作者：燁竹

HTTP的認證方式

BASIC 認證（基本認證）
DIGEST 認證（摘要認證）
SSL 客戶端認證
FormBase 認證（基于表單認證）

1.基本認證(basic authentication)

--> 普通 GET 請求
<-- 401 響應碼拒絕請求，攜帶響應頭 WWW-Authenticate 描述保護區域 和 認證算法
--> 請求攜帶 Authorization 頭，指明認證算法和用戶名密碼
<-- 200 相應

2.摘要認證

DIGEST認證同樣使用質詢/響應的方式（challenge / response），但不會像 BASIC 認證那樣直接發送明文密碼，但是和 HTTPS 的客戶端認證相比仍舊很弱

基本認證 和 摘要認證 都是一種無狀態的認證方式，就是不需要服務器端保存必要的session，所以也沒有session失效期。客戶端每次都需要將密碼和用戶名發送給服務器來完成認證,，而且用戶名和密碼是保存在瀏覽器進程的內存中的，也就是只有當瀏覽器關閉的時候，用戶名和密碼也隨之刪除，才表示這次服務和認證結束，下一次請求需要重新輸入用戶名和密碼。
這兩種方式都是瀏覽器產生輸入用戶名和密碼的登錄框。Basic認證采用了Base64編碼，攻擊者很容易獲取http請求，然后解碼請求就可以獲取用戶名和密碼，沒有安全性可言；
而Digest認證采用一中NONCE隨機字符串，用戶的每次認證都需要哈希和MD5（用戶名和密碼），并加入這個鹽值，客戶端和服務器端每次的NONCE都是不一樣的，這樣就保證了認證的安全性和不可重放性。
這里的NONCE并不是Session保存的一個字符串，這樣就違背了無狀態性特性

3.SSL 客戶端認證

SSL 客戶端認證是借由 HTTPS 的客戶端證書完成認證的方式。憑借客戶端證書（詳見 HTTPS加密機制以及數字證書）認證，服務器可確認訪問是否來自已登陸的客戶端。
SSL 客戶端認證步驟：
為達到 SSL 客戶端認證的目的，需要事先將客戶端證書分發給客戶端，且客戶端必須安裝此證書。

1. 接收到需要認證資源的請求，服務器會發送 Certificate Request 報文，要求客戶端提供客戶端證書。
2. 用戶選擇將發送的客戶端證書后，客戶端會把客戶端證書信息以 Client Certificate 報文方式發送給服務器。
3. 服務器驗證客戶端證書，驗證通過后方可領取證書內客戶端的公開密鑰，然后開始 HTTPS 加密通信。

4.表單認證

基于表單的認證方法并不是在 HTTP 協議中定義的，客戶端會向服務器上 Web 應用發送登錄信息，按登錄信息的驗證結果認證。

Https

1.RSA：對極大整數做因數分解的難度決定了RSA算法的可靠性

非對稱加密算法
乙方生成兩把密鑰（公鑰和私鑰）。公鑰是公開的，任何人都可以獲得，私鑰則是保密的。
甲方獲取乙方的公鑰，然后用它對信息加密。
乙方得到加密后的信息，用私鑰解密。
公鑰可以解密私鑰加密的數據，私有也可以解密公鑰加密的數據

在線測試 公鑰/私鑰 的 加密/解密
在線生成密鑰對
在線 RSA 公鑰加密解密
在線 RSA 私鑰加密解密

Read More
阮一峰的網絡日志 RSA算法原理（一）
阮一峰的網絡日志 RSA算法原理（二）

2.SSL握手

生成對話密鑰一共需要三個隨機數
握手之后的對話使用"對話密鑰"加密（對稱加密），服務器的公鑰和私鑰只用于加密和解密"對話密鑰"（非對稱加密），無其他作用
服務器公鑰放在服務器的數字證書之中

Read More
SSL/TLS協議運行機制的概述
圖解SSL/TLS協議

3.證書申請

術語

CA : 電子商務認證授權機構（Certificate Authority）
CSR : 證書簽名請求(Certificate Signing Request) 是簽發證書時的重要材料，它可以保證私鑰安全的情況下通過遠端CA簽發證書。
CRT : 證書文件（Certificate [s?r?t?f?k?t] ）

