https詳解教程PPT課件.ppt

HTTPS簡(jiǎn)介 成員 盧美宏羅帥 HTTPS 是以安全為目標(biāo)的HTTP通道 簡(jiǎn)單講是HTTP的安全版 即HTTP下加入SSL層 HTTPS的安全基礎(chǔ)是SSL 因此加密的詳細(xì)內(nèi)容就需要SSL 什么是HTTPS 1 數(shù)字加密 2 密碼 對(duì)文本進(jìn)行編碼 密鑰 改變密碼行為的數(shù)字化參數(shù) 對(duì)稱(chēng)密鑰加密系統(tǒng) 編 解碼使用相同密鑰的算法 非對(duì)稱(chēng)密鑰加密系統(tǒng) 編 解碼使用不同密鑰的算法 數(shù)字簽名 用來(lái)驗(yàn)證報(bào)文未被偽造或篡改的校驗(yàn)和 數(shù)字證書(shū) 由一個(gè)可信的組織驗(yàn)證和簽發(fā)的識(shí)別信息 加密 解密相關(guān)知識(shí) 3 HTTPS架構(gòu) 4 HTTPS 數(shù)字簽名 非對(duì)稱(chēng)加減密 數(shù)字證書(shū) SSL TSL 數(shù)字摘要 對(duì)稱(chēng)加減密 SSL TLS協(xié)議 5 SSL SecureSocketLayer 安全套接字層 位于可靠的面向連接的網(wǎng)絡(luò)層協(xié)議和應(yīng)用層協(xié)議之間的一種協(xié)議層 SSL通過(guò)互相認(rèn)證 使用數(shù)字簽名確保完整性 使用加密確保私密性 以實(shí)現(xiàn)客戶(hù)端和服務(wù)器之間的安全通訊 該協(xié)議由兩層組成 SSL記錄協(xié)議和SSL握手協(xié)議 TLS TransportLayerSecurity 傳輸層安全協(xié)議 用于兩個(gè)應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性 該協(xié)議由兩層組成 TLS記錄協(xié)議和TLS握手協(xié)議 SSL是Netscape開(kāi)發(fā)的專(zhuān)門(mén)用戶(hù)保護(hù)Web通訊的 目前版本為3 0 最新版本的TLS1 0是IETF 工程任務(wù)組 制定的一種新的協(xié)議 它建立在SSL3 0協(xié)議規(guī)范之上 是SSL3 0的后續(xù)版本 兩者差別極小 可以理解為SSL3 1 SSL TLS協(xié)議作用 6 認(rèn)證用戶(hù)和服務(wù)器 確保數(shù)據(jù)發(fā)送到正確的客戶(hù)機(jī)和服務(wù)器 加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取 維護(hù)數(shù)據(jù)的完整性 確保數(shù)據(jù)在傳輸過(guò)程中不被改變 SSL TLS的握手過(guò)程 7 1 客戶(hù)端發(fā)起請(qǐng)求 3 客戶(hù)端驗(yàn)證證書(shū) 5 客戶(hù)端發(fā)送數(shù)據(jù) 2 服務(wù)器回應(yīng) 4 生成密鑰 a 支持的協(xié)議版本b 支持的加密算法c 產(chǎn)生一個(gè)隨機(jī)數(shù) a 確定的加密協(xié)議版本及加密算法b 服務(wù)器證書(shū)c 服務(wù)器隨機(jī)數(shù) a 隨機(jī)數(shù) 使用證書(shū)中公鑰加密 b 編碼改變通知c 握手結(jié)束通知 a 編碼改變通知b 握手結(jié)束通知 對(duì)稱(chēng)加密數(shù)據(jù)傳輸 簡(jiǎn)化版握手過(guò)程 8 1 客戶(hù)端發(fā)送請(qǐng)求 服務(wù)器返回公鑰給客戶(hù)端 2 客戶(hù)端生成對(duì)稱(chēng)加密秘鑰 用公鑰對(duì)其進(jìn)行加密后 返回給服務(wù)器 3 服務(wù)器收到后 利用私鑰解開(kāi)得到對(duì)稱(chēng)加密秘鑰 保存 4 