HTTPS工作原理

HTTP并非是安全传输，在HTTPS基础上使用SSL协议进行加密构成的HTTPS协议是相对安全的。目前越来越多的企业选择使用HTTPS协议与用户进行通信，HTTPS在传输数据之前需要客户端（浏览器）与服务端（网站）之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。HTTPS是通过一次非对称加密算法（如RSA算法）进行了协商密钥的生成与交换，然后在后续通信过程中就使用协商密钥进行对称加密通信。

加密算法

加密算法主要分为对称和非对称加密

1.对称加密就是大家使用相同的密钥完成加解密，
2.非对称加密算法产生了一对密钥，这对密钥可以实现相互加解密。一份密钥（私钥）掌握在自己手中，将另一份密钥（公钥）放出去，其他人得到公钥，用公钥对信息进行加密后发送给你，你就可以用手中的私钥对消息进行解密，你也可以反向用自己的私钥加密信息发给其他掌握了公钥的人，他们用公钥来解密你的加密信息。

image.png

第一步，客户端发起明文请求：将自己支持的一套加密规则、以及一个随机数（Random_C）发送给服务器。
第二步，服务器初步响应：服务器根据自己支持的加密规则，从客户端发来的请求中选出一组加密算法与HASH算法，生成随机数，并将自己的身份信息以证书（CA）的形式发回给浏览器。CA证书里面包含了服务器地址，加密公钥，以及证书的颁发机构等信息。这时服务器给客户端的包括选择使用的加密规则、CA证书、一个随机数（Random_S）。
第三步，客户端接到服务器的初步响应后做四件事情：
（1）证书校验： 验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等）。
（2）生成密码：浏览器会生成一串随机数的密码（Pre_master），并用CA证书里的公钥加密(enc_pre_master)，用于传给服务器。
（3）计算协商密钥：
此时客户端已经获取全部的计算协商密钥需要的信息：两个明文随机数 Random_C 和 Random_S 与自己计算产生的 Pre-master，计算得到协商密钥enc_key。
（4）生成握手信息：使用约定好的HASH计算握手消息，并使用协商密钥enc_key及约定好的算法对消息进行加密。
第四步，客户端将第三步产生的数据发给服务器：
这里要发送的数据有三条：
（1）用公钥加密过的服务器随机数密码enc_pre_master
（2）客户端发给服务器的通知，”以后我们都要用约定好的算法和协商密钥进行通信的哦”。
（3）客户端加密生成的握手信息。
第五步，服务器接收客户端发来的数据要做以下四件事情：（1）私钥解密：使用自己的私钥从接收到的enc_pre_master中解密取出密码Pre_master。
（2）计算协商密钥：此时服务器已经获取全部的计算协商密钥需要的信息：两个明文随机数 Random_C 和 Random_S 与Pre-master，计算得到协商密钥enc_key。
（3）解密握手消息：使用协商密钥enc_key解密客户端发来的握手消息，并验证HASH是否与客户端发来的一致。
（4）生成握手消息使用协商密钥enc_key及约定好的算法加密一段握手消息，发送给客户端。
第六步，服务器将第五步产生的数据发给客户端：
这里要发的数据有两条：
（1）服务器发给客户端的通知，”听你的，以后我们就用约定好的算法和协商密钥进行通信哦“。
（2）服务器加密生成的握手信息。
第七步，客户端拿到握手信息解密，握手结束。
客户端解密并计算握手消息的HASH，如果与服务端发来的HASH一致，此时握手过程结束
第八步，正常加密通信
握手成功之后，所有的通信数据将由之前协商密钥enc_key及约定好的算法进行加密解密。

HTTPS一般使用的加密与HASH算法如下：
非对称加密算法：RSA，DSA/DSS
对称加密算法：AES，RC4，3DES
HASH算法：MD5，SHA1，SHA256
其中非对称加密算法用于在握手过程中加密生成的密码，对称加密算法用于对真正传输的数据进行加密，而HASH算法用于验证数据的完整性。
由于浏览器生成的密码是整个数据加密的关键，因此在传输的时候使用了非对称加密算法对其加密。非对称加密算法会生成公钥和私钥，公钥只能用于加密数据，因此可以随意传输，而服务器的私钥用于对数据进行解密，所以服务器都会非常小心的保管自己的私钥，防止泄漏。