制作 CSR 文件

在申請數字證書之前，必須先生成證書私鑰和證書請求文件(CSR,Cerificate Signing Request)，
CSR是您的公鑰證書原始文件，包含了您的服務器信息和您的單位信息，需要提交給CA認證中心。
在生成CSR文件時會同時生成私鑰文件，需妥善保管和備份

生成CSR文件時，一般需要輸入以下信息(中文需要UTF8編碼)：
Organization Name(O)：申請單位名稱法定名稱，可以是中文或英文
Organization Unit(OU)：申請單位的所在部門，可以是中文或英文
Country Code(C)：申請單位所屬國家，只能是兩個字母的國家碼，如中國只能是：CN
State or Province(S)：申請單位所在省名或州名，可以是中文或英文
Locality(L)：申請單位所在城市名，可以是中文或英文
Common Name(CN)：申請SSL證書的具體網站域名

使用 OpenSSL 制作

# -new 指定生成一個新的CSR # -out certificate.csr 輸出文件為 當前目錄下 ca.kail.xyz.csr # - newkey rsa:2048 指定私鑰類型和長度 # - nodes指定私鑰文件不被加密 # -keyout 生成私鑰輸出文件為 當前目錄下 ca.kail.xyz.key $ openssl req -new -out ca.kail.xyz.csr -newkey rsa:2048 -nodes -keyout ca.kail.xyz.key>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Country Name (2 letter code) [XX]:CN State or Province Name (full name) []:shanghai Locality Name (eg, city) [Default City]:shanghai Organization Name (eg, company) [Default Company Ltd]:kail Organizational Unit Name (eg, section) []:kail-ca Common Name (eg, your name or your server's hostname) []:ca.kail.xyz Email Address []:Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

顯示 csr 文件內容

openssl req -in ca.kail.xyz.csr -text

使用 Java keytool 工具制作

使用 Keytool 工具生成 jks(Java Key Store) 文件
jks 是一個密碼保護的文件，存放私鑰和證書

# -keyalg 指定密鑰類型，必須是 RSA # -alias 指定證書別名，可自定義 # -keysize 指定密鑰長度為 2048 # -keystore 指定證書文件保存路徑keytool -genkey -alias ca.kail.xyz -keyalg RSA -keysize 2048 -keystore ./ca.kail.xyz.jks

輸入命令后會有下面的交互式操作：

輸入密鑰庫口令: 再次輸入新口令: 您的名字與姓氏是什么? [Unknown]:ca.kail.xyz 您的組織單位名稱是什么? [Unknown]:dev 您的組織名稱是什么? [Unknown]:kail 您所在的城市或區域名稱是什么? [Unknown]:Shanghai 您所在的省/市/自治區名稱是什么? [Unknown]:Shanghai 該單位的雙字母國家/地區代碼是什么? [Unknown]:CN CN=ca.kail.xyz, OU=dev, O=kail, L=Shanghai, ST=Shanghai, C=CN是否正確? [否]:Y輸入 <ca.kail.xyz> 的密鑰口令 (如果和密鑰庫口令相同, 按回車):

通過 jks 文件生成證書請求

# sigalg指定摘要算法，使用 SHA256withRSA。 # alias指定別名，必須與 keystore 文件中的證書別名一致。 # keystore指定證書文件。 # file指定證書請求文件(CSR)。keytool -certreq -sigalg SHA256withRSA -alias ca.kail.xyz -keystore ./ca.kail.xyz.jks -file ./ca.kail.xyz.csr

從 jks 文件 獲取 私鑰

1. 將 JKS 格式證書轉換成 PFX 格式

keytool -importkeystore -srckeystore ./ca.kail.xyz.jks -destkeystore ./ca.kail.xyz.pfx -srcstoretype JKS -deststoretype PKCS12

