

    数字证书包含的内容

      数字证书的格式遵循X.509标准。这个标准规范了公开密钥认证、证书吊销列表、授权证书、证书路径验证算法等。
        证书的内容包括:
            > 电子签证机关的信息、
            > 公钥用户信息、
            > 公钥、
            > 有效期,
            > 权威机构的签字等等

    证书制作过程

     数字证书一般有两种发行方式:
             > 交由受信任的第三方证书颁发机构签名
             > 自制CA证书并用其签名,一般制作证书会使用OpenSSL和Keytool工具

      制作证书的过程如下:
             > 制作消息摘要
             > 形成数字签名
             > 生成数字证书

    图6 

    证书验证过程 

    用户鉴别服务器端的证书的真伪,可以先对该数字证书的申请者信息用hash算法得到哈希值h1, 然后使用CA证书的公钥对该证书上的签字进行解密得到原来的哈希值h2, 如果h1==h2, 则表示证书有效。

    图7

    解答几个疑问

    1. 什么是对称加密和非对称加密?

    简单地说,对称加密就是加密和解密使用的是同一个密钥,流行的对称加密算法有DES,Triple-DES,RC2和RC4。而非对称加密是双方必须协调一对密钥,一个是公钥,另一个是私钥。
    用私钥加密的数据,只有对应的公钥才能解密,用公钥加密的数据,只有对应的私钥才能解密。非对称加密算法有:RSA,DSA,DH。

    2. 为什么证书验证采用非对称加密,数据传输采用对称加密?

    使用对称密钥的好处是速度快,使用非对称密钥的好处是可以使得传输的内容不能被破解
    因为就算你拦截到了数据,但是没有对方的私钥,也是不能破解内容的。因此常用非对称加密建立的安全信道,然后进行共享密钥(图中的随机数)的分享,完成后,使用对称加密对传输数据进行加密解密,如此形成混合加密系统。


    3. 在证书验证阶段,为什么需要CA认证机关办理的证书?

    因为在数据传输过程中存在“中间人攻击”问题。CA中心为每个使用公钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公钥。用户获得证书的过程是,他先向 CA 提出申请。在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。其他用户想鉴别这个证书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证书就被认为是有效的。


    4. 在上面的提到的公钥,是验证阶段使用的重要验证依据,怎么保证拿到的公钥没有被篡改呢?

    使用数字证书+签名的方式,使用第三方的信任机关发行的数字证书CA是证明身份的重要凭证,同时为了防止数字证书被篡改,再加上数字签名的方式,具体实现请看下面讲解。

    5. 什么是keystore文件?
    保存证书和密钥对的存储库,在keystore里,包含两种数据:

    • 密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)
    • 可信任的证书实体(trusted certificate entries)——只包含公钥

    但是,keytool是不让从keystore文件里提取出来private key和public key的。如有需要,我们可以把keytool产生的keystore文件,转化为OpenSSL能读的PKCS12格式的文件。从PKCS12文件中再进一步提取private key和public key。具体参考后面的实例。查看keystore的命令是keytool -list -v -keystore <keystore file>

    6. 证书标准
    X.509 - 这是一种证书标准,主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准.

    7. 编码格式
    同样的X.509证书,有不同的编码格式,目前有以下两种编码格式.

    • PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN..."开头, "-----END..."结尾,内容是BASE64编码.

    查看PEM格式证书的信息: openssl x509 -in certificate.pem -text -noout
    Apache和NGINX服务器偏向于使用这种编码格式.

    • DER - Distinguished Encoding Rules,打开看是二进制格式,不可读.

    查看DER格式证书的信息: openssl x509 -in certificate.der -inform der -text -noout

    实例讲解

    下面详细讲讲使用keytool和openssl来产生key和certificate的实现过程。本例是Apache web服务器为例,RHEL安装Apache web服务也比较简单,一个命令搞定。

    然后是keytool和OpenSSL工具。这两个工具在RHEL里可以也用yum来安装。我的RHEL 8.4环境下两个yum命令即完成httpd,keytool和openssl的安装。

    1. yum install httpd mod_ssl -y
    2. yum install -y java-1.8.0-openjdk-devel-1:1.8.0.212.b04-1.el8_0.x86_64 openssl-devel-1:1.1.1k-6.el8_5.x86_64

