HTTP 之 HTTPS实现
2017-10-06 15:34
197 查看
1 概述HTTPS(全称:httpover ssl,Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司(Netscape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。https性能相对http差,所以https在保护隐私上有提高了,但是性能降低了 2 SSL会话的简化过程(1) 客户端发送可供选择的加密方式,并向服务器请求证书(2) 服务器端发送证书以及选定的加密方式给客户端(3) 客户端取得证书并进行证书验证如果信任给其发证书的CA,执行以下五步:(a) 验证证书来源的合法性;用CA的公钥解密证书上数字签名(b) 验证证书的内容的合法性:完整性验证(c) 检查证书的有效期限(d) 检查证书是否被吊销(e) 证书中拥有者的名字,与访问的目标主机要一致(4) 客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密,此数据发送给服务器,完成密钥交换(5) 服务用此密钥加密用户请求的资源,响应给客户端.注意:SSL是基于IP地址实现,单IP的主机仅可以使用一个https虚拟主机3 https实现3.1 开启dns在dns服务器上配置对这台https服务器的解析3.2 服务器安装mod_ssl安装语句yum -yinstall mod_ssl;安装该模块后,会修改配置文件,会自动增加LoadModule ssl_module modules/mod_ssl.so在httpd的子配置文件/etc/httpd/conf.d/ssl.conf里,同时也打开了443端口,同时指定了证书的路径原因是安装的时候,会跑安装脚本,生成私钥文件/etc/pki/tls/private/localhost.key,同时也生成证书文件/etc/pki/tls/certs/localhost.crt,这个证书文件是自签名的,此时https网站已经可以访问,但是由于这个https服务器的证书文件不能使用,有问题,颁发给的机构不对,不是站点名称。所以证书要重新向CA申请。获取CA颁发的证书后才能证书使用https站点。3.3 服务器生成证书请求文件在服务器创建证书签署请求,这里是客户端生成证书请求文件,Common Name要和网站的域名一样,可以使用泛域名,如*.ghbsunny.com。其他的相关信息,根据根CA的配置文件/etc/pki/tls/openssl.cnf的policy规定的,默认证书要求countryName,stateOrProvinceName,organizationName要和根CA一致3.4 服务器向根CA申请证书http服务器将生成的证书申请文件发给CA3.5 CA签证这里要注意要指定证书的有效期,签发完成后,根CA颁发服务器的证书给到服务器,同时把根的证书cacert.pem也一起发给服务器服务器。3.6 配置httpd支持使用ssl和使用的证书http服务器上ssl.conf配置文件指定服务器证书的路径,服务器私钥路径,同时指定更根CA的证书的路径配置文件:/etc/httpd/conf.d/ssl.conf,一般只需要修改以下的选项DocumentRoot #调整加密主站点的路径,没有调整的话,默认就是http主配置的站点,如果#这里可以调整DocumentRoot和 http不一样,那么就会导致http 和 https的主站点目录不一样。因为这里配置文件配置了虚拟主机,基于443端口,所以出现了一台机器两个主站点,默认http和https是同一主站点
#以下定义了log的文件,路径是/etc/httpd/logs,和http的log区分开
c curl测试:
DocumentRoot "/var/www/html"ServerName
ServerName www.ghbsunny.com:443SSLCertificateFile
SSLCertificateFile /etc/pki/tls/certs/cent63.crtSSLCertificateKeyFile
SSLCertificateKeyFile /etc/pki/tls/private/client.192.168.32.63.keySSLCertificateChainFile
SSLCertificateChainFile /etc/pki/tls/certs/cacert.pem日志路径
#以下定义了log的文件,路径是/etc/httpd/logs,和http的log区分开
ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log3.7 测试基于https访问相应的主机a 浏览器导入证书,可以正常使用b openssl测试
openssl s_client [-connect host:port] [-cert filename] [-CApathdirectory][-CAfilefilename]例子
openssl s_client -connect www.ghbsunny.com:443注意,本地的这台dns要指向能够解析www.ghbsunny.com 的dns服务器
