十五.网络协议学习笔记 HTTPS

HTTPS Hyper Text Transfer Protocol Secure 超文本传输安全协议

默认端口443

SSL/TLS Transfer Layer Security 安全套接字

OpenSSL

TLS协议的开源实现

image.jpeg

常用命令:

生成私钥：openssl genrsa -out mj.key

生成公钥：openssl rsa -in mj.key -pubout -out mj.pem

可以使用OpenSSL构建一套属于自己的CA，自己给自己颁发证书，称为“自签名证书”

TLS1.2连接过程

image.jpeg

1.client hello C->S

TLS版本号

支持的加密组件列表（所使用的加密算法和密钥长度等）

一个随机数

2.Server Hello S->C

TLS版本号

选择的加密组件（选中的加密算法）

一个随机数

3.Certificate S->C

服务器的公钥证书（被CA签名过）

4.Server Key Exchange S->C

用以实现ECDHE算法中的一个参数（Server Params）

ECDHE是一种密钥交换算法

Server Params经过服务器私钥签名

5.Server Hello Done S->C

告知客户端：协商部分结束

目前为止，客户端和服务器之间通过明文共享了

Client Random、Server Random、Server Params

而且，客户端也已经拿到了服务器的公钥证书，接下来，客户端会验证证书的真实有效性

6.Client Key Exchange C->S

用以实现ECDHE算法中的另一个参数（Server Params）

目前为止，客户端和服务器都拥有了ECDHE算法需要的2个参数：Server Params、Client Params

客户端、服务器都可以

使用ECDHE算法根据Server Params、Client Params计算出一个新的随机密钥串：Pre-master secret

然后结合Client Random、Server Random、Pre-master secret生成一个主密钥

最后利用主密钥衍生出其他密钥：客户端发送用的会话密钥、服务器发送用的会话密钥等

7.Change Cipher Spec C->S

告知服务器，之后的通信采用计算出来的会话密钥加密

8.Finish C->S

包含连接至今全部报文的整体校验值（摘要），加密之后发送给服务器

这次握手协商是否成功，要以服务器是否能够正确解密该报文作为判定标准

9.Change Cipher Spec S->C

10.Finish

到此为止，客户端服务器都验证加密解密没问题，握手正式结束

后面开始传输加密的HTTP请求和响应

TLS通道建立