SSL簡介

引自：https://baike.baidu.com/item/ssl/320778?fr=aladdin

SSL

SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層與應(yīng)用層之間對網(wǎng)絡(luò)連接進(jìn)行加密。

提供服務(wù)

1. 認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；
2. 加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取；
3. 維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。

服務(wù)器類型

1. Tomcat 5.x
2. Nginx
3. IIS
4. Apache 2.x
5. IBM HTTP SERVER 6.0 [1]

工作流程

服務(wù)器認(rèn)證階段：1）客戶端向服務(wù)器發(fā)送一個開始信息“Hello”以便開始一個新的會話連接；2）服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息；3）客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；4）服務(wù)器回復(fù)該主密鑰，并返回給客戶一個用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。

用戶認(rèn)證階段：在此之前，服務(wù)器已經(jīng)通過了客戶認(rèn)證，這一階段主要完成對客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個提問給客戶，客戶則返回（數(shù)字）簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。

SSL協(xié)議提供的安全通道有以下三個特性：

• 機(jī)密性：SSL協(xié)議使用密鑰加密通信數(shù)據(jù)。
• 可靠性：服務(wù)器和客戶都會被認(rèn)證，客戶的認(rèn)證是可選的。
• 完整性：SSL協(xié)議會對傳送的數(shù)據(jù)進(jìn)行完整性檢查。

從SSL 協(xié)議所提供的服務(wù)及其工作流程可以看出，SSL協(xié)議運(yùn)行的基礎(chǔ)是商家對消費(fèi)者信息保密的承諾，這就有利于商家而不利于消費(fèi)者。在電子商務(wù)初級階段，由于運(yùn)作電子商務(wù)的企業(yè)大多是信譽(yù)較高的大公司，因此這問題還沒有充分暴露出來。但隨著電子商務(wù)的發(fā)展，各中小型公司也參與進(jìn)來，這樣在電子支付過程中的單一認(rèn)證問題就越來越突出。雖然在SSL3.0中通過數(shù)字簽名和數(shù)字證書可實(shí)現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗(yàn)證，但是SSL協(xié)議仍存在一些問題，比如，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，在涉及多方的電子交易中，SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。在這種情況下，Visa和 MasterCard兩大信用卡公組織制定了SET協(xié)議，為網(wǎng)上信用卡支付提供了全球性的標(biāo)準(zhǔn)。

購買SSL證書

一般到購買域名的地方去購買，我是阿里云買的，所以是在阿里云買的，個人版免費(fèi)（其他騰訊等未知），有效期1年，過期后可繼續(xù)申請。

1.購買地址

阿里云證書購買地址：https://yundun.console.aliyun.com/?spm=a2c1d.8251892.aliyun_sidebar.10.97845b76PIxDqx&p=cas#/overview/cn-hangzhou

file

2.選擇個人版證書

購買

file

3.證書申請

購買成功后回到證書控制臺，顯示有一個未簽發(fā)的證書，如下：

file

然后點(diǎn)擊“證書申請”，即可顯示如下界面，一般需要注意的是域名和域名驗(yàn)證方式，域名驗(yàn)證方式我一般選自動DNS，它會自動在阿里云域名控制臺為域名添加驗(yàn)證解析信息，其他一般自動填充阿里云對應(yīng)賬號信息。然后驗(yàn)證信息，提交審核?？斓脑拵追昼娋蜕暾埑晒α?。

image.png

4.下載證書

回到控制臺會顯示，已簽發(fā)，然后就可以下載該證書了。

file

需要注意的是：SSL證書格式與常見服務(wù)器類型的對應(yīng)關(guān)系

| 服務(wù)器類型 | 證書文件（后綴或文件類型） |秘鑰文件 |證書鏈文件|
|:--: | :--: |:--:|
| Tomcat | .pfx | .txt |---- |
| IIS | .pfx|.txt |---- |
| Nginx | .pem|.key |---- |
| Apache | .crt|.key | .crt |

在https配置中上傳證書

如下面是七牛云的，pem格式說明服務(wù)器是Nginx

file

上傳后，一般需要認(rèn)證，快的話幾分鐘就好，慢就說不好。

相關(guān)鏈接

證書格式的相互轉(zhuǎn)換：DER、CRT、CER、PEM：https://blog.csdn.net/haidao1101/article/details/99717437

本文由博客一文多發(fā)平臺 OpenWrite 發(fā)布！