SSL簡介
引自:https://baike.baidu.com/item/ssl/320778?fr=aladdin
SSL
SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是爲網絡通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層與應用層之間對網絡連接進行加密。
提供服務
- 認證用戶和服務器,確保數據發送到正確的客戶機和服務器;
- 加密數據以防止數據中途被竊取;
- 維護數據的完整性,確保數據在傳輸過程中不被改變。
服務器類型
- Tomcat 5.x
- Nginx
- IIS
- Apache 2.x
- IBM HTTP SERVER 6.0 [1]
工作流程
服務器認證階段:1)客戶端向服務器發送一個開始信息“Hello”以便開始一個新的會話連接;2)服務器根據客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;3)客戶根據收到的服務器響應信息,產生一個主密鑰,並用服務器的公開密鑰加密後傳給服務器;4)服務器回覆該主密鑰,並返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。
用戶認證階段:在此之前,服務器已經通過了客戶認證,這一階段主要完成對客戶的認證。經認證的服務器發送一個提問給客戶,客戶則返回(數字)簽名後的提問和其公開密鑰,從而向服務器提供認證。
SSL協議提供的安全通道有以下三個特性:
- 機密性:SSL協議使用密鑰加密通信數據。
- 可靠性:服務器和客戶都會被認證,客戶的認證是可選的。
- 完整性:SSL協議會對傳送的數據進行完整性檢查。
從SSL 協議所提供的服務及其工作流程可以看出,SSL協議運行的基礎是商家對消費者信息保密的承諾,這就有利於商家而不利於消費者。在電子商務初級階段,由於運作電子商務的企業大多是信譽較高的大公司,因此這問題還沒有充分暴露出來。但隨着電子商務的發展,各中小型公司也參與進來,這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數字簽名和數字證書可實現瀏覽器和Web服務器雙方的身份驗證,但是SSL協議仍存在一些問題,比如,只能提供交易中客戶與服務器間的雙方認證,在涉及多方的電子交易中,SSL協議並不能協調各方間的安全傳輸和信任關係。在這種情況下,Visa和 MasterCard兩大信用卡公組織制定了SET協議,爲網上信用卡支付提供了全球性的標準。
購買SSL證書
一般到購買域名的地方去購買,我是阿里雲買的,所以是在阿里雲買的,個人版免費(其他騰訊等未知),有效期1年,過期後可繼續申請。
1.購買地址
2.選擇個人版證書
購買
3.證書申請
購買成功後回到證書控制檯,顯示有一個未簽發的證書,如下:
然後點擊“證書申請”,即可顯示如下界面,一般需要注意的是域名和域名驗證方式,域名驗證方式我一般選自動DNS,它會自動在阿里雲域名控制檯爲域名添加驗證解析信息,其他一般自動填充阿里雲對應賬號信息。然後驗證信息,提交審覈。快的話幾分鐘就申請成功了。
4.下載證書
回到控制檯會顯示,已簽發,然後就可以下載該證書了。
需要注意的是:SSL證書格式與常見服務器類型的對應關係
| 服務器類型 | 證書文件(後綴或文件類型) |祕鑰文件 |證書鏈文件|
|:–: | :–: |:–😐
| Tomcat | .pfx | .txt |---- |
| IIS | .pfx|.txt |---- |
| Nginx | .pem|.key |---- |
| Apache | .crt|.key | .crt |
在https配置中上傳證書
如下面是七牛雲的,pem格式說明服務器是Nginx
上傳後,一般需要認證,快的話幾分鐘就好,慢就說不好。
相關鏈接
證書格式的相互轉換:DER、CRT、CER、PEM:https://blog.csdn.net/haidao1101/article/details/99717437
本文由博客一文多發平臺 OpenWrite 發佈!