    下面详解每一步过程。先创建目录/ssltest/CA保存CA相关文件, /ssltest/Keys保存服务器相关文件。

    第一步,用keytool产生keystore文件。

    里面包括密钥对和证书。这步即是制作消息摘要message digests。

    -genkeypair       产生一个keystore文件

      -alias One   指定一个别名给要添加的条目,因为一个keystore文件可以有多个条目,这样就不会混乱。

      -keyalg RSA     指定密钥的加密算法

      -sigalg         指定签名的加密算法

      -keystore KeyStore.jks    指定即将生成的keystore文件的文件名,一般                                  以.jks为后缀方便识别

      -dname "CN=***,OU=***,O=***,L=BJ,C=China"

                      指定keystore的专有名,CN指CommonName,OU指OrganizationalUnit,O指Organization,L指Locality,C指CountryName。如果不指定,则会在提示中逐个输入。

      -keypass Letmein123      指定key password,这个password用于查看/更新keystore文件,但如要用keystore去签名则需要下面的storepass

      -storepass Letmein123  指定store password用于签名

    这里设置的keypass和storepass都建议用记事本记下来,方便后面使用。

    1. [root@myserver1 Keys]# keytool -genkeypair -alias One -keystore KeyStore.jks -keyalg RSA -sigalg SHA1withRSA 
    2. Enter keystore password:
    3. Re-enter new password:
    4. What is your first and last name?
    5.   [Unknown]:  San Zhang
    6. What is the name of your organizational unit?
    7.   [Unknown]:  Feihongtaxue
    8. What is the name of your organization?
    9.   [Unknown]:  FHTX
    10. What is the name of your City or Locality?
    11.   [Unknown]:  Beijing
    12. What is the name of your State or Province?
    13.   [Unknown]:  HD
    14. What is the two-letter country code for this unit?
    15.   [Unknown]:  CN
    16. Is CN=San Zhang, OU=Feihongtaxue, O=FHTX, L=Beijing, ST=HD, C=CN correct?
    17.   [no]:  yes
    18.  
    19. Enter key password for <One>
    20. 	(RETURN if same as keystore password):
    21.  
    22. Warning:
    23. The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore KeyStore.jks -destkeystore KeyStore.jks -deststoretype pkcs12".

     这样,一个包含密钥对和证书的keypair就生成了,保存在KeyStore.jks文件中。可以用下面的命令来查看。

    1. [root@myserver1 Keys]# keytool -list -v -keystore KeyStore.jks
    2. Enter keystore password:
    3. Keystore type: jks
    4. Keystore provider: SUN
    5.  
    6. Your keystore contains 1 entry
    7.  
    8. Alias name: one
    9. Creation date: Jul 4, 2022
    10. Entry type: PrivateKeyEntry
    11. Certificate chain length: 1
    12. Certificate[1]:
    13. Owner: CN=San Zhang, OU=Feihongtaxue, O=FHTX, L=Beijing, ST=HD, C=CN
    14. Issuer: CN=San Zhang, OU=Feihongtaxue, O=FHTX, L=Beijing, ST=HD, C=CN
    15. Serial number: 652d36e7
    16. Valid from: Mon Jul 04 00:34:05 PDT 2022 until: Sun Oct 02 00:34:05 PDT 2022
    17. Certificate fingerprints:
    18. 	 MD5:  8C:01:FE:7E:BB:7B:B8:68:05:FA:6E:D4:21:62:7E:F4
    19. 	 SHA1: 00:35:CD:E8:12:88:DC:82:9E:22:EE:9E:96:10:9E:3A:A7:4B:10:DF
    20. 	 SHA256: 75:1B:E2:15:05:FE:52:06:B8:AF:CD:EA:C6:BF:A6:27:A4:7D:A8:9D:A8:FB:B9:F3:AA:5C:9A:2D:47:F3:C2:6F
    21. Signature algorithm name: SHA1withRSA
    22. Subject Public Key Algorithm: 2048-bit RSA key
    23. Version: 3
    24.  
    25. Extensions:
    26.  
    27. #1: ObjectId: 2.5.29.14 Criticality=false
    28. SubjectKeyIdentifier [
    29. KeyIdentifier [
    30. 0000: 72 DE 17 CE 43 EB E3 CB   7F 4B 08 4A 04 DC F9 22  r...C....K.J..."
    31. 0010: 39 1C B6 6A                                        9..j
    32. ]
    33. ]
    34. *******************************************
    35. *******************************************
    36. Warning:
    37. The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore KeyStore.jks -destkeystore KeyStore.jks -deststoretype pkcs12".