之后的交互都使用對(duì)稱(chēng)加密后的數(shù)據(jù)進(jìn)行交互 簡(jiǎn)化版握手過(guò)程 9 數(shù)字證書(shū) 10 為什么要有數(shù)字證書(shū) 數(shù)字證書(shū)的頒發(fā)過(guò)程用戶(hù)首先產(chǎn)生自己的密鑰對(duì) 并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心 認(rèn)證中心在核實(shí)身份后 將執(zhí)行一些必要的步驟 以確信請(qǐng)求確實(shí)由用戶(hù)發(fā)送而來(lái) 然后 認(rèn)證中心將發(fā)給用戶(hù)一個(gè)數(shù)字證書(shū) 該證書(shū)內(nèi)包含用戶(hù)的個(gè)人信息和他的公鑰信息 同時(shí)還附有認(rèn)證中心的簽名信息 根證書(shū)私鑰簽名 用戶(hù)就可以使用自己的數(shù)字證書(shū)進(jìn)行相關(guān)的各種活動(dòng) 數(shù)字證書(shū)由獨(dú)立的證書(shū)發(fā)行機(jī)構(gòu)發(fā)布 數(shù)字證書(shū)各不相同 每種證書(shū)可提供不同級(jí)別的可信度 證書(shū)包含哪些內(nèi)容 HTTPS相關(guān)配置 11 1 為服務(wù)器生成證書(shū)C ProgramFiles x86 Java jdk1 7 0 76 binkeytool genkey v aliastomcat keyalgRSA keystoreD home tomcat keystore validity365002 為客戶(hù)端生成證書(shū)keytool genkey v aliasmykey keyalgRSA storetypePKCS12 keystoreD home mykey p12雙擊mykey p12文件 即可將證書(shū)導(dǎo)入至瀏覽器 客戶(hù)端 3 讓服務(wù)器信任客戶(hù)端證書(shū)keytool export aliasmykey keystoreD home mykey p12 storetypePKCS12 storepasspassword rfc fileD home mykey cer下一步 是將該文件導(dǎo)入到服務(wù)器的證書(shū)庫(kù) 添加為一個(gè)信任證書(shū)使用命令如下 keytool import v fileD home mykey cer keystoreD home tomcat keystore通過(guò)list命令查看服務(wù)器的證書(shū)庫(kù) 可以看到兩個(gè)證書(shū) 一個(gè)是服務(wù)器證書(shū) 一個(gè)是受信任的客戶(hù)端證書(shū) keytool list keystoreD home tomcat keystore tomcat為你設(shè)置服務(wù)器端的證書(shū)名 HTTPS相關(guān)配置 12 4 讓客戶(hù)端信任服務(wù)器證書(shū)keytool keystoreD home tomcat keystore export aliastomcat fileD home tomcat cer tomcat為你設(shè)置服務(wù)器端的證書(shū)名 5 配置Tomcat服務(wù)器6 測(cè)試在瀏覽器中輸入 https localhost 8443 會(huì)彈出選擇客戶(hù)端證書(shū)界面 點(diǎn)擊 確定 會(huì)進(jìn)入tomcat主頁(yè) 地址欄后會(huì)有 鎖 圖標(biāo) 表示本次會(huì)話已經(jīng)通過(guò)HTTPS雙向驗(yàn)證 接下來(lái)的會(huì)話過(guò)程中所傳輸?shù)男畔⒍家呀?jīng)過(guò)SSL信息加密 HTTPS和HTTP的區(qū)別 13 1 HTTP的URL以http 開(kāi)頭 而HTTPS的URL以https 開(kāi)頭2 HTTP是不