httphotoshop ssl单项认证和双向认证以和证书生成

HTTP（HyperText Transfer Protocol，超文本传输协议）被用于在Web浏览器和网站服务器之间传递信息，在TCP/IP中处于应用层。这里提一下TCP/IP的分层共分为四层：应用层、传输层、网络层、数据链路层; 分层的目的是：分层能够解耦，动态替换层内协议

各个层包含的内容：

应用层：向用户提供应用服务时的通讯活动（ftp，dns，http）

传输层：网络连接中两台计算机的数据传输（tcp、udp）

网络层：处理网络上流动的数据包，通过怎样的传输路径把数据包传送给对方（ip）

数据链路层：与硬件相关的网卡、设备驱动等等

然而HTTP也有以下明显缺点：

通信使用明文，内容可能被窃听
不验证通信方的身份，因此有可能遭遇伪装
无法证明报文的完整性，所以有可能遭到篡改
这样，HTTPS就登场了。HTTPS中的S表示SSL或者TLS，就是在原HTTP的基础上加上一层用于数据加密、解密、身份认证的安全层，即

HTTP 加密 认证 完整性保护 = HTTPS
加密相关的预备知识：对称加密和非对称加密。

对称加密 ： 加密和解密数据使用同一个密钥。这种加密方式的特点是速度很快，常见对称加密的算法有 AES；
非对称加密： 加密和解密使用不同的密钥，这两个密钥形成有且仅有唯一的配对，叫公钥和私钥。数据用公钥加密后必须用私钥解密，数据用私钥加密后必须用公钥解密。一般来说私钥自己保留好，把公钥公开给别人（一般公钥不会单独出现，而是会写进证书中），让别人拿自己的公钥加密数据后发给自己，这样只有自己才能解密。 这种加密方式的特点是速度慢，CPU 开销大，常见非对称加密算法有 RSA。

CA证书的相关知识： CA证书是由CA（Certification Authority）机构发布的数字证书。其内容包含：电子签证机关的信息、公钥用户信息、公钥、签名和有效期。这里的公钥服务端的公钥，这里的签名是指：用hash散列函数计算公开的明文信息的信息摘要，然后采用CA的私钥对信息摘要进行加密，加密完的密文就是签名。 即：证书 = 公钥 签名 申请者和颁发者的信息。 客户端中因为在操作系统中就预置了CA的公钥，所以支持解密签名（因为签名使用CA的私钥加密的）

CA证书和SSL证书的区别是什么呢？
其实SSL证书是CA证书的一种，CA的作用主要是负责签发证书、认证证书、管理已颁发证书这些。除此之外他还会制定相关的政策和具体的步骤来进行验证、识别用户的身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。SSL证书就是CA机构签发的。
大多数的CA证书，都是可以在WINDOWS上直接生成的。通过点对点原理，实现数据的传输加密和身份核实功能。CA服务器证书，是必须安装在服务器中，由服务器的软硬件信息生成的CSR文件，通过在微软和全球广东金网证书联盟的备份和核实后，生成的CA证书。

有了这些预备知识后，就可以来看看HTTPS是如何怎么做到安全认证的

HTTPS单向认证
服务器默认都是使用单向验证

从上图可以看出，服务端拥有一对非对称密钥：B_公钥和B_私钥。详细过程如下： （1）客户端发起HTTPS请求，将SSL协议版本的信息发送给服务端。

    具体内容：客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。

（2）服务端去CA机构申请来一份CA证书，在前面提过，证书里面有服务端公钥和签名。将CA证书发送给客户端

（3）客户端读取CA证书的明文信息，采用相同的hash散列函数计算得到信息摘要（hash目的：验证防止内容被修改），然后用操作系统带的CA的公钥去解密签名（因为签名是用CA的私钥加密的），对比证书中的信息摘要。如果一致，则证明证书是可信的，然后取出了服务端公钥