    如果想查看具体的证书,可以指定-rfc参数。

    1. [root@myserver1 Keys]# keytool -list -keystore KeyStore.jks -rfc
    2. Enter keystore password:
    3. Keystore type: jks
    4. Keystore provider: SUN
    5.  
    6. Your keystore contains 1 entry
    7.  
    8. Alias name: one
    9. Creation date: Jul 4, 2022
    10. Entry type: PrivateKeyEntry
    11. Certificate chain length: 1
    12. Certificate[1]:
    13. -----BEGIN CERTIFICATE-----
    14. MIIDazCCAlOgAwIBAgIEZS025zANBgkqhkiG9w0BAQUFADBmMQswCQYDVQQGEwJD
    15. TjELMAkGA1UECBMCSEQxEDAOBgNVBAcTB0JlaWppbmcxDTALBgNVBAoTBEZIVFgx
    16. FTATBgNVBAsTDEZlaWhvbmd0YXh1ZTESMBAGA1UEAxMJU2FuIFpoYW5nMB4XDTIy
    17. MDcwNDA3MzQwNVoXDTIyMTAwMjA3MzQwNVowZjELMAkGA1UEBhMCQ04xCzAJBgNV
    18. BAgTAkhEMRAwDgYDVQQHEwdCZWlqaW5nMQ0wCwYDVQQKEwRGSFRYMRUwEwYDVQQL
    19. EwxGZWlob25ndGF4dWUxEjAQBgNVBAMTCVNhbiBaaGFuZzCCASIwDQYJKoZIhvcN
    20. AQEBBQADggEPADCCAQoCggEBAJLP/AmAT/c80yMAFwpCAot1xKltUPa97C/HI29r
    21. dZbwTWKPbUw/4LhMqPBogw7iPM8mW/GCympwk9KVC6kepf0XFKLObGb6Us1ECX1V
    22. zb/+RRXFZtWvoo3f11MhnshZdVi4rB3q23E6ihtw+TUdmynSHM6Zs+BqQ2by45bd
    23. 2cdiREoyGPXDFMYek4OkIHZxKzsK9qtSJXxWJ5jAwVx+AwBxWnW7so+d9zURExil
    24. GxLQNYLasU9NParwoMGdB/67t9XtsOnnHak98s9E7gUWxEsEZi8LWXABxusxQBwQ
    25. /9gsh6S7wd+G1QckTlcCXowQC9PKJPw16aQg9NkVcUY2pqECAwEAAaMhMB8wHQYD
    26. VR0OBBYEFHLeF85D6+PLf0sISgTc+SI5HLZqMA0GCSqGSIb3DQEBBQUAA4IBAQBu
    27. rquyez2F1woDZ6ni/yy7Pvs2FhWaD6kRHHI4P/ATU3pNfxtRibwkRMobvyeE6XQb
    28. UwZOnQi3fcNwVi7wKH0KADZKyZScAReZjCWPgs9L5ihFQkyuEn18cklJTT9LiQss
    29. w56OCcXdDX+4BcPVAsedEwtK1vCrw1cok4YDXB7sFunAwqDA6D8ivGN1/JTVyqC9
    30. 1BTxPXRrku7I9NR/OTMit837UiXqChzl44/EkTP03d5npceMMVx7BEB1Yfei6JOG
    31. dYdCqzUCw/XCHbPQv41IUap/6N1WH+4SSJMRQoMHT1nDMCBSPAiJhMft0rUQnpKw
    32. Z6AbEjAvwKt+vWlREvzs
    33. -----END CERTIFICATE-----
    34.  
    35. *******************************************
    36. *******************************************
    37.  
    38. Warning:
    39. The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore KeyStore.jks -destkeystore KeyStore.jks -deststoretype pkcs12".

     

     第二步,用keytool转化keystore文件为PKCS12格式的文件。

    这样做的目的是,我们需要提取出来private key,因为在/etc/httpd/conf.d/ssl.conf中需要指定证书的private key以及证书本身,分别是SSLCertificateKeyFileSSLCertificateFile两个参数。

    -importkeystore   从keystore文件导入条目以生成另外一个keystore文件

      -srckeystore KeyStore.jks    指定源keystore文件

      -srcstorepass Letmein123  指定源keystore文件的storepass

      -srckeypass Letmein123      指定源keystore文件的keypass

      -srcalias One             指定源keystore文件里条目的别名

      -destalias One            指定目标keystore文件里条目的别名

      -destkeystore KeyStore.p12   指定目标keystore文件的文件名,因为下面指定keystore类别为PKCS12,故以.p12为后缀方便识别

      -deststoretype PKCS12        指定目标keystore的类别,可以是JKS, JCEKS, PKCS12, PKCS11 and DKS.

