一.https协议介绍
概述:
https=http+ssl(安全套接层)
https公钥验证失败警告:
1、证书不受信任会出现该警告
2、证书受信任,但并非在当前访问域名下也会出现此警告。
公钥证书查看方法:
上图所示为普通的https网站实例,某些网站https公钥类型不同则会有其它展现形式,如:
中国工商银行:
查看本机证书管理控制台:
受信任的证书颁发机构列表,若网页能正常访问,那么其证书就存在于该列表中:
工作原理步骤:
1、用户(客户端)先向服务器发送一个https请求
2、服务器拿到请求之后进行处理,服务器端存放了2个钥匙(私钥、公钥,公钥和私钥是不一样的,但是是一对,可以开一把锁),具体的处理步骤如下:先使用私钥把需要响应客户端的内容进行加密,再去把公钥随同响应内容一起发送给客户端
3、当浏览器获取到服务器端响应内容之后先去验证公钥的有效性,如果验证通过则继续后续操作,如果验证不通过,则会显示警告信息;受信任则产生随机的钥匙,然后使用公钥进行内容的加密
4、将加密完成的数据发送给服务器端
5、服务器端在获取加密信息之后再去使用私钥进行解密
6、服务器再去把需要响应的内容再返回给客户端,发送之前先使用私钥进行加密;
后续的步骤就是循环这个过程,只是后面不需要每次传送公钥
二.ssl协议配置
证书即公钥:
证书中有颁发者: 也就是证书的签发人(CA,即证书签发机构)
通过证书路径可以看到找到根证书:
证书的颁发是层级结构的,根证书父级还存在一个证书,该证书是全局证书,"自己发给自己",所有的子级证书都受信任于这个证书.
ssl部署时要求:证书使用的域名要和证书允许的域名一致(要么和"颁发给"或者和"使用者的可选名称"中给定的域名一致)
证书大多都是需要收费申请的,也有部分类型是免费的.现在CA一般不会给ip颁发,只给域名颁发,之前可以给ip颁发.
申请后的证书文件目录结构如:
CA机构不止一家
证书是有有效期的.
若域名通过https访问如下则表示https没有配置ok:
在apache中配置https协议环境
配置文件httpd-ssl.conf(apache目录下Conf/extra/httpd-ssl.conf)
修改httpd.conf文件,引入httpd-ssl.conf
“Include conf/extra/httpd-ssl.conf”
httpd中开启ssl扩展:
LoadModule ssl_module modules/mod_ssl.so
将证书文件以及其关联文件全部复制到apache目录下一个指定目录(如“i:/wamp/apache/conf/ssl/https/”)
即以下三个文件:
bundle.crt
privatekey.key
publickey.crt
crt证书文件内容是经过base64加密过的。
修改httpd-ssl.conf中相关配置段如下:
<VirtualHost _default_:443>
#ssl站点根目录
DocumentRoot "I:\www"
#ssl协议站点访问域名
ServerName www.itcast.biz:443
#管理员邮箱,在站点产生500错误会显示在页面上
ServerAdmin [email protected]
#ssl引擎开关
SSLEngine on
#ssl加密的组件,允许客户端使用的加密套件
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
#服务器证书文件
SSLCertificateFile "I:\www\Apache\conf\ssl\https\publickey.crt"
#服务器私钥证书
SSLCertificateKeyFile " I:\www\Apache\conf\ssl\https\privatekey.key"
#证书信任链文件
SSLCertificateChainFile " I:\www\Apache\conf\ssl\https\bundle.crt"
精简配置项后如下图:
注:在window下\/都可以使用,在linux下必须/。
重启apache