开发者社区> 幸运券发放> 正文

https服务的原理和实现

简介: https服务的原理和实现 https详解 目前大部分大型网站已经全部切换到了https服务,所以很有必要了解整个https的原理,https是如何保证信息安全的。这里希望大家对以下部分名词有一定的了解: 数字证书 是互联网通信中的身份标识(主要是用户身份信息和公钥),一般由CA中心颁发,既CA认证中心,或第三方权威机构。
+关注继续查看

https服务的原理和实现

https详解

目前大部分大型网站已经全部切换到了https服务,所以很有必要了解整个https的原理,https是如何保证信息安全的。这里希望大家对以下部分名词有一定的了解:

  • 数字证书
    是互联网通信中的身份标识(主要是用户身份信息和公钥),一般由CA中心颁发,既CA认证中心,或第三方权威机构。数字证书上通常包括:CA的签名,证书所有人的公钥,CA中心的签名算法,指纹以及指纹算法,证书的唯一编号,版本,有效期等。
  • 数字签名、签名算法
    对信息的摘要【通过hash算法/摘要算法/指纹算法计算的信息摘要/hash值】使用签名算法进行加密,得到的密文就叫做数字签名
  • 指纹、指纹算法/摘要算法【hash值计算】
    对消息使用hash算法/摘要算法进行单向处理,获取一个固定长度的信息的摘要/hash值
  • 非对称加密
    可以使用公钥、私钥分解进行对应的加密、解密的算法,即加解密使用的是不同的一堆秘钥。
  • 对称加密
    使用相同秘钥进行加解密的算法
  • 公钥、私钥
    非对称加解密的一对秘钥。

https服务部署过程和原理

了解https的原理,最好的方法就是走一遍流程,理论上的流程和原理通过以下几点来解释:

  1. 证书申请
  2. 证书信任
  3. 密文通信

证书的获取

https的关键之一就是ssl证书,为了保证证书的安全有效性,在各类委员会/厂商之间合作,通过类似圆桌会议来形成若干权威的认证机构【顶级认证机构可以有若干附属的二级、三级...认证机构】,想要得到受信任的证书,就需要向CA机构提交证书签名请求 (CSR, Certificate Signing Request)。过程如下:

  1. 证书申请者【一般是公司、个人开发者等】需要使用加密算法【大部分是RSA算法】来生成公钥、私钥,其中私钥保存在服务器上,不提供给任何人。
  2. 生成证书签名请求 (CSR, Certificate Signing Request),需要提供一些申请者相关的信息【域名、公钥等信息】,发送给CA机构请求他们的签名,经过他们签名才能成为被信任的证书。
  3. CA机构对申请者进行验证【这里不同类型收费不同,验证方式也会不同】,验证通过后,将会在证书中添加部分信息【证书颁发机构、有效期、指纹/hash算法、签名算法】,形成新的证书。
  4. 对新的证书进行签名,步骤如下:
    • 对新证书按照指纹/hash算法进行hash值计算
    • 使用CA机构的私钥对计算出来的hash值按照签名算法进行加密,得出的密文就是数字签名;
    • 将数字签名放在证书的最后面【签名完成】,得到完整的证书,并返回给申请者;
    • 申请者获取签名证书,保证自己的HTTPS服务被信任。

所以最后的证书包括的内容如下:

  • 证书的有效期
  • 公钥
  • 证书所有者(Subject)
  • 签名所使用的算法
  • 指纹以及指纹算法【hash算法】
  • Version Number,版本号。
  • Serial Number,序列号。
  • 颁发机构
  • 数字签名

客户端识别证书

在申请到受信任的证书后,客户端是怎么知道这些证书是值得信任的呢,不同浏览器和系统的具体实现不太一样,但是基本的方式差不多,都是在系统或者浏览器中事先准备好权威的CA机构的相关信息[公钥、常使用的各类hash、签名、加密算法等]。具体过程如下:

