最近抽时间让APP支持了https的功能,所以总结一下相关的知识,以飨读者。
预备知识:必须对https有基本的理解
HTTPS
: Hypertext Transfer Protocol Secure 超文本安全传输协议,太普遍了,列出关键点,不做过多解释。
-
客户端与服务端使用
非对称加密
将一个
秘钥
传递给对方。
-
双方使用此
秘钥
通过
对称加密
通信。
我们知道非对称加密需要一对秘钥:公钥和私钥。当一方拥有了此秘钥对后,最头疼的事情就是如何将公钥
安全的
传递给对方。因为通讯过程是不安全的,我们不知道公钥在传递过程中会发生什么(中间人攻击)。此时
CA
就粉墨登场了,其存在的意义就是确保通信的一方可以安全的获取到对方的公钥。
我们先介绍几个相关名词,然后简单谈一谈CA是如何赚这份钱的。
CA
: certificate authority , 负责颁发CA证书的机构和组织,都是一些欧美邪恶组织,轻易不让别人加入。
CA证书
:CA机构颁发给其他人的证书。主要包含如下信息
-
申请者公钥
-
申请者的信息
-
颁发者(CA)的信息
-
以上信息的数字签名
数字签名生成规则:先使用摘要算法,例如SHA256,将以上信息生成
摘要
,然后CA使用自己的私钥对此
摘要
加密
那CA到底是如何赚这份钱的呢? 简单来说就是CA帮你做担保,担保那个公钥确实是和你通信的那一方的。那他是怎做到的呢?且听我娓娓道来
第一步:
CA
,就是那些欧美邪恶组织,先找操作系统厂商以及浏览器厂商,例如微软、Google、Apple等私通苟且,大家关起门来讨价还价一番,最后让这些厂商在自己的操作系统或者浏览器中内置CA的
根证书
(以及二级证书)。大家约定好,只有能通过这些证书验证的其他证书才是合法的,否则都他娘的不许放行,或者吓唬用户:“系统检测到你访问的地址是不安全的,继续访问有可能被爆菊花…”。
通过这一步就达到了如下效果:你先信任了A,然后通过A去校验未知的B、C、D…
第二步:
CA
通过这一顿骚操作,就逼得用户需要向CA申请证书了。因为要使用HTTPS就需要
公钥私钥对
,但是如果你自己产生一对的话,当用户使用浏览器访问你的服务器时,你把公钥传给浏览器,那些内置的
CA根证书
就去校验你这个公钥,然后大惊失色的告诉用户:“不好!你访问的网站可能是个恶意网站,你有可能被爆菊花…” 经此一吓,大部分用户也就不用你的服务了,长此以往,公司就的解散,到时候下海去做鸭,就真的要被爆菊花了…那首歌怎么唱来着:“一步踏错终身错,下海伴舞为了生活…”
有的同学又要反驳了:你又瞎哔哔,我上12306官网去买火车票时,浏览器就会提示我有可能被爆菊花,但是也没见人家倒闭啊… 你是12306吗?你家卖火车票吗?过年回家的时候别说提示你爆菊花,就是提示你有可能吃屎,你也得点进去抢票啊… 这就是垄断的力量!话说强如12306,最近好像也申请了CA证书了。
王二狗不想去下海,所以鼓动其公司《圣女果科技》向CA申请CA证书,其需要如下步骤
a: 向CA提供公司的公钥,公司信息,域名等信息
b: CA调查并确认这些信息都是真实的
c: 圣女果交钱给CA
d: CA向圣女果颁发证书
让我们看一下这些CA根证书的样子吧:
在Chrome中的某个CA证书
Android中的CA证书列表
有了CA证书,公司就可以正常开展业务了。下面看一下当一个用户访问《圣女果科技》官网时证书的验证流程
第三步: 验证证书流程
设客户端为:C,服务端为:S
-
C以https方式访问S
-
S返回其证书
SngCer
给C
-
C使用内置CA根证书验证
SngCer
。 验证过程如下:
将
SngCer
中明文信息使用相同摘要算法生成摘要得到 digest1;
使用
CA根证书
中的
CA的公钥
对
SngCer
中的数字签名解密得到digest2;
对比digest1与digest2,如果相同则说明
SngCer
没有被篡改过,而且是CA颁发出去的,可以放心使用其明文信息。
-
验证
SngCer
中的那些明文信息,例如证书是否过期,域名是否正确,证书是否被吊销等
通过以上介绍我们发现最开始困扰我们如何传递公钥的问题就这样被解决了:
用户无条件信任一个预先安装的公钥
。
理解了CA证书,自签名证书就比较好理解了。就是我们自己生成一对公钥私钥,自己用。如果是浏览器访问,就要忍受其安全提示。如果是运行在Android或者IOS设备中的App呢,访问就会失败。
那如何才能不失败呢?浏览器就比较尴尬了,因为浏览器都是别人开发的,你总不能把你的自签名证书导入我电脑上的浏览器中吧。但是在我们自己开发的App中还是可以使用的,写程序完成证书验证过程就好了。
要处理HTTPS相关的问题可以使用大名鼎鼎的
OpenSSL
,但是我没怎么用过。其实JDK自带了一个工具
keytool
也可以完成。
如果你配置了java的环境变量,可以直接在命令行窗口输入如下命令查看此工具的信息
keytool --help
密钥和证书管理工具
-certreq 生成证书请求
-changealias 更改条目的别名
-delete 删除条目
-exportcert 导出证书
-genkeypair 生成密钥对
-genseckey 生成密钥
