ssl证书验证原理,SSL证书是做什么用的?
什么是SSL?
SSL是一种使用TCP / IP在两个通信应用程序之间提供隐私和完整性的协议,对在客户端和服务器端之间来回传递的数据进行加密。
SSL证书的工作原理:
SSL连接始终由客户端启动。在SSL会话开始时,将执行SSL握手。此握手生成会话的加密参数。如图显示了如何处理SSL握手的简要概述。此示例假定在Web浏览器和Web服务器之间建立SSL连接。
1.客户端发送“hello”消息,列出客户端的加密功能(按客户端首选项顺序排序),例如SSL的版本,客户端支持的密码套件以及客户端支持的数据压缩方法。 该消息还包含一个28字节的随机数。
2.服务器响应服务器“hello”消息,该消息包含加密方法(密码套件)和服务器选择的数据压缩方法,会话ID和另一个随机数。
3.服务器发送其数字证书。
4.服务器发送服务器“hello done”消息并等待客户端响应。
5.在收到服务器“hello done”消息后,客户端(Web浏览器)验证服务器的数字证书的有效性,并检查服务器的“hello”参数是否可接受。
客户端发送“客户端交换密钥”消息。如果客户端向服务器发送了数字证书,则客户端会发送使用客户端私钥签名的“数字证书验证”消息。 通过验证此消息的签名,服务器可以明确验证客户端数字证书的所有权。
6.客户端使用一系列加密操作将预主密钥转换为主密钥,从中获取加密和消息认证所需的所有密钥材料。 然后客户端发送“更改密码规范”消息,使服务器切换到新协商的密码套件。 客户端发送的下一条消息(“已完成”消息)是使用此密码方法和密钥加密的第一条消息。
7.服务器以“更改密码规范”和自己的“已完成”消息进行响应。
8.SSL握手结束,可以发送加密的应用程序数据。
也就是说,网站通过安装SSL证书将之前的http协议升级为https加密协议,通过https协议对客户端与服务器端进行信息传输的过程加密处理,防止数据信息的泄露,保证了双方传递信息的安全性,还能验证他所访问的网站是否是真实可靠。
网站安装SSL证书的好处:
1.保障数据信息安全
当然,HTTPS的最大特征是增加了安全性。 通过从HTTP升级为HTTPS网站后,通过加密的SSL/ TLS连接到您的网站。这意味着数据和信息不再以纯文本形式传递,而是通过加密的通道传输。对于涉及到信用卡信息的电子商务网站,继续HTTPS加密是必须的,作为企业,您有责任保护用户的个人数据。
除了电子商务,任何网站都有义务进行HTTPS加密,如果网站是通过HTTP运行的,那么站内的信息都会以纯文本形式传递给服务器,这些信息等于在网络上“裸奔”。
2. 有利于SEO
谷歌已正式表示HTTPS将成为网站排名的一个影响因素,百度也对HTTPS站点表示友好。对于站长来说,可以利用这个优势来击败竞争对手。 而且由于谷歌大力支持网站升级为HTTPS,可以预测,这个排名因素的权重很可能会在未来增加。
因此,Matthew Barby对百万个网址进行了分析,结果发现在Google中排名第1,2或3的所有网页中有超过33%的网站在使用HTTPS。
3.用户信任和品牌信誉
根据GlobalSign的一项调查,28.9%的访问者在浏览器中寻找绿色地址栏,其中77%的用户担心他们的数据会被网上截获或滥用。安装SSL的网站会在浏览器地址栏显示绿色挂锁,客户可以立即更安心地浏览网站,不用担心他们的数据被窃取,高级证书(OV SSL证书、EV SSL证书)还能在浏览器地址栏显示企业名称,有利于品牌的宣传,加深用户的信任。
4. 消除Chrome“不安全”警告
截至2018年7月24日,Chrome 68及更高版本的所有非HTTPS网站都标记为“不安全”,并发出大红色警告。如果您的网站已经获得Chrome的大部分流量,将会流失大量客户,特别是外贸型网站。
SSL证书的验证过程?
在浏览器的菜单中点击“工具 /Internet选项”,选择“内容”标签,点击“证书”按钮,然后就可以看到IE浏览器已经信任了许多“中级证书颁发机构”和“受信任的根证书颁发机 构”。当我们在访问该网站时,浏览器就会自动下载该网站的SSL证书,并对证书的安全性进行检查。
由于证书是分等级的,网站拥有者可能从根证书颁发机构领到证书,也可能从根证书的下一级(如某个国家的认证中心,或者是某个省发出的证书)领到证书。假设 我们正
SSL证书做双向认证是否需要安装第三方的插件?
常用的webserver 中间件都会有支持客户端认证的功能,配置SSL证书只需要修改配置文件便可以启用客户认证的功能,而不需要安装第三方的插件。如果对认证仍有疑问,可以找天威诚信等专业的CA机构进行咨询。
ssl证书什么意思?
SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。
给网站部署SSL证书都会带来哪些好处呢?安信SSL证书为大家整理了以下几点:
首先是各大浏览器对https站点更友好,对于没有使用SSL证书的网站,谷歌浏览器会标记为“不安全”的站点。能让各大浏览器满意了,对SEO的排名还是有很大帮助的。
然后是保障了数据的安全。网站为什么要使用SSL证书?因为它的主要功能是数据加密传输和服务器认证。网站部署SSL证书最重要的就是保障数据的安全,以往的HTTP协议是以明文的方式传送内容,攻击者可以轻轻松松就能截取到传送的数据,非法获取重要信息;而HTTPS协议对数据进行加密处理之后才传送,攻击者无法监听、窃取和篡改,保障了网站数据的安全。
最后是提升品牌可信赖的形象。当网站部署了SSL证书之后,浏览器地址栏会显示https前缀和绿色的安全锁标志,如果部署的是EV SSL证书,还会显示绿色的企业名,这些外表上的变化都在告诉用户该网站是可信的,可以放心的访问,有效的提升了企业的品牌形象和可信度。
Centos或linux服务器上部署项目的时候?
第一步:SSL证书服务购买:
实验用途,选择免费版本,如果是线上对安全性要求比较高的建议选择专业版、高级版、增强型的SSL证书。我们使用免费版的可以~~~
第二步:SSL证书申请:
需要提前准备好申请证书的信息,例如:域名、所在地、验证方式等。如下图所示:
备注:使用 系统生成CSR 方式,系统将自动帮您生成证书私钥,并且在证书申请成功后可直接在证书管理列表中下载证书和私钥。
也可以自己生成 CSR(Certificate Signing Request)证书请求文件,并上传CSR,在证书申请成功后可直接在证书管理列表中下载您的证书。
这里建议系统生成方式就可以了,不用那么麻烦!
接下来就是保存信息了,等待阿里云证书审批完成(正常在1个小时内就可以通过),状态会变成已签发。
第三步:下载所需证书:
下载SSL证书,需要根据应用服务器类型,因为我的环境是Tomcat,所以我选择选下载Tomcat(按需选择)
第四步:安装证书:
解压下载的SSL数字证书压缩包,如下图所示共两个文件,一个是我们将要用到的pfx证书,一个是证书的密码.txt:
将pfx文件放到tomcat/conf/目录下(这里为了好区分我们再conf目录下创建cret文件夹,用于存放证书),如下图所示:
修改Tomcat的配置文件server.xml
这个步骤相当重要,记得备份一下server.xml文件,养成配置文件修改前备份的好习惯吧!
添加证书配置
<Connector port="9444" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreType="PKCS12" keystoreFile="conf/cret/hy.hongseliba.cn.pfx" keystorePass="1nNjsK49" />
配置端口(默认8080)的redirectPort和添加证书的端口保持一致(端口可以根据需求进行变更,我们这里用9444);keystoreFile 证书路径,刚刚放到tomcat的pix路径;keystorePass 证书密码,压缩包里面有直接copy放这里就好;最后保存并重启tomcat。
第五步:测试:
如果用https访问依然不行,那需要检查一下几点:
1、检查防火墙配置的端口是否开放外网可以访问。
2、检查端口是否已经被占用(查看tomcat/logs/catalina.out 日志文件排查)。
3、keystoreFile和keystorePass 配置是否正确,密码copy就可以,特别注意证书路径。
如大家有什么问题或者安装过程中有什么难点可以留言哦~~~