  1. 浏览器访问某https服务,带上浏览器自身支持的一系列Cipher Suite(密钥算法套件,后文简称Cipher)[C1,C2,C3, …]发给服务器【算法套件包括非对称算法、对称算法、hash算法】;
  2. 服务器接收到浏览器的所有Cipher后,与自己支持的套件作对比,如果找到双方都支持的Cipher【双方套件中都能支持的最优先算法】,则告知浏览器,并返回自己的证书;
  3. 浏览器确认和服务端后续的密文通信的加密算法,同时对证书进行认证;
  4. 使用证书中的认证机构【可能是二级、三级机构】的公钥【系统、浏览器事先准备好的】按照证书中的签名算法进行解密【认证机构使用私钥加密的密文只能通过该认证机构的公钥进行解密】,解密获取hash值;
  5. 使用证书中的hash/摘要算法对证书信息【证书签名除外的信息[服务器公钥、有效期等]】hash值计算,和4中解密的hash值进行对比,如果相等,表示证书值得信任;【通过数字签名来保证证书内容没有被篡改】。

https的加密通信过程

在上文的流程之后【证书信任,客户端和服务端握手中需要的非对称算法握手信息验证的hash算法正文传输的对称加密】,就是具体的通信过程:

  1. 客户端信任了服务端的证书,并和服务端确认了双方的加密算法【握手中需要的非对称算法握手信息验证的hash算法正文传输的对称加密】;
  2. 客户端生成随机数,通过证书中的公钥按照约定的非对称加密算法进行加密,得到加密的随机数秘钥,同时将之前所有的通信信息【秘钥算法套件、证书等所有的通信内容】按照约定的hash/摘要算法获取hash值,并使用随机数和协商好的对称加密算法进行签名加密,将随机数秘钥和加密签名发送到服务端。
  3. 服务端收到随机数秘钥和加密签名,先使用私钥将随机数按照约定的非对称解密算法进行解密,获取随机数,同时使用随机数按照约定的对称解密算法进行解密,获取待验证的hash值,将之前的通信消息体【秘钥算法套件、证书等所有的通信内容】按照约定的hash/摘要算法获取hash值,与刚才解密获取的待验证的hash值对比,验证加密成功与否。
  4. 成功以后,服务器再次将之前所有的通信信息【秘钥算法套件、证书等所有的通信内容】按照约定的hash/摘要算法获取hash值,并使用随机数和协商好的对称加密算法进行签名加密,将随机数秘钥发送到客户端,
  5. 客户端使用随机数按照约定的对称解密算法进行解密,获取待验证的hash值,将之前的通信消息体【秘钥算法套件、证书等所有的通信内容】按照约定的hash/摘要算法获取hash值,与刚才解密获取的待验证的hash值对比,验证加密成功与否,
  6. 成功的话整个链接过程完成,之后将使用随机数和约定的对称加密算法进行密文通信,【如果上面的任何步骤出现问题,都将会结束整个握手过程,导致建立安全连接失败】。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
服务企业上云,实现业务转型
2017年是以数字经济为核心的新经济在助推政府、企业快速向数字化转型,也推动了产业互联网、智慧互联网的快速发展。企业上云不仅仅只是一个口号,是以运营商、政府、云企业共同推动,正在一步步落实,并且给企业带来“普惠”价值。
3754 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
28711 0
Dubbo 和 HSF 在阿里巴巴的实践:携手走向下一代云原生微服务
HSF 和 Dubbo 的融合是大势所趋。为了能更好的服务内外用户,也为了两个框架更好发展,Dubbo 3.0 和以 Dubbo 3.0 为内核适配集团内基础架构生态的 HSF 3 应运而生。
406 0
函数计算:事件驱动的无服务器计算服务
本文整理自2017云栖大会-成都峰会上阿里云存储服务高级专家杨皓然的分享讲义,讲义主要介绍了阿里云函数计算在计算新需求的驱动下的逐步进化历程,将传统计算服务与函数计算相对比,使函数计算运维成本低等核心优势得以凸显,函数计算在截然不同的场景中都极具吸引力,并介绍了更多函数计算的应用示例。
2347 0
微信小程序开发(6) SSL证书及HTTPS服务器
1. 域名 在万网购买,略   2. 云服务器 阿里云购买,略   3. 安装lnmp 使用lnmp.org程序,略   4. 申请证书 阿里云-管理控制台-安全(云盾)-证书服务-购买证书证书类型: 免费型DV SSL选择品牌: Symantec 购买成功后,绑定域名,配置DNS解析记录生效   5.
2737 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
20496 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
23563 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
20892 0
+关注
幸运券发放
阿里云代金码bieryun.com
370
文章
3
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载