基于CA验证的HTTPS访问

一、HTTPS介绍:

超文本传输安全协议(Hypertext Transfer Protocol Secure)缩写:HTTPS是一种通过计算机网络进行安全通信的传输协议。HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。HTTPS开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。这个协议由网景公司(Netscape)在1994年首次提出,随后扩展到互联网上。

历史上,HTTPS连接经常用于万维网上的交易支付和企业信息系统中敏感信息的传输。在2000年代晚期和2010年代早期,HTTPS开始广泛使用于保护所有类型网站上的网页真实性,保护账户和保持用户通信,身份和网络浏览的私密性。

二、主要思想:

HTTPS的主要思想是在不安全的网络上创建一安全信道,并可在使用适当的加密包和服务器证书可被验证且可被信任时,对窃听和中间人攻击提供合理防护。

HTTPS的信任继承基于预先安装在浏览器中的证书颁发机构(如Symantec、Comodo、GoDaddy和GlobalSign等)(意即“我信任证书颁发机构告诉我应该信任的”)。因此,一个到某网站的HTTPS连接可被信任,当且且当:

  • 用户相信他们的浏览器正确实现了HTTPS且安装了正确的证书颁发机构;
  • 用户相信证书颁发机构仅信任合法的网站;
  • 被访问的网站提供了一个有效的证书,意即,它是由一个被信任的证书颁发机构签发的(大部分浏览器会对无效的证书发出警告);
  • 该证书正确地验证了被访问的网站(如,访问https://example.com 时收到了给 example.com 而不是其他组织的证书);
  • 或者互联网上相关节点是值得信任的,或者用户相信本协议的加密层(TLS或SSL)不能被窃听者破坏。

以上来自维基百科

三、实验:

环境拓扑:

image.png

SSL 会话的简化过程
(1) 客户端发送可供选择的加密方式,并向服务器请求证书
(2) 服务器端发送证书以及选定的加密方式给客户端
(3) 客户端取得证书并进行证书验证
如果信任给其发证书的CA
(a) 验证证书来源的合法性;用CA 的公钥解密证书上数字签名
(b) 验证证书的内容的合法性:完整性验证
(c) 检查证书的有效期限
(d) 检查证书是否被吊销
(e) 证书中拥有者的名字,与访问的目标主机要一致
(4) 客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密
此数据发送给服务器,完成密钥交换
(5) 服务用此密钥加密用户请求的资源,响应给客户端
注意:SSL 是基于IP 地址实现, 单IP 的主机仅可以使用一个https 虚拟主机

DNS解析详见DNS之正向反向解析(二)

CA服务端创建私有CA证书并颁发

(1)生成密钥

[root@CentOS7 /etc/pki/CA]#(umask 066;openssl genrsa -out private/cakey.pem 4096)
Generating RSA private key, 4096 bit long modulus
..................................................................................................................................................................................++
....++
e is 65537 (0x10001)
[root@CentOS7 /etc/pki/CA]#tree
.
├── certs
├── crl
├── newcerts
└── private
    └── cakey.pem

4 directories, 1 file

命令回顾解释:
( )表示将会在当前shell中新建一个子shell,将( )中的命令放在该子shell中执行,执行完毕后关闭shell并回到当前shell
由于要对生成的cakey.pem文件设置合适权限,可以使用umask修改文件的默认权限设置。为了不影响当前shell的默认权限设置,使用( )将这些命令放到子shell中执行
genrsa:指定使用rsa算法生成密钥
-out:指定生成的私钥的存放位置(注意:该存放位置是在配置文件中默认定义的了,路径和文件名不能随意修改)
2048:指定生成一个2048位的密钥