      -deststorepass Letmein123      指定目标keystore的storepass

      -destkeypass Letmein123        指定目标keystore的keypass

      -ext                         指定X.509扩展名

     第三步,使用openssl提取私钥。

    pkcs12                     指定openssl去创建或解析PKCS#12类型的文件;默认是解析,如果要创建,后跟-export选项。

       -in KeyStore.p12         指定输入的PKCS12文件,即上面创建的identity.p12

       -nodes                     no des,指定不加密私钥

       -nocerts                   no certs,指定不输出证书

       -out private_key.pem  指定输出的私钥的文件名

    1. [root@myserver1 Keys]# keytool -importkeystore -srckeystore KeyStore.jks -srcstorepass Letmein123 -srckeypass Letmein123 -srcalias One -destalias One -destkeystore KeyStore.p12 -deststoretype PKCS12 -deststorepass Letmein123 -destkeypass Letmein123
    2. Importing keystore KeyStore.jks to KeyStore.p12...
    3.  
    4. [root@myserver1 Keys]# openssl pkcs12 -in KeyStore.p12 -nodes -nocerts -out private_key.pem
    5. Enter Import Password:
    6. [root@myserver1 Keys]# ls -lrt
    7. total 24
    8. -rw-r--r-- 1 root root 2229 Jul  4 00:34 KeyStore.jks
    9. -rw-r--r-- 1 root root  879 Jul  4 00:40 one.cer
    10. -rw-r--r-- 1 root root 1089 Jul  4 00:44 one.csr
    11. -rw-r--r-- 1 root root 1261 Jul  4 01:36 serverSignedByCA.cer
    12. -rw-r--r-- 1 root root 2561 Jul  4 07:19 KeyStore.p12
    13. -rw------- 1 root root 1844 Jul  4 07:21 private_key.pem
    14. [root@myserver1 Keys]# cat private_key.pem
    15. Bag Attributes
    16.     friendlyName: one
    17.     localKeyID: 54 69 6D 65 20 31 36 35 36 39 34 34 33 39 33 37 31 33
    18. Key Attributes: <No Attributes>
    19. -----BEGIN PRIVATE KEY-----
    20. MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQCSz/wJgE/3PNMj
    21. ABcKQgKLdcSpbVD2vewvxyNva3WW8E1ij21MP+C4TKjwaIMO4jzPJlvxgspqcJPS
    22. lQupHqX9FxSizmxm+lLNRAl9Vc2//kUVxWbVr6KN39dTIZ7IWXVYuKwd6ttxOoob
    23. cPk1HZsp0hzOmbPgakNm8uOW3dnHYkRKMhj1wxTGHpODpCB2cSs7CvarUiV8VieY
    24. wMFcfgMAcVp1u7KPnfc1ERMYpRsS0DWC2rFPTT2q8KDBnQf+u7fV7bDp5x2pPfLP
    25. RO4FFsRLBGYvC1lwAcbrMUAcEP/YLIeku8HfhtUHJE5XAl6MEAvTyiT8NemkIPTZ
    26. FXFGNqahAgMBAAECggEADZq6V0MNpfJ7+j1S5T9yruut2qlnnEXDMjY44WVK0z7X
    27. XO+/iBZPQ6TO7uAwbNuoGOYMFRgym6Rs/lGTcAuIBCj0X5XTU8OUkrLgUj32P/lW
    28. +4p8WgbZgF4ivPBbn2MyzZLnWCpgRWDQVXSlkzd4Hmr7AmYZ1gzizBJr5poOSTx8
    29. nodg3RvJg6qyJSxoX8mMqMfhq+xBNCpxVLncJfH2qOSiUAKmb3M88Vl3veW76u29
    30. Qck3MiXVLj+jjdDzw/9f5TxgY12voGsK4/wf3x8dbDxXEd7aID8w3YKqJd0O/yFb
    31. iijfg7GTZ+lLT+mpLhdt3Yk5Vhoi9ZTaRxSzAtURJQKBgQDfdZT6VAAxuFmpuMUV
    32. 1YAe35tQ8ochTwpToOrqL4q8yv/Hm5vAip81Y1WMi8+r1gmgasKxN5IcO6CFOVmo
    33. +LBAsqOPG4GtV8jeQhoOaVAkvS0TROeDwXHOorD+uqqaFpuhT3ifBNVocNvQJiwq
    34. bn0wKGFn6r+0gseY+NHGOntzLwKBgQCoMQ6fj1AIosYkxWj84NmXiPtIp44kEdOr
    35. MsIeK7keYSUOSxk5YbSB+UFm9ifv8nkYjLagODr4HuQeKzVaAmnk9wRBxQj0IPPI
    36. FVLXYM2j1sb0kMb4VACvM3xvDYwhixagIAv4dz+azylKKg0VeussDu4z7ZxwPeUl
    37. lbH7Es9PLwKBgQCJIiSiF0jjOmo0IQM6KgLtb3Zmj9/jzhjdR6TCwRhYUg/0VIeZ
    38. +rhH0EUg8nAo2TqhKsN+dEcDcohJGe/vJWcs3TRIz62eToAj/db1vyWC1mHCMIgP
    39. sHiCQg9y0+V8mKE7toSkuhepd5E+RR7Xj2TeV/mnB0ZMpfGN7Cz4hM1b2wKBgEhW
    40. iR6RSe/c6nHIQiZ5IrztGn6eKiFTVYGNXDYTwhPR3lkubZPjdPpt1PZOqtClrfWk
    41. F6wDY0FyL9TV6qVi4l6q6zbKYtZ1EcSdfzrJFMkByCJJ3nnRz1WLRFqTLhEDPGD0
    42. R5G+4ClaLj0KpwP1EQ6rAUJuUNlplZO7tYfyCB3bAoGBALE0CoofxBhBT1ZIqrto
    43. V8O7PcdyApnRJFDGy5UMk4TYOj88xDoDNuiAA6Lk45GPpfThjQQs0pAjv/Dm5Wua
    44. 4I1QgU7wSE2TOeaPFY9v3h2brfhBJ7WQLNL5g/KPnHWxGUtY5GhlJbLV/MNiRts8
    45. cnJ6IGvazqj0TxZh/oRekqwX
    46. -----END PRIVATE KEY-----