1. PFX 文件轉成 pem 文件

openssl pkcs12 -in ca.kail.xyz.pfx -nodes -out ca.kail.xyz.pem

1. pem 文件 中提取出私鑰

openssl rsa -in ca.kail.xyz.pem -out ca.kail.xyz.key

主流數字證書都有哪些格式？ 介紹了各種格式之間的轉換

自制證書：

keytool

上面 “從 jks 文件 獲取 私鑰”中的 第2步，生成的 ca.kail.xyz.pem 文件， 里面包含 私鑰和證書信息，編輯刪除多余的部分 保留 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 中間的內容，后綴名改為 .csr 即可。
Windows 下 雙擊打開，可查看證書內容。

OpenSSL

openssl x509 -req -days 365 -in ca.kail.xyz.csr -signkey ca.kail.xyz.key -out ca.kail.xyz.crt

申請授信證書

通過 SSL.md 免費獲取
參見 快速獲取免費SSL證書
X509 文件擴展名

DER、PEM、CRT和CER這些擴展名經常令人困惑。很多人錯誤地認為這些擴展名可以互相代替。
盡管的確有時候有些擴展名是可以互換的，但是最好你能確定證書是如何編碼的，進而正確地標識它們。正確地標識證書有助于證書的管理。

編碼 (也用于擴展名)

.DER 擴展名DER用于二進制DER編碼的證書。比較合適的說法是 “我有一個DER編碼的證書”，而不是“我有一個DER證書”。
.PEM 擴展名PEM用于ASCII(Base64)編碼的各種X.509 v3 證書。文件開始由一行"—– BEGIN …“開始。

常用的擴展名

.CRT 擴展名CRT用于證書。證書可以是DER編碼，也可以是PEM編碼。擴展名CER和CRT幾乎是同義詞。這種情況在各種unix/linux系統中很常見。
.CER CRT證書的微軟型式。可以用微軟的工具把CRT文件轉換為CER文件（CRT和CER必須是相同編碼的，DER或者PEM）。
擴展名為CER的文件可以被IE識別并作為命令調用微軟的cryptoAPI（具體點就是rudll32.exe cryptext.dll, CyrptExtOpenCER），進而彈出一個對話框來導入并/或查看證書內容。
.KEY 擴展名KEY用于PCSK#8的公鑰和私鑰。這些公鑰和私鑰可以是DER編碼或者PEM編碼。

CRT文件和CER文件只有在使用相同編碼的時候才可以安全地相互替代。

來自： http://blog.sina.com.cn/s/blog_a9303fd90101jmtx.html

Read More
如何制作CSR文件?
阿里云證書服務
快速獲取免費SSL證書
https://ssl.md
Let's Encrypt，免費好用的 HTTPS 證書
acme.sh 自動更新證書

4.Nginx 配置 HTTPS

證書文件獲取：參見 [證書申請]

判斷 Nginx 有沒有啟動 SSL 模塊

nginx -V

查看 configure arguments 中 如果有 with-http_ssl_module 則表明開啟了 SSL 模塊。

安裝時 啟用 SSL 模塊

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_gzip_static_module --with-http_ssl_module --with-openssl=/usr/local/openssl-1.1.0g make && make install

nginx.conf

nginx/conf 文件夾下新建文件夾 cert , 放入 ca.kail.xyz.crt 證書文件 和 ca.kail.xyz.key 私鑰

server { listen 443 ssl; server_nameca.kail.xyz; ssl_certificatecert/ca.kail.xyz.crt; ssl_certificate_keycert/ca.kail.xyz.key; ssl_session_cacheshared:SSL:1m; ssl_session_timeout5m; ssl_ciphersHIGH:!aNULL:!MD5; ssl_prefer_server_cipherson; location / { root html; indexindex.html index.htm; autoindex on;} }

強制 HTTPS

server { listen 80; server_name ca.kail.xyz; rewrite ^(.*) https://$server_name$1 permanent; }

Read More
CentOS 7.4 實例配置 Nginx + HTTPS 服務
nginx使用ssl模塊配置HTTPS支持
nginx配置ssl加密（單/雙向認證、部分https）

本頁內容由塔燈網絡科技有限公司通過網絡收集編輯所得，所有資料僅供用戶學習參考，本站不擁有所有權，如您認為本網頁中由涉嫌抄襲的內容，請及時與我們聯系，并提供相關證據，工作人員會在5工作日內聯系您，一經查實，本站立刻刪除侵權內容。本文鏈接:http://www.juherenli.com/20400.html