-gencert 根据证书请求生成证书
-importcert 导入证书或证书链
-importpass 导入口令
-importkeystore 从其他密钥库导入一个或所有条目
-keypasswd 更改条目的密钥口令
-list 列出密钥库中的条目
-printcert 打印证书内容
-printcertreq 打印证书请求的内容
-printcrl 打印 CRL 文件的内容
-storepasswd 更改密钥库的存储口令
使用 "keytool -command_name -help" 获取 command_name 的用法
使用keytool可以生成keystore, 其是存放 “加密密钥、X.509证书链和受信任证书” 等的数据库。其有多种格式,我们这里使用行业标准格式PKCS12。
keytool -genkeypair -alias tomcat -keyalg RSA -keysize 2048 -storetype PKCS12 -keystore keystore.p12 -validity 3650 -ext san=ip:192.168.xx.xx -storepass password
- genkeypair: 产生一个密钥对;
- alias: 产生的keystore的别名;
- keyalg: 密钥对使用的加密算法(alg是algorithm 的缩写);
- keysize: 秘钥长度,此处为2048 bits, 如果需要更安全可以使用 4096 bits;
- storetype: keystore的类型,此处为PKCS12;
- keystore: keystore文件名称;
- validity: 有效期天数,3650表示有效期为10年;
- storepass: keystore的密码.
- -ext 额外信息,此处添加了Subject Alternate Name (SAN) san=ip:192.168.31.25 san后面是你的主机名,域名或者IP。
例如要同时添加域名与IP使用下面的配置:san=dns:shusheng007.top,ip:192.168.10.xxx
如果证书中不把域名或者IP放进去的话,客户端请求的时候需要设置不验证主机名,否则证书验证不过。
执行上面命令后需要你提供一些信息:
您的名字与姓氏是什么?
[Unknown]: shusheng007
您的组织单位名称是什么?
[Unknown]: sng
您的组织名称是什么?
[Unknown]: sng
您所在的城市或区域名称是什么?
[Unknown]: tianjin
您所在的省/市/自治区名称是什么?
[Unknown]: jinan
该单位的双字母国家/地区代码是什么?
[Unknown]: cn
CN=shusheng007, OU=sng, O=sng, L=tianjin, ST=jinan, C=cn是否正确?
[否]: y
输入y后回车,就会在你的目录下生成一个keystore.p12文件,这个文件就是我们的keystore
在keystore.p12文件所在目录执行如下命令:
keytool -list -v -storetype pkcs12 -keystore keystore.p12
出现如下信息,输入生成时候的密码,我们这里是shusheng007,回车即可
输入密钥库口令:
密钥库类型: PKCS12
密钥库提供方: SunJSSE
您的密钥库包含 1 个条目
别名: sng
创建日期: 2020-7-23
条目类型: PrivateKeyEntry
证书链长度: 1
证书[1]:
所有者: CN=shusheng007, OU=sng, O=sng, L=tianjin, ST=jinan, C=cn
发布者: CN=shusheng007, OU=sng, O=sng, L=tianjin, ST=jinan, C=cn
序列号: 1990d91e
有效期开始日期: Thu Jul 23 21:52:40 CST 2020, 截止日期: Sun Jul 21 21:52:40 CST 2030
证书指纹:
MD5: 68:D8:C0:E4:32:35:D0:17:7C:0D:8E:AC:0E:BD:40:3E
SHA1: 84:3A:10:7E:16:66:E3:FB:94:5B:16:2A:FD:3C:34:B2:1E:8A:8E:DE
SHA256: FA:29:C9:66:F0:78:8B:3B:17:1A:B1:40:51:C4:32:AB:4A:D5:FC:B3:98:75:D9:51:5E:EB:7E:40:6D:2E:7F:C0
签名算法名称: SHA256withRSA
版本: 3
#1: ObjectId: 2.5.29.17 Criticality=false
SubjectAlternativeName [
IPAddress: 192.168.31.158
#2: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 05 3E 67 C8 B8 D8 04 82 FB 71 F0 35 90 F7 E6 F2 .>g......q.5....