    如果需要,也使用openssl提取公钥(嵌在私钥里),用rsa命令。

    rsa         指定使用rsa来转化rsa key的格式                 

       -in private_key.pem           指定私钥文件,公钥将从中提取

       -pubout                              指定输出公钥(默认输出私钥)

       -out pubkey.pem                指定输出的公钥存在哪个文件

    1. [root@myserver1 Keys]# openssl  rsa -in private_key.pem -pubout -out pubkey.pem
    2. writing RSA key
    3. [root@myserver1 Keys]# cat pubkey.pem
    4. -----BEGIN PUBLIC KEY-----
    5. MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAks/8CYBP9zzTIwAXCkIC
    6. i3XEqW1Q9r3sL8cjb2t1lvBNYo9tTD/guEyo8GiDDuI8zyZb8YLKanCT0pULqR6l
    7. /RcUos5sZvpSzUQJfVXNv/5FFcVm1a+ijd/XUyGeyFl1WLisHerbcTqKG3D5NR2b
    8. KdIczpmz4GpDZvLjlt3Zx2JESjIY9cMUxh6Tg6QgdnErOwr2q1IlfFYnmMDBXH4D
    9. AHFadbuyj533NRETGKUbEtA1gtqxT009qvCgwZ0H/ru31e2w6ecdqT3yz0TuBRbE
    10. SwRmLwtZcAHG6zFAHBD/2CyHpLvB34bVByROVwJejBAL08ok/DXppCD02RVxRjam
    11. oQIDAQAB
    12. -----END PUBLIC KEY-----

     如果需要,也可以使用openssl提取证书。

    pkcs12                       指明提取证书的命令

       -in KeyStore.p12        指定输入的PKCS12文件,即上面创建的identity.p12

       -nokeys                   指定不输出私钥

       -out cert.pem           指定输出的证书的文件名

     

