我們先來(lái)了解一下什么理HTTPS

1. HTTPS概念
   1）簡(jiǎn)介
   HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此[加密]的詳細(xì)內(nèi)容就需要SSL。
   2）HTTPS和HTTP的區(qū)別
   　　a. https協(xié)議需要到ca申請(qǐng)證書，一般免費(fèi)證書很少，需要交費(fèi)。
   　　b. http是超文本傳輸協(xié)議，信息是明文傳輸；https 則是具有安全性的ssl加密傳輸協(xié)議。
   　　c. http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。
   d. http的連接很簡(jiǎn)單，是無(wú)狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。
   3）HTTPS的作用
   它的主要作用可以分為兩種：一種是建立一個(gè)信息安全通道，來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?；另一種就是確認(rèn)網(wǎng)站的真實(shí)性。
   　　a． 一般意義上的https，就是服務(wù)器有一個(gè)證書。主要目的是保證服務(wù)器就是他聲稱的服務(wù)器，這個(gè)跟第一點(diǎn)一樣；服務(wù)端和客戶端之間的所有通訊，都是加密的。
   　　b. 具體講，是客戶端產(chǎn)生一個(gè)對(duì)稱的密鑰，通過(guò)服務(wù)器的證書來(lái)交換密鑰，即一般意義上的握手過(guò)程。
   　　c. 接下來(lái)所有的信息往來(lái)就都是加密的。第三方即使截獲，也沒(méi)有任何意義，因?yàn)樗麤](méi)有密鑰，當(dāng)然篡改也就沒(méi)有什么意義了。
   　　d．少許對(duì)客戶端有要求的情況下，會(huì)要求客戶端也必須有一個(gè)證書。
   這里客戶端證書，其實(shí)就類似表示個(gè)人信息的時(shí)候，除了用戶名/密碼，還有一個(gè)CA 認(rèn)證過(guò)的身份。因?yàn)閭€(gè)人證書一般來(lái)說(shuō)是別人無(wú)法模擬的，所有這樣能夠更深的確認(rèn)自己的身份。目前少數(shù)個(gè)人銀行的專業(yè)版是這種做法，具體證書可能是拿U盤（即U盾）作為一個(gè)備份的載體。
   2.SSL簡(jiǎn)介
   　　1）簡(jiǎn)介
   　　SSL (Secure Socket Layer)為Netscape所研發(fā)，用以保障在Internet上數(shù)據(jù)傳輸之安全，利用數(shù)據(jù)加密(Encryption)技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過(guò)程中不會(huì)被截取及竊聽(tīng)。它已被廣泛地用于Web[瀏覽器]與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。
   　　2）SSL提供的服務(wù)
   　　a.認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器
   　　b.加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取
   　　c.維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被改變。
   　　3) SSL協(xié)議的握手過(guò)程
   　　SSL 協(xié)議既用到了公鑰加密技術(shù)又用到了對(duì)稱加密技術(shù)，對(duì)稱加密技術(shù)雖然比公鑰加密技術(shù)的速度快，可是公鑰加密技術(shù)提供了更好的身份認(rèn)證技術(shù)。SSL 的握手協(xié)議非常有效的讓客戶和服務(wù)器之間完成相互之間的身份認(rèn)證，其主要過(guò)程如下：
   　?、倏蛻舳说臑g覽器向服務(wù)器傳送客戶端SSL 協(xié)議的版本號(hào)，加密算法的種類，產(chǎn)生的隨機(jī)數(shù)，以及其他服務(wù)器和客戶端之間通訊所需要的各種信息。
   　　②服務(wù)器向客戶端傳送SSL 協(xié)議的版本號(hào)，加密算法的種類，隨機(jī)數(shù)以及其他相關(guān)信息，同時(shí)服務(wù)器還將向客戶端傳送自己的證書。
   　?、劭蛻衾梅?wù)器傳過(guò)來(lái)的信息驗(yàn)證服務(wù)器的合法性，服務(wù)器的合法性包括：證書是否過(guò)期，發(fā)行服務(wù)器證書的CA 是否可靠，發(fā)行者證書的公鑰能否正確解開(kāi)服務(wù)器證書的“發(fā)行者的數(shù)字簽名”，服務(wù)器證書上的域名是否和服務(wù)器的實(shí)際域名相匹配。如果合法性驗(yàn)證沒(méi)有通過(guò)，通訊將斷開(kāi)；如果合法性驗(yàn)證通過(guò)，將繼續(xù)進(jìn)行第四步。
   　?、苡脩舳穗S機(jī)產(chǎn)生一個(gè)用于后面通訊的“對(duì)稱密碼”，然后用服務(wù)器的公鑰（服務(wù)器的公鑰從步驟②中的服務(wù)器的證書中獲得）對(duì)其加密，然后傳給服務(wù)器。
   　　⑤服務(wù)器用私鑰解密“對(duì)稱密碼”(此處的公鑰和私鑰是相互關(guān)聯(lián)的，公鑰加密的數(shù)據(jù)只能用私鑰解密，私鑰只在服務(wù)器端保留。然后用其作為服務(wù)器和客戶端的“通話密碼”加解密通訊。同時(shí)在SSL 通訊過(guò)程中還要完成數(shù)據(jù)通訊的完整性，防止數(shù)據(jù)通訊中的任何變化。
   　?、蘅蛻舳讼蚍?wù)器端發(fā)出信息，指明后面的數(shù)據(jù)通訊將使用的步驟⑤中的主密碼為對(duì)稱密鑰，同時(shí)通知服務(wù)器客戶端的握手過(guò)程結(jié)束。
   　?、叻?wù)器向客戶端發(fā)出信息，指明后面的數(shù)據(jù)通訊將使用的步驟⑤中的主密碼為對(duì)稱密鑰，同時(shí)通知客戶端服務(wù)器端的握手過(guò)程結(jié)束。
   　?、郤SL 的握手部分結(jié)束，SSL 安全通道的數(shù)據(jù)通訊開(kāi)始，客戶和服務(wù)器開(kāi)始使用相同的對(duì)稱密鑰進(jìn)行數(shù)據(jù)通訊，同時(shí)進(jìn)行通訊完整性的檢驗(yàn)。

3.配置服務(wù)器端證書