HTTPS Hyper Text Transfer Protocol Secure 超文本传输安全协议
默认端口443
SSL/TLS Transfer Layer Security 安全套接字
OpenSSL
TLS协议的开源实现
常用命令:
生成私钥:openssl genrsa -out mj.key
生成公钥:openssl rsa -in mj.key -pubout -out mj.pem
可以使用OpenSSL构建一套属于自己的CA,自己给自己颁发证书,称为“自签名证书”
TLS1.2连接过程
1.client hello C->S
TLS版本号
支持的加密组件列表(所使用的加密算法和密钥长度等)
一个随机数
2.Server Hello S->C
TLS版本号
选择的加密组件(选中的加密算法)
一个随机数
3.Certificate S->C
服务器的公钥证书(被CA签名过)
4.Server Key Exchange S->C
用以实现ECDHE算法中的一个参数(Server Params)
ECDHE是一种密钥交换算法
Server Params经过服务器私钥签名
5.Server Hello Done S->C
告知客户端:协商部分结束
目前为止,客户端和服务器之间通过明文共享了
Client Random、Server Random、Server Params
而且,客户端也已经拿到了服务器的公钥证书,接下来,客户端会验证证书的真实有效性
6.Client Key Exchange C->S
用以实现ECDHE算法中的另一个参数(Server Params)
目前为止,客户端和服务器都拥有了ECDHE算法需要的2个参数:Server Params、Client Params
客户端、服务器都可以
使用ECDHE算法根据Server Params、Client Params计算出一个新的随机密钥串:Pre-master secret
然后结合Client Random、Server Random、Pre-master secret生成一个主密钥
最后利用主密钥衍生出其他密钥:客户端发送用的会话密钥、服务器发送用的会话密钥等
7.Change Cipher Spec C->S
告知服务器,之后的通信采用计算出来的会话密钥加密
8.Finish C->S
包含连接至今全部报文的整体校验值(摘要),加密之后发送给服务器
这次握手协商是否成功,要以服务器是否能够正确解密该报文作为判定标准
9.Change Cipher Spec S->C
10.Finish
到此为止,客户端服务器都验证加密解密没问题,握手正式结束
后面开始传输加密的HTTP请求和响应
TLS通道建立