(2)自签证书

[root@CentOS7 /etc/pki/CA]#openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:guangdong     
Locality Name (eg, city) [Default City]:huizhou
Organization Name (eg, company) [Default Company Ltd]:cnnavy.cn
Organizational Unit Name (eg, section) []:opt
Common Name (eg, your name or your server's hostname) []:ca.cnnavy.cn
Email Address []:
[root@CentOS7 /etc/pki/CA]#openssl x509 -in cacert.pem -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 17929557096528780391 (0xf8d2952f36ae9c67)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=guangdong, L=huizhou, O=cnnavy.cn, OU=opt, CN=ca.cnnavy.cn
        Validity
            Not Before: Sep 29 07:25:14 2017 GMT
            Not After : Sep 27 07:25:14 2027 GMT
        Subject: C=CN, ST=guangdong, L=huizhou, O=cnnavy.cn, OU=opt, CN=ca.cnnavy.cn

命令回顾解释:
req:生成证书签署请求
-news:新请求
-key /path/to/keyfile:指定私钥文件(req命令能根据私钥自动抽取出公钥)
-out /path/to/somefile:(路径和文件名不用随意修改!)
-509:专门用于生成自签署证书
-days n:有效天数(一般和-x509一起使用才有意义)

(3)初始化工作环境(只有第一次创建CA时,才需要初始化工作环境)

[root@CentOS7 /etc/pki/CA]#touch index.txt
[root@CentOS7 /etc/pki/CA]#echo 00 > serial  #指定序列号从那个数字开始
[root@CentOS7 /etc/pki/CA]#tree
.
├── cacert.pem
├── certs
├── crl
├── index.txt
├── newcerts
├── private
│   └── cakey.pem
└── serial

4 directories, 4 files

Web Server节点申请证书

(1)为私钥请求证书创建单独目录便于存放

[root@CentOS6 ~]#cd /etc/httpd/conf.d/
[root@CentOS6 /etc/httpd/conf.d]#mkdir ssl
[root@CentOS6 /etc/httpd/conf.d]#pwd
/etc/httpd/conf.d

a、生成密钥对儿

[root@CentOS6 /etc/httpd/conf.d/ssl]#(umask 066;openssl genrsa -out httpd.key 2014)
Generating RSA private key, 2014 bit long modulus
...............................................................+++
...........................................+++
e is 65537 (0x10001)
[root@CentOS6 /etc/httpd/conf.d/ssl]#ls
httpd.key

b、生成证书签署请求

[root@CentOS6 /etc/httpd/conf.d/ssl]#openssl req -new -key httpd.key -out httpd.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:guangdong
Locality Name (eg, city) [Default City]:huizhou
Organization Name (eg, company) [Default Company Ltd]:cnnavy.cn
Organizational Unit Name (eg, section) []:opt
Common Name (eg, your name or your server's hostname) []:*.a.com  #*泛域名解析
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@CentOS6 /etc/httpd/conf.d/ssl]#ll
total 8
-rw-r--r-- 1 root root  989 Sep 29 04:13 httpd.csr
-rw------- 1 root root 1639 Sep 29 04:12 httpd.key

-csr :证书签署请求,一般都是这样的后缀

c、将签署请求文件发送给CA服务

[root@CentOS6 /etc/httpd/conf.d/ssl]#scp httpd.csr 192.168.1.107:/etc/pki/CA/

(2)CA签署证书

[root@CentOS7 /etc/pki/CA]#openssl ca -in httpd.csr -out httpd.crt -days 300
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 0 (0x0)
        Validity
            Not Before: Sep 29 07:47:28 2017 GMT
            Not After : Jul 26 07:47:28 2018 GMT
        Subject:
            countryName               = CN #国家
            stateOrProvinceName       = guangdong  #省份名
            organizationName          = cnnavy.cn  #公司名
            organizationalUnitName    = opt  #部门名
            commonName                = *.a.com  #主机名
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                8C:B3:FE:24:51:29:CD:0E:14:57:2A:0A:25:79:C8:3A:3C:61:78:76
            X509v3 Authority Key Identifier: 
                keyid:14:04:18:32:14:50:A0:C9:01:32:D1:42:A0:9B:C8:58:7D:69:63:26

Certificate is to be certified until Jul 26 07:47:28 2018 GMT (300 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