    1. [root@myserver1 Keys]# openssl pkcs12 -in KeyStore.p12 -nokeys -out cert.pem
    2. Enter Import Password:
    3. [root@myserver1 Keys]# cat cert.pem
    4. Bag Attributes
    5.     friendlyName: one
    6.     localKeyID: 54 69 6D 65 20 31 36 35 36 39 34 34 33 39 33 37 31 33
    7. subject=C = CN, ST = HD, L = Beijing, O = FHTX, OU = Feihongtaxue, CN = San Zhang
    8.  
    9. issuer=C = CN, ST = HD, L = Beijing, O = FHTX, OU = Feihongtaxue, CN = San Zhang
    10.  
    11. -----BEGIN CERTIFICATE-----
    12. MIIDazCCAlOgAwIBAgIEZS025zANBgkqhkiG9w0BAQUFADBmMQswCQYDVQQGEwJD
    13. TjELMAkGA1UECBMCSEQxEDAOBgNVBAcTB0JlaWppbmcxDTALBgNVBAoTBEZIVFgx
    14. FTATBgNVBAsTDEZlaWhvbmd0YXh1ZTESMBAGA1UEAxMJU2FuIFpoYW5nMB4XDTIy
    15. MDcwNDA3MzQwNVoXDTIyMTAwMjA3MzQwNVowZjELMAkGA1UEBhMCQ04xCzAJBgNV
    16. BAgTAkhEMRAwDgYDVQQHEwdCZWlqaW5nMQ0wCwYDVQQKEwRGSFRYMRUwEwYDVQQL
    17. EwxGZWlob25ndGF4dWUxEjAQBgNVBAMTCVNhbiBaaGFuZzCCASIwDQYJKoZIhvcN
    18. AQEBBQADggEPADCCAQoCggEBAJLP/AmAT/c80yMAFwpCAot1xKltUPa97C/HI29r
    19. dZbwTWKPbUw/4LhMqPBogw7iPM8mW/GCympwk9KVC6kepf0XFKLObGb6Us1ECX1V
    20. zb/+RRXFZtWvoo3f11MhnshZdVi4rB3q23E6ihtw+TUdmynSHM6Zs+BqQ2by45bd
    21. 2cdiREoyGPXDFMYek4OkIHZxKzsK9qtSJXxWJ5jAwVx+AwBxWnW7so+d9zURExil
    22. GxLQNYLasU9NParwoMGdB/67t9XtsOnnHak98s9E7gUWxEsEZi8LWXABxusxQBwQ
    23. /9gsh6S7wd+G1QckTlcCXowQC9PKJPw16aQg9NkVcUY2pqECAwEAAaMhMB8wHQYD
    24. VR0OBBYEFHLeF85D6+PLf0sISgTc+SI5HLZqMA0GCSqGSIb3DQEBBQUAA4IBAQBu
    25. rquyez2F1woDZ6ni/yy7Pvs2FhWaD6kRHHI4P/ATU3pNfxtRibwkRMobvyeE6XQb
    26. UwZOnQi3fcNwVi7wKH0KADZKyZScAReZjCWPgs9L5ihFQkyuEn18cklJTT9LiQss
    27. w56OCcXdDX+4BcPVAsedEwtK1vCrw1cok4YDXB7sFunAwqDA6D8ivGN1/JTVyqC9
    28. 1BTxPXRrku7I9NR/OTMit837UiXqChzl44/EkTP03d5npceMMVx7BEB1Yfei6JOG
    29. dYdCqzUCw/XCHbPQv41IUap/6N1WH+4SSJMRQoMHT1nDMCBSPAiJhMft0rUQnpKw
    30. Z6AbEjAvwKt+vWlREvzs
    31. -----END CERTIFICATE-----

     

    在一个完整的制作证书的过程中,参考后续图6,以上仅完成了产生keystore文件这一步。接下来需要创建证书的签名请求。

    第四步,创建证书签名请求certificate request。

    -certreq                   指明创建签名请求的命令

            -alias One             指定条目的别名
            -file one.csr      指定签名申请保存在哪个文件    
            -storepass Letmein123    指定storepass
            -keystore KeyStore.jks        指定要给哪个keystore文件申请签名
            -ext "san=dns:hostname2"    指定X.509的扩展类别(version 3才需要),san即SubjectAlternativeName,指定另外一个可选名字。扩展的作用是,通过支持在证书中添加任意字段允许客户为application定制证书。具体参考IBM Java文档

