由图可知, TLS协议从在TCP协议建立连接完成之后, 然后开始TLS握手协议;由图可知,TLS 握手阶段经历 ClientHello, ServerHello,Certificate, ServerHelloDone, ClientKeyExchange, ChangeCipherSpec阶段;
那么TLS 协议格式是什么样的?又是完成传输安全的目标的?
ContentType | ||
十六进制 | 十进制 | 含义 |
0×14 | 20 | ChangeCipherSpec |
0×15 | 21 | Alert |
0×16 | 22 | Handshake |
0×17 | 23 | Application |
0×18 | 24 | Heartbeat |
Version | |||
十六进制 | Major | Minor | 含义 |
0x0300 | 0x03 | 0x00 | SSL 3.0 |
0x0301 | 0x03 | 0x01 | TLS 1.0 |
0x0302 | 0x03 | 0x02 | TLS 1.1 |
0x0304 | 0x03 | 0x04 | TLS 1.3 |
TLS 采用非对称加密和对称加密结合的方式保证传输安全, 它以非对称加密的方式产生对成加密的临时密钥
TLS Handshake protocol MessageType | ||
十六进制 | 十进制 | 含义 |
0x00 | 0 | HelloRequest |
0x01 | 1 | ClientHello |
0x02 | 2 | ServerHello |
0x04 | 4 | NewSessionTicket |
0x08 | 8 | EncryptedExtensions |
0x0b | 11 | Certificate |
0x0c | 12 | ServerKeyExchange |
0x0d | 13 | CertificateRequest |
0x0e | 14 | ServerHelloDone |
0x0f | 15 | CertificateVerify |
0x10 | 16 | ClientKeyExchange |
0x14 | 20 | Finished |
X.509 是公钥基础设施(PKI)的标准格式。 X.509证书就是基于国际电信联盟(ITU)制定的X.509标准的数字证书。X.509证书主要用于识别互联网通信和计算机网络中的身份,保护数据传输安全。证书是个好东西,就是贵!!
由图可知,证书签署的流程是
// 通过DNS验证域名所有权,申请通配符证书
certbot certonly --manual --preferred-challenges dns -d *.richard.pub -d richard.pub --server https://acme-v02.api.letsencrypt.org/directory
certbot certificates