（4）客户端生成一个随机数（密钥F），用刚才等到的服务端B_公钥去加密这个随机数形成密文，发送给服务端。

（5）服务端用自己的B_私钥去解密这个密文，得到了密钥F

（6）服务端和客户端在后续通讯过程中就使用这个密钥F进行通信了。和之前的非对称加密不同，这里开始就是一种对称加密的方式

HTTPS 双向认证
双向认证其实就是验证双方的身份

双向认证和单向认证原理基本差不多，单向认证客户端需要认证服务端，而在双向认证中增加了服务端对客户端的认证

双向认证详细过程如下：

（1）客户端发起HTTPS请求，将SSL协议版本的信息发送给服务端。

（2）服务端去CA机构申请来一份CA证书，在前面提过，证书里面有服务端公钥和签名。将CA证书发送给客户端

（3）客户端读取CA证书的明文信息，采用相同的hash散列函数计算得到信息摘要（hash目的：验证防止内容被修改），然后用操作系统带的CA的公钥去解密签名（因为签名是用CA的私钥加密的），对比证书中的信息摘要。如果一致，则证明证书是可信的，然后取出了服务端公钥

（4）客户端发送自己的客户端证书给服务端，证书里面有客户端的公钥：C_公钥

（5）客户端发送支持的对称加密方案给服务端，供其选择

（6）服务端选择完加密方案后，用刚才得到的C_公钥去加密选好的加密方案

（7）客户端用自己的C_私钥去解密选好的加密方案，客户端生成一个随机数（密钥F），用刚才等到的服务端B_公钥去加密这个随机数形成密文，发送给服务端。

（8）服务端和客户端在后续通讯过程中就使用这个密钥F进行通信了。和之前的非对称加密不同，这里开始就是一种对称加密的方式

重点：开启ssl双向认证，可以在nginx服务端配置客户端证书信息，如下地址：

生成证书---》在线下载
包含两部分：keystore 证书库以及证书私钥(xxx.jks)和公钥证书(xxx.cer)文件
keystore 证书库：是一个证书仓库，会生成两个密码，密钥库口令和密钥口令，根据密钥库口令和秘钥口令来获取证书私钥

java代码实例：

/**
 * @Describe 获取加签私钥
 * @Author admin
 * @tags @return
 * @tags @throws Exception
 */
private static PrivateKey getPrivateKey() throws Exception {
    FileInputStream fis = null;
    try {
        KeyStore ks=KeyStore.getInstance("JKS");
        fis=new FileInputStream("D:\\cert\\test.jks");
        String pwd = "秘钥口令：justfortest";
    ks.load(fis, pwd.toCharArray());
    PrivateKey privateKey=(PrivateKey)ks.getKey("test", pwd.toCharArray());
    return privateKey;
    } catch (Exception e) {
        throw e;
    }finally {
        if(fis!=null)
            fis.close();
    }
}

/**
 * @Describe 获取验签公钥
 * @Author admin
 * @tags @return
 * @tags @throws Exception
 */
public static PublicKey getPublicKey() throws Exception{
    FileInputStream in = null;
    try {
        CertificateFactory cf = CertificateFactory.getInstance("X.509");
        in = new FileInputStream("D:\\cert\\test.cer");
        Certificate c = cf.generateCertificate(in);
        PublicKey publicKey = c.getPublicKey();
        return publicKey;
    } catch (Exception e) {
        throw e;
    }finally {
        if(in!=null)
            in.close();
    }
}

HTTPS基本思路总结
HTTPS在保证数据安全传输上使用对称加密和非对称加密相结合的方式来进行的，简单来说就是通过一次非对称加密算法进行了最终通信密钥的生成、确认和交换，然后在后续的通信过程中使用最终通信密钥进行对称加密通信。之所以不是全程非对称加密，是因为非对称加密的计算量大，影响通信效率。


 

这篇好文章是转载于：学新通技术网