一、什么是https?
日常开发中大家可能接触最多的都是http协议,说到http协议也不得不提到TCP/IP协议以及计算机网络中tcp/ip五层与OCI7层架构模型有关,http(超文本传输协议)用户客户端和服务端之间的通信,位于tcp/ip五层协议中最上层传输层,http传输过程中都是明文传输,易引起安全问题,所有诞生了https协议。
HTTPS协议 = HTTP协议 + SSL/TLS协议,在HTTPS数据传输的过程中,需要用SSL/TLS对数据进行加密和解密,需要用HTTP对加密后的数据进行传输,由此可以看出HTTPS是由HTTP和SSL/TLS一起合作完成的。
SSL的全称是Secure Sockets Layer,即安全套接层协议,是为网络通信提供安全及数据完整性的一种安全协议。SSL协议在1994年被Netscape发明,后来各个浏览器均支持SSL,其最新的版本是3.0
https通信过程如下图所示:
二、加密算法
2.1 TLS/SSL的功能主要依赖三类算法实现:散列函数 Hash、对称加密和非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列函数验证信息的完整性(对于三种加密算法含义这里就不一一概述),而在TLS/SSL加密算法中还会涉及一下几个关键概念:
- 密钥:改变密码行为的数字化参数。
- 对称密钥加密系统:编 / 解码使用相同密钥的算法。
- 不对称密钥加密系统:编 / 解码使用不同密钥的算法。
- 公开密钥加密系统:一种能够使数百万计算机便捷地发送机密报文的系统。
- 数字签名:用来验证报文未被伪造或篡改的校验和。
-
数字证书:由一个可信的组织验证和签发的识别信息。
2.2 TLS的基本工作方式是,客户端使用非对称加密与服务器进行通信,实现身份验证并协商对称加密使用的密钥, 然后对称加密算法采用协商密钥对信息以及信息摘要进行加密通信,不同的节点之间采用的对称密钥不同,从而可以保证信息只能通信双方获取。
2.3 https通信过程中数字证书概览:
ca.pem 根证书,由根证书颁发客户端和服务端证书
client.pem 客户端证书
client-key.pem 客户端秘钥
server.pem 服务端证书
server-key.pem 服务端秘钥
三、如何自签名证书?
3.1 目前自颁发证书工具有两类,一是使用openssl 插件生成证书,二是通过cfssl插件生成证书,本例采用cfssl 工具生成证书
3.2 cfssl是一款由golang编写的证书生成工具,官网地址:https://github.com/cloudflare/cfssl
安装步骤:
@tips: 该方法需要安装golang环境,如果没有golang请参照二进制包安装方式
go get -u github.com/cloudflare/cfssl/cmd/cfssl
go get -u github.com/cloudflare/cfssl/cmd/cfssljson
@tips windows环境需要将gopath下bin目录添加path环境中方可执行cfssl命令
查看安装是否成功:
cfssl
3.3 创建CA证书
mkdir ssl & cd ssl
cfssl print-defaults config > ca-config.json
cfssl print-defaults csr > ca-csr.json
然后修改ca-config.json文件
vi ca-config.json
{
"signing": {
"default": {
"expiry": "43800h"
},
"profiles": {
"server": {
"expiry": "43800h",
"usages": [
"signing",
"key encipherment",
"server auth"
]
},
"client": {
"expiry": "43800h",
"usages": [
"signing",
"key encipherment",
"client auth"
]
},
"peer": {
"expiry": "43800h",
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
]
}
}
}
}
## 生成ca 证书
mkdir ca
cfssl gencert -initca ca-csr.json | cfssljson -bare ca/ca -
3.4 创建serverd端证书
mkdir server
cfssl print-defaults csr > server.json
## 修改server.json
{
"CN": "Server",
"hosts": [
"localhost",
"127.0.0.1"
],
"key": {
"algo": "ecdsa",
"size": 256
},
"names": [
{
"C": "CN",
"L": "SH",
"ST": "SH"
}
]
}
## 签发server端证书
cfssl gencert -ca=ca/ca.pem -ca-key=ca/ca-key.pem -config=ca-config.json -profile=www server/server.json | cfssljson -bare server/server
3.5 创建客户端证书:
mkdir client
cfssl print-defaults csr > client.json
## 修改client.json
{
"CN": "Client",
"hosts": [],
"key": {
"algo": "ecdsa",
"size": 256
},
"names": [
{
"C": "CN",
"L": "SH",
"ST": "SH"
}
]
}
## 生成客户端证书和私钥
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=client client.json | cfssljson -bare client/client
3.6 检验生成的证书是否和配置相符合:
openssl x509 -in ca.pem -text -noout
openssl x509 -in server.pem -text -noout
openssl x509 -in client.pem -text -noout
四 golang实现https双向认证
server端代码实现:
func handler(w http.ResponseWriter, r *http.Request) {
fmt.Fprintf(w,
"Hi, This is an example of https service in golang!")
}
func main() {
// ssl 双向检验
pool := x509.NewCertPool()
crt, err := ioutil.ReadFile(cert.K8sAgentCrtPath)
if err != nil {
log.Fatalln("读取证书失败!", err.Error())
}
pool.AppendCertsFromPEM(crt)
http.HandleFunc("/", handler)
s := &http.Server{
Addr: ":8080",
TLSConfig: &tls.Config{
ClientCAs: pool,
ClientAuth: tls.RequireAndVerifyClientCert, // 检验客户端证书
},
}
log.Fatal(s.ListenAndServeTLS(cert.K8sAgentServerCertPath, cert.K8sAgentKeyPath))
}
客户端代码实现:
func main() {
pool := x509.NewCertPool()
caCrt, err := ioutil.ReadFile(cert.K8sAgentCrtPath)
if err != nil {
log.Fatal("read ca.crt file error:", err.Error())
}
pool.AppendCertsFromPEM(caCrt)
cliCrt, err := tls.LoadX509KeyPair(cert.ClientCrt, cert.ClientKey)
if err != nil {
log.Fatalln("LoadX509KeyPair error:", err.Error())
}
tr := &http.Transport{
TLSClientConfig: &tls.Config{
RootCAs: pool,
Certificates: []tls.Certificate{cliCrt},
},
}
client := &http.Client{Transport: tr}
resp, err := client.Get("https://127.0.0.1:8080/")
if err != nil {
panic(err.Error())
}
defer resp.Body.Close()
body, err := ioutil.ReadAll(resp.Body)
fmt.Println(string(body))
}
跨语言调用,node 客户端:
const https = require('https');
const fs = require('fs');
const options = {
hostname: '127.0.0.1',
port: 8080,
method: 'get',
key: fs.readFileSync('./cert/clent-key.pem'),
cert: fs.readFileSync('./cert/clent-key.pem'),
ca:[fs.readFileSync('./cert/clent-key.pem')],
agent: false,
rejectUnauthorized: true
};
const req = https.request(options, (res) => {
const certificate = res.connection.getPeerCertificate();
const rawDir = certificate.raw;
console.log(rawDir);
console.log('Client connected', res.connection.authorized ? 'authorized': 'unauthorized');
console.log('状态码:', res.statusCode);
console.log('请求头:', res.headers);
res.setEncoding('utf-8');
res.on('data', (d) => {
process.stdout.write(d);
});
});
req.on('error', (e) =>{
console.error(e);
});
req.end();
有疑问加站长微信联系(非本文作者)