HTTPS SSL主流数字证书

任何Web服务器都有可能向浏览器提供建立HTTPS连接所需要的公钥，这里就排除不了一些假冒的服务器提供一些自己伪造的公钥，为了确保Web服务器是值得我浏览器信任的，于是引入了数字证书的概念。为了证明自己是值得信赖的，Web服务器需要向第三方CA机构申请一个数字证书，证书中包含了证书基本信息和服务器的公钥信息，证书的最后面是一个由CA机构的私钥对证书上述信息计算摘要后加密的消息签名信息。浏览器内置了一些权威的根证书，这些根证书中带有对应其发证CA机构的公钥，一旦得到Web服务器的数字证书，浏览器会在第一时间来根据证书信息查找是否存在对应的根证书，如果存在，利用根证书中的公钥解密Web服务器数字证书中的消息签名信息，并与自己计算的证书摘要信息进行比对，从而验证其真实性和完整性，只要通过验证，浏览器会自动信任由这些权威机构颁发的证书。当然在某些特定场景下Web服务器也需要浏览器提供数字证书以证明其可信度。

一般来说，主流的Web服务软件，通常都基于两种基础密码库：OpenSSL和Java

Tomcat、Weblogic、JBoss等，使用Java提供的密码库。通过Java的Keytool工具，生成Java Keystore（JKS）格式的证书文件。

Apache、Nginx等，使用OpenSSL提供的密码库，生成PEM、KEY、CRT等格式的证书文件。

此外，IBM的产品，如Websphere、IBM Http Server（IHS）等，使用IBM产品自带的iKeyman工具，生成KDB格式的证书文件。微软Windows Server中的Internet Information Services（IIS），使用Windows自带的证书库生成PFX格式的证书文件。

带有后缀扩展名的证书文件:
*.DER *.CER : 这样的证书文件是二进制格式，只含有证书信息，不包含私钥。

.CRT : 这样的文件可以是二进制格式，也可以是文本格式，一般均为文本格式，功能与.DER/*.CER相同。

*.PEM : 一般是文本格式，可以放证书或私钥，或者两者都包含。 *.PEM如果只包含私钥，那一般用 *.KEY代替。

*.PFX *.P12 是二进制格式，同时含证书和私钥，一般有密码保护

Jmeter的HTTPS协议与测试

方法一

JMeter录制是通过浏览器访问其代理服务器，由代理服务器根据访问解析后生成HTTPSampler的方式完成录制的。代理服务器对于浏览器来说是充当了Web服务器的角色，对于Web服务器来说充当了浏览器的角色，于是当建立代理服务器连接后，浏览器会直接将代理服务器当做目标Web服务器，还记得我们普及的HTTPS原理知识吗，它就会向代理服务器索要数字证书，于是，JMeter通过生成一个本地证书的方式来完成这个与浏览器建立HTTPS握手阶段的过程。

测试计划添加线程组，再添加录制控制器

image.png

工作台添加非测试元件，再添加HTTP代理服务器

image.png

当启动代理服务器时，JMeter会弹出页面提示CA证书已经生成，在Bin目录下。点击确定即可。
找到工具栏“选项”-〉SSL管理器。打开bin目录下的刚刚生成的CA证书，添加进去。

image.png

当我们设置完浏览器代理后，开始浏览录制时，会出现以下页面：

image.png

我们的JMeter数字证书也是不被信任的，接下来我们就需要将该证书导入到浏览器的根证书列表中以达到人工配置信任的目的：

image.png

完成导入后，重新启动浏览器，我们再重新录制脚本

方法二

我们不需要设置代理服务器，把请求的https需要的证书，从浏览器的页面导出来，放入SSL管理器中。

导出证书

image.png

image.png

image.png

添加到SSL管理中，jmeter就可以识别证书，把请求发送给服务器

image.png