0010: 06 E8 78 1C ..x.
*******************************************
*******************************************
当我们要在客户端,例如Android,中使用时需要从keystore中导出ssl证书myCertificate.crt。
keytool -export -keystore keystore.p12 -alias sng -file myCertificate.crt
输入密码后生成ssl证书
输入密钥库口令:
存储在文件 <myCertificate.crt> 中的证书
只要导出了ssl证书,我们就可以在Android中或者浏览器中使用了,如何使用有机会再说。
我们前面说过,keystore就是一个容器或者说数据库,所以我们是可以把现有的ssl证书导入其中的。
keytool -import -alias sng -file myCertificate.crt -keystore keystore.p12 -storepass shusheng007
我们尝试将刚生成的ssl证书导入keystore.p12中,结果失败了,因为库中已经有一个一模一样的了。
keytool 错误: java.lang.Exception: 证书回复与密钥库中的证书是相同的
行文到此又该结束了,本文讲述了CA证书的工作原理,以及如何生成自签名证书,相信你又get到不少新技能,注意点赞收藏,用时回看。
等有时间我会将如何在前(Android)后端(SpringBoot2)中使用自签名证书总结出来,让其他小伙伴少走弯路,点赞超过50就开写,敬请期待!
参考文章:
https://www.cnblogs.com/handsomeBoys/p/6556336.html
https://www.jianshu.com/p/29e0ba31fb8d
在PKI-1,PKI-2上解释了数字
签名、数字
证书的概念,其中数字
证书就是以
CA证书为例,此外还有一些
证书概念,如自颁发(self-issued)
证书、自签(self-signed)
证书。
CA:Certifi
cate Authority 电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字
证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任
CA证书:通常指的是颁发者和主体是不同的
证书;
自颁发
证书:是指
证书的颁发者和主体是同一个
CA的
证书。
使用自签名CA证书从http到https服务器的升级1、申请自签名证书具体操作流程2、配置服务器3配置浏览器3、移动客户端的配置
声明:** 如需转载,请通过邮箱联系本人或者注明出处,未经允许转载,必究 !!!
邮箱:zhangqihao@hnu.edu.cn**
1、申请自签名证书
关于自签名证书,有两个工具,基于openssl和基于keytool,由于本次案例的开发语言是java,所以只介绍k...
在通信双方,如果使用非对称加密,一般遵从这样的原则:公钥加密,私钥解密。同时,一般一个密钥加密,另一个密钥就可以解密。
因为公钥是公开的,如果用来解密,那么就很容易被不必要的人解密消息。因此,私钥也可以认为是个人身份的证明。
如果通信双方需要互发消息,那么应该建立两套非对称加密的机制(即两对公私钥密钥对),发消息的一方使用对方的公钥进行加密,接收消息的一方使用自己的私钥解密。
2.消息摘要
消息摘要可以将消息哈希转换成一
本文为本人实践并整理http://zengrong.net/post/1695.htm、http://blog.chinaunix.net/uid-20593721-id-4277435.html两篇文章。
一、生成Google Play需要的p12自签名数字证书
生成p12证书有两个工具可以使用:
1.使用AIR ADT工具
2.使用JDK TOOL工具
1.使用AIR
关于httpshttps的原理https通信的过程TCP三次握手简单的三次握手过程三次握手中的状态转变
https的原理
https协议相当于在http上加了一个加密的过程,但是自己在之前的学习
中并没有去深究关于其中的具体过程,这直接导致自己在面试的时候无法很好
回答上来面试官的问题。下面将自己最近有关这方面的学习进行总结和归纳。
https通信的过程
1.浏览器向服务器发送Client Hello,这里的作用是告诉服务器浏览器所支
持的加密算法。
2.服务器响应浏览器,并将自己服务器的证书发送
