2024年-https詳解學(xué)習(xí)課件

HTTPS簡介HTTPS，是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL

什么是HTTPS1數(shù)字加密2?密碼：對文本進(jìn)行編碼?密鑰：改變密碼行為的數(shù)字化參數(shù)?對稱密鑰加密系統(tǒng)：編/解碼使用相同密鑰的算法?非對稱密鑰加密系統(tǒng)：編/解碼使用不同密鑰的算法?數(shù)字簽名：用來驗(yàn)證報(bào)文未被偽造或篡改的校驗(yàn)和?數(shù)字證書：由一個(gè)可信的組織驗(yàn)證和簽發(fā)的識別信息加密、解密相關(guān)知識3HTTPS架構(gòu)4HTTPS數(shù)字簽名非對稱加減密數(shù)字證書SSL/TSL數(shù)字摘要對稱加減密SSL/TLS協(xié)議5

SSL：（SecureSocketLayer，安全套接字層），位于可靠的面向連接的網(wǎng)絡(luò)層協(xié)議和應(yīng)用層協(xié)議之間的一種協(xié)議層。SSL通過互相認(rèn)證、使用數(shù)字簽名確保完整性、使用加密確保私密性，以實(shí)現(xiàn)客戶端和服務(wù)器之間的安全通訊。該協(xié)議由兩層組成：SSL記錄協(xié)議和SSL握手協(xié)議。

TLS：(TransportLayerSecurity，傳輸層安全協(xié)議)，用于兩個(gè)應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性。該協(xié)議由兩層組成：TLS記錄協(xié)議和TLS握手協(xié)議。

SSL是Netscape開發(fā)的專門用戶保護(hù)Web通訊的，目前版本為3.0。最新版本的TLS1.0是IETF(工程任務(wù)組)制定的一種新的協(xié)議，它建立在SSL3.0協(xié)議規(guī)范之上，是SSL3.0的后續(xù)版本。兩者差別極小，可以理解為SSL3.1。SSL/TLS協(xié)議作用：6?認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；?加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??；?維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。SSL、TLS的握手過程71.客戶端發(fā)起請求3.客戶端驗(yàn)證證書5.客戶端發(fā)送數(shù)據(jù).。。。。。2.服務(wù)器回應(yīng)4.生成密鑰.。。。。。a.支持的協(xié)議版本b.支持的加密算法c.產(chǎn)生一個(gè)隨機(jī)數(shù)a.確定的加密協(xié)議版本及加密算法b.服務(wù)器證書c.服務(wù)器隨機(jī)數(shù)a.隨機(jī)數(shù)（使用證書中公鑰加密）b.編碼改變通知c.握手結(jié)束通知a.編碼改變通知b.握手結(jié)束通知對稱加密數(shù)據(jù)傳輸簡化版握手過程81、客戶端發(fā)送請求，服務(wù)器返回公鑰給客戶端；2、客戶端生成對稱加密秘鑰，用公鑰對其進(jìn)行加密后，返回給服務(wù)器；

3、服務(wù)器收到后，利用私鑰解開得到對稱加密秘鑰，保存；4、之后的交互都使用對稱加密后的數(shù)據(jù)進(jìn)行交互。簡化版握手過程9數(shù)字證書10?為什么要有數(shù)字證書?數(shù)字證書的頒發(fā)過程

用戶首先產(chǎn)生自己的密鑰對，并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請求確實(shí)由用戶發(fā)送而來，然后，認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書，該證書內(nèi)包含用戶的個(gè)人信息和他的公鑰信息，同時(shí)還附有認(rèn)證中心的簽名信息(根證書私鑰簽名)。用戶就可以使用自己的數(shù)字證書進(jìn)行相關(guān)的各種活動(dòng)。數(shù)字證書由獨(dú)立的證書發(fā)行機(jī)構(gòu)發(fā)布，數(shù)字證書各不相同，每種證書可提供不同級別的可信度。?證書包含哪些內(nèi)容HTTPS相關(guān)配置111.為服務(wù)器生成證書C:\ProgramFiles(x86)\Java\jdk1.7.0_76\binkeytool-genkey-v-aliastomcat-keyalgRSA-keystoreD:\home\tomcat.keystore-validity365002.為客戶端生成證書keytool-genkey-v-aliasmykey-keyalgRSA-storetypePKCS12-keystoreD:\home\mykey.p12雙擊mykey.p12文件，即可將證書導(dǎo)入至瀏覽器（客戶端）。3.讓服務(wù)器信任客戶端證書keytool-export-aliasmykey-keystoreD:\home\mykey.p12-storetypePKCS12-storepasspassword-rfc-fileD:\home\mykey.cer下一步，是將該文件導(dǎo)入到服務(wù)器的證書庫，添加為一個(gè)信任證書使用命令如下：keytool-import-v-fileD:\home\mykey.cer-keystoreD:\home\tomcat.keystore通過list命令查看服務(wù)器的證書庫，可以看到兩個(gè)證書，一個(gè)是服務(wù)器證書，一個(gè)是受信任的客戶端證書：keytool-list-keystoreD:\home\tomcat.keystore(tomcat為你設(shè)置服務(wù)器端的證書名)。HTTPS相關(guān)配置124.讓客戶端信任服務(wù)器證書keytool-keystoreD:\home\tomcat.keystore-export-aliastomcat-fileD:\home\tomcat.cer(tomcat為你設(shè)置服務(wù)器端的證書名)。5.配置Tomcat服務(wù)器<Connectorport="8443"protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"maxThreads="150"scheme="https" secure="true"clientAuth="false"sslProtocol="TLS" keystoreFile="E:\\home\\tomcat.keystore"keystorePass="123456" truststoreFile="E:\\home\\tomcat.keystore"truststorePass="123456"/>6.測試在瀏覽器中輸入:https://localhost:8443/，會(huì)彈出選擇客戶端證書界面，點(diǎn)擊“確定”，會(huì)進(jìn)入tomcat主頁，地址欄后會(huì)有“鎖”圖標(biāo)，表示本次會(huì)話已經(jīng)通過HTTPS雙向驗(yàn)證，接下來的會(huì)話過程中所傳輸?shù)男畔⒍家呀?jīng)過SSL信息加密。HTTPS和HTTP的區(qū)別131.HTTP的URL以http://開頭，而HTTPS的URL以https://開