c curl测试:
curl -cacert cacert.crt https://www.ghbsunny.com:443[/code]其中,cacert.crt是给http服务器颁发证书的根服务器的证书文件 4 http重定向https重定向是指将http请求转发至https的URL。这里建议将http和https的主站点设置为同一个站点。因为跳转是会将设置目录下的所有http请求进行跳转,如果https没有http站点的目录,比如http默认主站点是/var/www/html/,但是https下的主站点是/var/www/https,而且没有/var/www/https/web1的站点,当有请求http://www.ghbsunny.com/web1,则跳转会显示网页不存在而导致网页打不开建议使用HSTS技术进行跳转基于redirect跳转Redirect技术跳转的时候,默认客户端发送不加密的请求到服务器端,然后服务器端告诉客户端说,网站已经转到加密站点,然后客户端再发一个加密请求的站点过来,服务器才返回https的结果给客户端,中间经过4步。.重定向格式如下Redirect [status] URL-path URL URL-path指网站上的站点路径.status状态:有两个值 Permanent 和 Temp.Permanent:Returnsa permanentredirect status (301) indicating that the resource has moved permanently .Temp:Returnsa temporary redirectstatus (302). This is the default基于HSTS跳转目前主流是采用HSTS(HTTP StrictTransport Security)技术进行跳转服务器端配置支持HSTS后,会在给浏览器返回的HTTP首部中携带HSTS字段。浏览器获取到该信息后,会将所有HTTP访问请求在内部做307跳转到HTTPS。而无需任何网络过程。当客户端第一次发http请求过来,服务器端响应https的结果给客户端,只有两步,这个是相对安全的机制,下次客户端浏览器再次访问的时候,浏览器端自动会将http转换为https,然后以https发请求给服务器基于HSTS preload listHSTS preload list是Chrome浏览器中的HSTS预载入列表,在该列表中的网站,使用Chrome浏览器访问时,会自动转换成HTTPS。Firefox、Safari、Edge浏览器也会采用这个列表。这个是在浏览器配置的,是要网站向google申请,谷歌浏览器才会支持例子.基于redirect示例:vim /etc/httpd/conf.d/rediect.conf Redirect temp /var/www/html vim' target='_blank'>https://www.magedu.com/基于HSTS示例:vim /etc/httpd/conf.d/hsts.conf Header always setStrict-Transport-Security "max-age=15768000" #以上这段代码,告诉客户端浏览器下次访问的时候以https来访问 #max-age=15768000在这段时间内访问都自动调整为https来访问 RewriteEngine on RewriteRule ^(/.*)$ https://%{HTTP_HOST}$1 [redirect=301]
相关文章推荐
- PHP实现http与https转化
- Centos 6.9中 http-2.2 中的一些基本操作和 https 的实现
- [转]C#、VB.NET使用HttpWebRequest访问https地址(SSL)的实现
- 轻松把玩HttpClient之配置ssl,采用绕过证书验证实现https
- 轻松把玩HttpClient之配置ssl,采用设置信任自签名证书实现https
- Http2.2实现https
- nginx通过ssl证书实现https和http共存访问
- Apache 实现ProxyPass转发URL到Tomcat并实现http自动转https【转载】
- js实现https与http之间的转换
- tomcat 配置实现http跳转至https
- HttpURLConnection,HttpsURLConnection实现http及https客户端
- 如何使用NetScaler实现http页面跳转https
- C/C++实现HTTP/HTTPS的POST存在的问题
- charles实现http与https抓包
- https,https的本地测试环境搭建,asp.net结合https的代码实现,http网站转换成https网站之后遇到的问题
- IIS 7中如何实现http重定向https
- 轻松把玩HttpClient之配置ssl,采用绕过证书验证实现https
- java http get post请求 https请求实现
- Apache mod_rewrite实现HTTP和HTTPS重定向跳转
- tomcat 配置实现http跳转至https