12、Nginx实战:SSLTLS浅析

文章目录

  • TLS/SSL的发展
  • SSL/TLS的协议原理
  • TLS 安全密码套件
  • TLS握手过程
  • SSL的认证方式
  • 应用场景
  • 配置nginx

*


TLS/SSL的发展

*


SSL/TLS的协议原理

网络通讯协议关系图_2020版.pdf

SSL/TLS协议是一个分层协议,本身可以分为上下两层:

  • 下层为TLS记录层协议(record layer protocal)
  • 上层为TLS握手层协议(handshake layer protocal)

*

在RFC4346中也这样分类,不过上层协议不只是握手协议, 也包括应用层数据、告警协议、密码变更协议,以上四种统称之为TLS Handshake Protocal。

*

Record层是SSL/TLS的基础封装协议,所有的TLS交互报文都需要通过TLS Record 层进行封装。

无论应用层数据还是TLS握手协议,都经过Record Layer进行封装。解析时通过ContentType字段进行区分。

*

SSL/TLS协议通过握手协议进行参数协商。协商的参数有:采用的加密算法、认证算法、摘要算法、密钥配送算法等等。通过握手协议,通信双方协商出相同的加密套件和密钥信息,后面便可以使用协商出的结果对双方的交互报文进行加密,从而实现安全可靠的信息传递。


TLS 安全密码套件

*


TLS握手过程

SSL/TLS使用证书来实现对数据的加密传输以及身份认证。

*

导致握手失败的一些原因

  • 两边协议版本不兼容
  • 两边加密算法无匹配项

如何优雅处理HTTPS中的证书问题

*


SSL的认证方式

SSL的认证方式有3种:

  • 单向认证。客户端认证服务器。
  • 双向认证。客户端认证服务器、服务器认证客户端。
  • 匿名认证。不做任何身份校验。SSL反对使用该模式。

*

单向认证和双向认证相比,只是不需要客户端上传证书,其他没有区别。


应用场景

目前SSL/TLS应用最多的场景便是:

  • 与HTTP结合组成HTTPS。(使用最多的场景)
  • 除此之外还有可以保护SMTPs、POP3s等。

SSL/TLS发展历史和SSLv3.0协议详解


配置nginx

server{
   
     
  listen 443;
  server_name artisan.com;
  ssl on;
  ssl_certificate C:\\artisan.crt;
  ssl_certificate_key C:\\artisan.key;
  ssl_protocols SSLv3;
 
  location / {
   
     
    root html;
    index index.html;
  }
}

配置对应hosts (win: C:\WINDOWS\system32\drivers\etc\hosts)

ipxxxx	artisan.com

访问https://artisan.com

*

版权声明:本文不是「本站」原创文章,版权归原作者所有 | 原文地址: