基于Wireshark抓包浅谈对HTTPS的理解(TLSSSL数字证书数字签名)

202 870

简单记录一下近日学习HTTPS、TLS等协议的收获和心得。

在介绍HTTPS之前,首先来说一下加密算法。加密算法有双向和单向之分,双向加(解)密算法指明文和密文可相互转化,单向加密算法则只能由明文转化为密文,无法逆向转化。下图是两种分类所主要用到的算法。

其中来着重介绍对称加密和非对称加密,以及二者的结合。

可以用一组公式来总结:

f1(k,data)=encrypted_dataf2(k,encrypted_data)=data其中f1,f2分别为加密,解密算法。k为密钥,data为明文数据,encrypted_data为加密数据。

流程:客户端和服务器共同协商出一个密钥和一个对称加密算法,后面传输数据时利用密钥和对称加密算法对数据进行加密,另一端收到后,利用解密算法得到原始明文数据。

非对称加密有公钥(public_key)和私钥(private_key),二者一一对应,在生成私钥的同时也生成对应公钥。

公式总结如下:

f(pub_key,data1)=encrypted_data1f(pri_key,encrypted_data1)=data1-------------------------------------f(pri_key,data2)=encrypted_data2f(pub_key,encrypted_data2)=data2其中pub_key,pri_key分别为公钥和私钥。通过公钥和私钥都可以给数据加密,且使用对应的私钥/公钥可对数据解密。

流程:客户端向服务器发出请求索要公钥,服务器返回公钥。客户端将数据通过公钥加密后发给服务器,服务器通过私钥进行解密;服务器通过私钥对数据加密后发给客户端,客户端利用公钥解密。

非对称加密的效率,对称加密的安全性是其二者的缺点,所以可以将二者结合,实现取长补短。

流程:客户端向服务器发出请求索要公钥,服务器返回公钥。客户端随机生成一个随机数num,num通过公钥加密后发送给服务器,服务器利用私钥解密,得到num。这时,客户端和服务器将num共同视为对称加密的密钥,后面传输的数据通过此密钥加/解密。

在接收到数据包时,会出现一个问题:如何确定此数据包是不是真正目的服务器所发出的(中间人攻击会冒充服务器,向客户端发送数据包、公钥)。这时就需要「数字签名」和「数字证书」技术来验证文件内容的一致性与服务器的身份(安全性更高的场景还需要验者客户端的身份)。数字签名算法主要有RSA(哈希算法+RSA加密算法),DSA,ECDSA。

TCP三次握手结束和服务器成功连接后,客户端就开始发起TLS连接,首先会进入**TLS握手阶段**。

TLS握手阶段目的:

TLS握手阶段一般流程(TLS握手的流程并不是一成不变的,根据实际的应用场景来,主要有三种):

TLS握手机制图解

在Wireshark软件中捕获了访问知乎网页数据包,追踪TCP流得到第一个TLS包

服务端下发证书,客户端验证服务端的身份,并且取出证书携带的公钥,这个公钥是交换加密算法的公钥。也就是在ServerHello阶段指定的ECDHE(ECDiffie-Hellman)算法,也是通常说的DH加密。

这个Certificate消息下发了从携带自己公钥的数字证书和CA证书的证书链,在Certificates字段中:

由字段信息可知,证书链中共有3个数字证书。分别为服务端(zhihu.com)证书->中间CA证书->根CA证书。首先看服务端证书

首先是signedCertificate字段的内容,即数字证书的数据

然后是证书颁发机构的签名信息:

密钥交换阶段,这个步骤是可选步骤,对Certificate阶段的补充,只有在这几个场景存在:

通知客户端,版本和加密套件协商结束。

这里,客户端不直接生成加密密钥,而是通过之前客户端和服务端生成的随机数又再生成一个随机数,使用前面协商好的用ECDiffie-Hellman算法进行加密传输给服务端。这个值又被称为“premastersecret“。

服务端收到这个报文后,会使用自己的私钥解开这个随机数。在这个阶段过后,服务端和客户端都有三个随机数:客户端随机数、服务端随机数和预备主密钥。在服务端收到了ClientKeyExchange消息后,两端都按照相应的算法生成了主密钥,加密密钥交换完成。交换完了,因为主密钥是两个端按照约定好的算法产生的,如何保证这个主密钥是正确的?这时候会进入下一个阶段。客户端和服务端会对握手信息使用SHA做个摘要,用AES加密算法和主密钥加密,传递给对方验证。这种方式也称为消息认证。就是下面的过程:

客户端通知服务端,后续的报文将会被加密。

这里就是客户端的ClientFinished消息。也是整个SSL过程中,发送给服务端的第一个加密消息。服务端接收后,服务端用同样的方式计算出已交互的握手消息的摘要,与用主密钥解密后的消息进行对比,一致的话,说明两端生成的主密钥一致,完成了密钥交换。

服务端通知客户端,后续的报文将会被加密。

这里就是服务端的ServerFinish消息。和上面的客户端的EncryptedHandshakeMessage一样,是服务端发出的第一条加密信息。客户端按照协商好的主密钥解密并验证正确后,SSL握手阶段完成。

应用数据传输消息。因为这里是HTTPS,所以可以对HTTP应用协议数据加密然后传输了。

THE END

如何使用OpenSSL检查Linux中的SSL证书公钥服务器linux命令提示符openssl

网络安全零门槛手把手教你申请永久免费SSL证书

https的简单介绍及SSL证书的生成

基于Wireshark抓包浅谈对HTTPS的理解(TLSSSL数字证书数字签名)

如何创建上传获取和删除CSR数字证书管理服务(原SSL证书)(SSLCertificate)

一篇文了解SSL证书中的RSA算法ECC算法

https自签名SSL证书aaronagu

SSL证书部署最佳实践

httpsTLS/SSL高级进阶前端的bigboom

SSL证书格式有哪些?SSL证书格式详解

1.nginx配置证书和私钥进行SSL通信验证@[toc]一背景正常项目的文章主要介绍了nginx配置证书和私钥进行SSL通信验证的相关内容,包括密钥和证书的概念及关系,nginx支持的证书类型、格式,配置文件中相关参数,不同格式证书能否包含私钥,创建私钥、证书请求、证书的命令,区分证书中是否含私钥的方法,多文件合并及不同格式文件查看方式,以及具体实施操作和重启nginx验证生效的步骤。 https://article.juejin.cn/post/7464036507452981260
2.车辆安全中的证书与密钥介绍与配置模拟电子头条在实际应用中,CRT、CER、KEY等证书和密钥文件,它们各自遵循特定的结构规范,在存储为物理文件时,可以根据需要选择PEM格式或DER格式。 具体来说,CER格式通常用于Windows系统中的证书文件,它符合Windows系统对证书文件的特定要求。CRT格式则更多地用于Linux系统中的证书,它包含了公钥和主体信息等关键内容,是Linux系统中常见https://www.eeworld.com.cn/emp/aes/a392712.jspx
3.支付宝公钥和密钥支付宝公钥怎么获取支付宝公钥和密钥 支付宝公钥怎么获取 项目需要,需要在客户端集成支付宝接口。就研究了一下:因为使用支付宝接口,就需要到支付宝官网:注册帐号,并申请。下面讲的是申请好之后的操作。登录成功之后, 店家我的商家服务—在页面的下方找到——>签约管理—>找打 移动支付—–>点击下载集成文档—>跳到新的页面,在页面https://blog.51cto.com/u_16213627/13226991
4.SSL证书的申请与配置(2024版)3篇.docxSSL证书申请资料要求3.SSL证书配置相关事项3.1SSL证书配置步骤3.2SSL证书配置环境要求3.3SSL证书配置人员要求3.4SSL证书配置所需工具4.SSL证书使用规范4.1SSL证书使用范围4.2SSL证书使用限制4.3SSL证书使用安全保障4.4SSL证书使用违规处理5.SSL证书维护相关事项5.1SSL证书维护内容5.2SSL证书维护周期5.3SSL证书维护费用5.4SSL证书https://www.renrendoc.com/paper/384370817.html
5.ssl证书密钥内容在哪看猜你喜欢:ssl证书密钥内容在哪看到呢?ssl证书的有效性就到了。我们可以通过使用TLS协议申请一个TLS证书,以便在浏览器上看到证书的有效性。证书有效期是多久?ssl证书到期前,我们需要将证书部署到服务器上进行使用,以便在浏览器上看到证书的有效期,可以设置有效期。如何设置TLS版本SSL证书,更加详细的流程描述以及TLS版本https://www.huaweicloud.com/zhishi/edits-18335634.html
6.SSL证书包括哪些内容?4. 证书类型和密钥算法 SSL 证书也包括证书类型和密钥算法的信息。证书可以是单个域名、多个域名、泛域或扩展验证(EV)证书。此外,证书还包括用于加密通信的数字密钥算法,如RSA或ECC等。 5. 数字签名 SSL 证书最重要的内容是数字签名。证书颁发机构使用其私钥对证书进行签名,以证明证书是由该机构颁发的。当用户请求https://www.zwtrus.com/detail?article_id=68
7.SSL常见问题解答SSL卸载与加速SSL 证书密钥生成工具,使您能够创建以下文件: 证书请求 自签名证书 RSA 密钥 DH 参数 我想使用 NetScaler 设备的 SSL 卸载功能。接收 SSL 证书的各种选项有哪些 必须先收到 SSL 证书,然后才能在 NetScaler 设备上配置 SSL 设置。您可以使用以下任意方法来接收 SSL 证书: https://docs.citrix.com/zh-cn/citrix-adc/current-release/ssl/faq-ssl1.html
8.获取SSL证书ssl证书内容和密钥在哪找文章浏览阅读3.3k次,点赞2次,收藏6次。两种方式可以获取到SSL证书_ssl证书内容和密钥在哪找https://blog.csdn.net/weixin_42467874/article/details/127529021
9.在服务器上启用HTTPS的详细教程nginx完成之后会给你一个私人密钥,在他们的服务器上生成的私人密钥,但这不是你创建SSL 证书的密钥.他们用这个私人密钥生成一个单独的"认证证书",以后你可以用它来登录StartSSL的控制面板,下面你将要为你的网站创建一个整数了。 最后他们会叫你安装证书 在你的浏览器上安装验证证书 https://www.jb51.net/article/68679.htm
10.示例:SSL证书生成密钥和CSR期望使用 Linux 版Tableau Server?请参阅示例:SSL 证书 - 生成密钥和 CSR(链接在新窗口中打开)。 Tableau Server 使用 Apache,其中包括了OpenSSL(链接在新窗口中打开)。您可以使用 OpenSSL 工具包来生成密钥文件和随后可用于获取签名 SSL 证书的证书签名请求 (CSR)。 http://help.tableau.com/current/server/zh-cn/ssl_cert_create.htm
11.SSL证书内容和密钥在哪个文件?2.私钥:用于解密数据。私钥是服务器的私有密钥,只有服务器拥有。它用于解密使用公钥加密的数据。 SSL证书的密钥对是通过密钥生成算法生成的。公钥和私钥是一对密钥,它们互为对称密钥。私钥需要保持安全,因为掌握私钥的人可以解密传输到服务器的数据。 现在,让我们讨论一下SSL证书内容和密钥在哪个文件以及文件的格式。证https://blog.itpub.net/70027286/viewspace-3056988/
12.如何获取https的证书和密钥免费的ssl证书申请怎么做? SSL证书是一种数字证书,用于加密网络连接以保护敏感信息。它通常用于网站和应用程序,以确保用户的个人信息和支付信息等不受攻击者的攻击。SSL证书是由证书颁发机构(CA)颁发的,一般需要支付费用。但是Tag:如何获取https的证书和密钥您的方式服务器运行https证书失败证书https://www.yimenapp.com/kb-yimen/tag/%E5%A6%82%E4%BD%95%E8%8E%B7%E5%8F%96https%E7%9A%84%E8%AF%81%E4%B9%A6%E5%92%8C%E5%AF%86%E9%92%A5/
13.nginx更换ssl证书1.备份旧证书和密钥 在更改SSL证书之前,必须先备份目前代码中使用的证书和密钥文件。 2.购买新证书 可以选择购买单域或多域证书,根据自己的需求选择。 3.上传新证书文件 将预期使用的SSL证书文件和密钥上传至服务器的指定目录,比如存放在/etc/nginx/ssl目录下(这里作为举例,具体请参考服务器实际路径),同时确认证书https://www.ihuyi.com/pd/ssl/nginxgenghuansslzhengshu.html
14.什么是SSL认证?SSL/TLS认证简介SSL/TLS 证书是一个数字对象,它允许系统验证身份,然后使用安全套接字层/传输层安全性(SSL/TLS)协议建立到另一个系统的加密网络连接。证书在名为公有密钥基础设施 (PKI) 的加密系统中使用。通过 PKI,在双方都信任同一个第三方(称为证书颁发机构)的情况下,一方可以确认使用证书的另一方的身份。SSL/TLS 证书可用http://aws.amazon.com/what-is/ssl-certificate/?nc2=h_mo-lang
15.添加和管理TLS/SSL证书可以添加数字安全证书,以在应用程序代码中使用或在Azure 应用服务中帮助保护自定义 DNS 名称,该证书提供了高度可缩放、自我修补的 Web 托管服务。 目前称为传输层安全性 (TLS) 证书,以前也称为安全套接字层 (SSL) 证书,这些专用或公用证书通过加密浏览器、访问的网站和网站服务器之间发送的数据来帮助保护 Internethttps://docs.microsoft.com/zh-cn/azure/app-service/web-sites-purchase-ssl-web-site
16.Let'sEncrypt靠谱又免费的SSL证书3. 在服务器验证设置好后,在验证页面点击“NEXT”按钮进行验证。 五、 导出生成的SSL证书 导出生成的SSL证书 到了这个页面就生成了正式的SSL证书,请下载红色方块所示的证书和密钥。 注意:这个免费SSL证书有效期为90天,到期后可以免费续期,即重复这个注册过程,再次生成新的免费SSL证书。 https://www.jianshu.com/p/ae407556b13d
17.Windows操作系统上查找SSL证书私钥的方法在Windows 操作系统上,您无权查看或检索文本格式的私钥。当您使用 MMC(Microsoft 管理控制台)或 ISS 导入SSL证书时,会自动获取私钥并安装证书。只有当您在生成CSR代码和密钥的同一台服务器上导入证书时,才会发生这种情况。 但是如果您需要在不同的服务器上安装证书,您将需要私钥。您需要执行以下步骤才能在 Windows操https://www.anxinssl.com/13595.html
18.配置ASA:SSL数字证书安装和续约本文档介绍在 ASA 上为无客户端 SSLVPN 和 AnyConnect 连接安装第三方可信 SSL 数字证书。https://www.cisco.com/c/zh_cn/support/docs/security-vpn/public-key-infrastructure-pki/200339-Configure-ASA-SSL-Digital-Certificate-I.html
19.SSL证书资料入门指南建立连接:用户通过浏览器访问网站,浏览器会向服务器请求SSL证书。 证书验证:服务器向浏览器发送SSL证书,浏览器验证证书的有效性,包括验证证书的签名、有效期等。 密钥交换:一旦证书验证成功,浏览器和服务器之间会进行密钥交换,生成一个用于加密通信的会话密钥。 加密通信:浏览器和服务器之间使用会话密钥进行加密通信,确https://www.imooc.com/article/373507
20.怎么查看ssl证书?ssl证书有什么显著优势?ssl证书有什么显著优势? 一般说来,在网上进行电子商务交易时,交易双方需要使用数字签名来表明自己的身份,并使用数字签名来进行有关的交易操作。随着电子商务的盛行,数字签章的颁发机构CA中心将为电子商务的发展提供可靠的安全保障。 一个有效、可信的SSL数字证书包括一个公共密钥和一个私用密钥。https://www.xinnet.com/knowledge/2142342856.html
21.获取并安装SSL证书和密钥。要配置 SSL 支持,必须先完成下列步骤: 获取SSL 证书和密钥文件。可以通过三种方法完成此任务: 向公共认证中心(例如 VeriSign、Thawte 或 Entrust)购买。公共认证中心 (CA) 签发证书,以便对使用该证书的服务器进行验证。 通过第三方认证中心生成密钥和证书文件。如果采用这种方法,那么必须将第三方 CA 的根证书导入到https://www.ibm.com/docs/zh/spss-modeler/18.1.1?topic=ssl-obtaining-installing-certificate-keys
22.在docker内部版本中找不到ssl证书或密钥文件在Docker内部版本中找不到SSL证书或密钥文件可能是由于以下几个原因导致的: 证书或密钥文件路径错误:首先,确保你在Docker容器中指定的路径是正确的。通常情况下,SSL证书和密钥文件应该位于容器内的特定路径,例如/etc/ssl/certs/或/etc/nginx/ssl/。你可以通过在Dockerfile或docker-compose.yml文件中正确设置COPhttps://cloud.tencent.com/developer/information/%E5%9C%A8docker%E5%86%85%E9%83%A8%E7%89%88%E6%9C%AC%E4%B8%AD%E6%89%BE%E4%B8%8D%E5%88%B0ssl%E8%AF%81%E4%B9%A6%E6%88%96%E5%AF%86%E9%92%A5%E6%96%87%E4%BB%B6-ask