    1. [root@myserver1 Keys]# keytool -certreq -alias One -keystore KeyStore.jks -file one.csr
    2. Enter keystore password:
    3.  
    4. Warning:
    5. The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore KeyStore.jks -destkeystore KeyStore.jks -deststoretype pkcs12".
    6. [root@myserver1 Keys]# ll
    7. total 12
    8. -rw-r--r-- 1 root root 2229 Jul  4 00:34 KeyStore.jks
    9. -rw-r--r-- 1 root root  879 Jul  4 00:40 one.cer
    10. -rw-r--r-- 1 root root 1089 Jul  4 00:44 one.csr

    至此,交由CA签名前的准备工作已经完成。下一步,把签名请求one.csr发给CA签名。本例中,我没有用商业CA,而是自己创建一个CA。

    第五步,创建自己信任的CA。

    步骤如上,也是产生keypair和签名请求。

    1. [root@myserver1 CA]# openssl req -new -keyout cakey.pem -out careq.pem
    2. Generating a RSA private key
    3. ...........................................................................+++++
    4. ...................+++++
    5. writing new private key to 'cakey.pem'
    6. Enter PEM pass phrase:
    7. Verifying - Enter PEM pass phrase:
    8. -----
    9. You are about to be asked to enter information that will be incorporated
    10. into your certificate request.
    11. What you are about to enter is what is called a Distinguished Name or a DN.
    12. There are quite a few fields but you can leave some blank
    13. For some fields there will be a default value,
    14. If you enter '.', the field will be left blank.
    15. -----
    16. Country Name (2 letter code) [XX]:CN
    17. State or Province Name (full name) []:Beijing
    18. Locality Name (eg, city) [Default City]:HD
    19. Organization Name (eg, company) [Default Company Ltd]:
    20. Organizational Unit Name (eg, section) []:IT
    21. Common Name (eg, your name or your server's hostname) []:myserver1.fyre.ibm.com
    22. Email Address []:zhangsan@test.com
    24. Please enter the following 'extra' attributes
    25. to be sent with your certificate request
    26. A challenge password []:Letmein123
    27. An optional company name []:Letmein123

     然后从以上创建的careq.pem请求中创建一个证书caroot.cer。把这个caroot.cer导入到浏览器,就相当于一个信任的CA了,等同于商业CA像VeriSign,GlobalSign等等。

    1.  
    2. [root@myserver1 CA]# openssl x509 -signkey cakey.pem -req -days 3650 -in careq.pem -out caroot.cer -extensions v3_ca
    3. Signature ok
    4. subject=C = CN, ST = Beijing, L = HD, O = Default Company Ltd, OU = IT, CN = myserver1.fyre.ibm.com, emailAddress = zhangsan@test.com
    5. Getting Private key
    6. Enter pass phrase for cakey.pem:
    7. [root@myserver1 CA]# ls -lrt
    8. total 28
    9. -rw-r--r-- 1 root root 1521 Jul  1 08:55 cacert.pem
    10. -rw-r--r-- 1 root root 2170 Jul  1 16:44 caKeystore.jks
    11. -rw-r--r-- 1 root root 1097 Jul  1 16:51 cacertreq.csr
    12. -rw-r--r-- 1 root root  852 Jul  1 16:53 cacert2.pem
    13. -rw------- 1 root root 1854 Jul  4 00:48 cakey.pem
    14. -rw-r--r-- 1 root root 1147 Jul  4 00:49 careq.pem
    15. -rw-r--r-- 1 root root 1359 Jul  4 00:51 caroot.cer

    第六步,使用CA签名。

    使用自建的CA证书文件caroot.cer,key文件cakey.pem,给签名申请文件one.csr签名,得到数字证书。-CAserial可以指定序列号基础号,比方说1234,那么新的证书序列号就1235。

    1. [root@myserver1 Keys]# cd ../CA
    2. [root@myserver1 CA]# openssl x509 -req -CA caroot.cer -CAkey cakey.pem -CAserial serial.txt  -in ../Keys/one.csr -out ../Keys/serverSignedByCA.cer -days 365
    3. Signature ok
    4. subject=C = CN, ST = HD, L = Beijing, O = FHTX, OU = Feihongtaxue, CN = San Zhang
    5. Getting CA Private Key
    6. Enter pass phrase for cakey.pem:
    7. [root@myserver1 CA]# cd -
    8. /ssltest/Keys
    9. [root@myserver1 Keys]# ls -lrt
    10. total 24
    11. -rw-r--r-- 1 root root 2229 Jul  4 00:34 KeyStore.jks
    12. -rw-r--r-- 1 root root  879 Jul  4 00:40 one.cer
    13. -rw-r--r-- 1 root root 1089 Jul  4 00:44 one.csr
    14. -rw-r--r-- 1 root root 2561 Jul  4 07:19 KeyStore.p12
    15. -rw------- 1 root root 1844 Jul  4 07:21 private_key.pem
    16. -rw-r--r-- 1 root root 1261 Jul  4 07:38 serverSignedByCA.cer