将签署好的证书发回给Web Server申请者

[root@CentOS7 /etc/pki/CA]#scp certs/httpd.crt 192.168.1.106:/etc/httpd/conf.d/ssl/
[root@CentOS7 /etc/pki/CA]#scp cacert.pem 192.168.1.106:/etc/httpd/conf.d/ssl/

Web Server端配置httpd 支持使用ssl,及使用证书

(1)安装 mod_ssl

[root@CentOS6 /etc/httpd/conf.d/ssl]#yum -y install mod_ssl
[root@CentOS6 /etc/httpd/conf.d/ssl]#ll
total 16
-rw-r--r-- 1 root root 2025 Sep 29 04:47 cacert.pem
-rw-r--r-- 1 root root 5674 Sep 29 04:28 httpd.crt
-rw-r--r-- 1 root root  989 Sep 29 04:13 httpd.csr
-rw------- 1 root root 1639 Sep 29 04:12 httpd.key

(2)修改"/etc/httpd/conf.d/ssl.conf" 配置文件并重新加载httpd服务

100 #   Server Certificate:
101 # Point SSLCertificateFile at a PEM encoded certificate.  If
102 # the certificate is encrypted, then you will be prompted for a
103 # pass phrase.  Note that a kill -HUP will prompt again.  A new
104 # certificate can be generated using the genkey(1) command.
105 SSLCertificateFile /etc/httpd/conf.d/ssl/httpd.crt  #修改为证书保存路径

107 #   Server Private Key:
108 #   If the key is not combined with the certificate, use this
109 #   directive to point at the key file.  Keep in mind that if
110 #   you've both a RSA and a DSA private key you can configure
111 #   both in parallel (to also allow the use of DSA ciphers, etc.)
112 SSLCertificateKeyFile /etc/httpd/conf.d/ssl/httpd.key  #修改为私有密钥保存路径

123 #   Certificate Authority (CA):
124 #   Set the CA certificate verification path where to find CA
125 #   certificates for client authentication or alternatively one
126 #   huge file containing all of them (file must be PEM encoded)
127 SSLCACertificateFile /etc/httpd/conf.d/ssl/cacert.pem  #修改CA证书保存路径

[root@CentOS6 /etc/httpd/conf.d/ssl]#service httpd reload Reloading httpd:

Client导入证书
image.png
image.png
image.png
设置http 重定向https,将http请求直接转发至https的URL

重定向status 状态:

  • 永久(Permanent)返回永久重定向状态 (301) 表明资源已永久移动
    Redirect Permanent / https://www.cnnavy.cn/
  • 临时(Temp)返回一个临时重定向状态(302)。默认设置
    Redirect temp / https://www.cnnavy.cn/
HSTS重定向https访问
  • HSTS:HTTP Strict Transport Security
     服务器端配置支持HSTS 后,会在给浏览器返回的HTTP 首部中携带
    HSTS 字段。浏览器获取到该信息后,会将所有HTTP 访问请求在内部做307 跳转到HTTPS 。而无需任何网络过程。
  • HSTS preload list
     Chrome 浏览器中的HSTS 预载入列表,在该列表中的网站,使用Chrome 浏览器访问时,会自动转换成HTTPS 。Firefox 、Safari、 Edge 浏览器也会采用这个列表。
[root@CentOS6 /var/log/httpd]#vim /etc/httpd/conf.d/test.conf 
  1 Header always set Strict-Transport-Security "max-age=15768000"
  2 RewriteEngine on
  3 RewriteRule ^(/.*)$ https://%{HTTP_HOST}$1 [REDIRECT=301]
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,014评论 6 492
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,796评论 3 386
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,484评论 0 348
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,830评论 1 285
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,946评论 6 386
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,114评论 1 292
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,182评论 3 412
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,927评论 0 268
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,369评论 1 303
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,678评论 2 327
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,832评论 1 341
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,533评论 4 335
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,166评论 3 317
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,885评论 0 21
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,128评论 1 267
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,659评论 2 362
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,738评论 2 351

推荐阅读更多精彩内容