     至此,数字证书已经生成,可以将serverSignedByCA.cer导入到服务器和浏览器中使用了。

    第七步,配置httpd服务端。

    在/etc/httpd/conf.d/ssl.conf中,指定证书的private key文件private_key.pem以及证书文件serverSignedByCA.cer。然后重启httpd.service

    1. [root@myserver1 Keys]# grep SSLCertificateFile /etc/httpd/conf.d/ssl.conf
    2. SSLCertificateFile /ssltest/Keys/serverSignedByCA.cer
    3.  
    4. [root@myserver1 Keys]# grep SSLCertificateKeyFile /etc/httpd/conf.d/ssl.conf
    5. SSLCertificateKeyFile /ssltest/Keys/private_key.pem
    6.  
    7. [root@myserver1 Keys]# systemctl stop httpd.service
    8. [root@myserver1 Keys]# systemctl start httpd.service
    9. [root@myserver1 Keys]# systemctl status httpd.service
    10. ● httpd.service - The Apache HTTP Server
    11.    Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)
    12.    Active: active (running) since Mon 2022-07-04 07:41:00 PDT; 1h 50min ago
    13.      Docs: man:httpd.service(8)
    14.  Main PID: 43921 (httpd)
    15.    Status: "Total requests: 11; Idle/Busy workers 100/0;Requests/sec: 0.00166; Bytes served/sec:  14 B/sec"
    16.     Tasks: 278 (limit: 49478)
    17.    Memory: 58.0M
    18.    CGroup: /system.slice/httpd.service
    19.            ├─43921 /usr/sbin/httpd -DFOREGROUND
    20.            ├─43922 /usr/sbin/httpd -DFOREGROUND
    21.            ├─43923 /usr/sbin/httpd -DFOREGROUND
    22.            ├─43924 /usr/sbin/httpd -DFOREGROUND
    23.            ├─43925 /usr/sbin/httpd -DFOREGROUND
    24.            └─44139 /usr/sbin/httpd -DFOREGROUND
    25.  
    26. Jul 04 07:41:00 myserver1.fyre.ibm.com systemd[1]: Starting The Apache HTTP Server...
    27. Jul 04 07:41:00 myserver1.fyre.ibm.com systemd[1]: Started The Apache HTTP Server.
    28. Jul 04 07:41:00 myserver1.fyre.ibm.com httpd[43921]: Server configured, listening on: port 443, port 80

    可以把index.html个性化一下,比如把body里的内容改成下面的句子。

    1. [root@myserver1 Keys]# cp /usr/share/httpd/noindex/index.html /var/www/html/
    2. [root@myserver1 Keys]# tail /var/www/html/index.html
    3. 			}
    4. 			/*]]>*/
    5. 		</style>
    6. 	</head>
    7.  
    8. 	<body>
    9. 		<h1>Good Job! You've finished SSL learning and practising <strong>Congratulatins!</strong></h1>
    10.  
    11. 	</body>
    12. </html>

    第八步,访问网页。 

    最后,打开浏览器,我用的是Firefox,访问网站https://myserver1.fyre.ibm.com/

    选择高级,接受风险和继续,可以打开页面。

     

    至此,这个实验就做完了。

        

  • 相关阅读:
    代码解析 最短路径 排序
    Java真的不难(四十九)Redis的入门及使用(2)
    【JavaEE】多线程(四)
    MySQL主从复制与读写分离
    Unity--URP渲染管线实战教程系列之URP摄像机核心机制剖析
    day07 Elasticsearch搜索引擎3
    SQL按月生成分区表,按月份查询该表数据
    123. 买卖股票的最佳时机 III
    二叉树morris遍历,空间复杂度为 O(1)
    spring框架漏洞整理(Spring Framework漏洞)
  • 原文地址:https://blog.csdn.net/qingyang0320/article/details/125517051