<address id="r9vd9"><address id="r9vd9"><listing id="r9vd9"></listing></address></address>
      



      

      

      
	
      
		歡迎您光臨深圳塔燈網絡科技有限公司!
		
      
		  電話圖標 余先生:13699882642 
		
      
	
      

      

      


      

      








 


      
	
	
      
			
      網站百科
      
			
      為您解碼網站建設的點點滴滴
      
	
      
	
      
		
	
      

      



      
	
      
		
	
      


	
      
		
      

		
			
      


				
      
					
      Http與Https認證
      
					
      發表日期:2018-06    文章編輯:小燈    瀏覽次數:5179
      
				
      
				
      
				
       
       
      作者:燁竹
       
       
      HTTP的認證方式
       
       
      BASIC 認證(基本認證)
       DIGEST 認證(摘要認證)
       SSL 客戶端認證
       FormBase 認證(基于表單認證)
       
       
      1.基本認證(basic authentication)
       
       
       
       

       
      --> 普通 GET 請求
       <-- 401 響應碼拒絕請求,攜帶響應頭 WWW-Authenticate 描述保護區域 和 認證算法
       --> 請求攜帶 Authorization 頭,指明認證算法和用戶名密碼
       <-- 200 相應
       
       
      2.摘要認證
       
       
       
       

       
      DIGEST認證同樣使用質詢/響應的方式(challenge / response),但不會像 BASIC 認證那樣直接發送明文密碼,但是和 HTTPS 的客戶端認證相比仍舊很弱
       
       
       
      基本認證 和 摘要認證 都是一種無狀態的認證方式,就是不需要服務器端保存必要的session,所以也沒有session失效期??蛻舳嗣看味夹枰獙⒚艽a和用戶名發送給服務器來完成認證,,而且用戶名和密碼是保存在瀏覽器進程的內存中的,也就是只有當瀏覽器關閉的時候,用戶名和密碼也隨之刪除,才表示這次服務和認證結束,下一次請求需要重新輸入用戶名和密碼。
       這兩種方式都是瀏覽器產生輸入用戶名和密碼的登錄框。Basic認證采用了Base64編碼,攻擊者很容易獲取http請求,然后解碼請求就可以獲取用戶名和密碼,沒有安全性可言;
       而Digest認證采用一中NONCE隨機字符串,用戶的每次認證都需要哈希和MD5(用戶名和密碼),并加入這個鹽值,客戶端和服務器端每次的NONCE都是不一樣的,這樣就保證了認證的安全性和不可重放性。
       這里的NONCE并不是Session保存的一個字符串,這樣就違背了無狀態性特性
       
       
      3.SSL 客戶端認證
       
       
      SSL 客戶端認證是借由 HTTPS 的客戶端證書完成認證的方式。憑借客戶端證書(詳見 HTTPS加密機制以及數字證書)認證,服務器可確認訪問是否來自已登陸的客戶端。
       SSL 客戶端認證步驟:
       為達到 SSL 客戶端認證的目的,需要事先將客戶端證書分發給客戶端,且客戶端必須安裝此證書。
       
         
      1. 接收到需要認證資源的請求,服務器會發送 Certificate Request 報文,要求客戶端提供客戶端證書。
        2.  
      2. 用戶選擇將發送的客戶端證書后,客戶端會把客戶端證書信息以 Client Certificate 報文方式發送給服務器。
        3.  
      3. 服務器驗證客戶端證書,驗證通過后方可領取證書內客戶端的公開密鑰,然后開始 HTTPS 加密通信。
        4.  
       
       
      4.表單認證
       
       
      基于表單的認證方法并不是在 HTTP 協議中定義的,客戶端會向服務器上 Web 應用發送登錄信息,按登錄信息的驗證結果認證。
       
       
      Https
       
      1.RSA:對極大整數做因數分解的難度決定了RSA算法的可靠性
       
       
      非對稱加密算法
       乙方生成兩把密鑰(公鑰和私鑰)。公鑰是公開的,任何人都可以獲得,私鑰則是保密的。
       甲方獲取乙方的公鑰,然后用它對信息加密。
       乙方得到加密后的信息,用私鑰解密。
       公鑰可以解密私鑰加密的數據,私有也可以解密公鑰加密的數據
       
       
       
      在線測試 公鑰/私鑰 的 加密/解密
       在線生成密鑰對
       在線 RSA 公鑰加密解密
       在線 RSA 私鑰加密解密
       
       
       
      Read More
       阮一峰的網絡日志 RSA算法原理(一)
       阮一峰的網絡日志 RSA算法原理(二)
       
       
      2.SSL握手
       
       
       
       
       
       
      生成對話密鑰一共需要三個隨機數
       握手之后的對話使用"對話密鑰"加密(對稱加密),服務器的公鑰和私鑰只用于加密和解密"對話密鑰"(非對稱加密),無其他作用
       服務器公鑰放在服務器的數字證書之中
       
       
       
      Read More
       SSL/TLS協議運行機制的概述
       圖解SSL/TLS協議
       
       
      3.證書申請
       
       
      術語

       CA : 電子商務認證授權機構(Certificate Authority)
       CSR : 證書簽名請求(Certificate Signing Request) 是簽發證書時的重要材料,它可以保證私鑰安全的情況下通過遠端CA簽發證書。
       CRT : 證書文件(Certificate [s?r?t?f?k?t] )
       
       
       
      制作 CSR 文件

       在申請數字證書之前,必須先生成證書私鑰證書請求文件(CSR,Cerificate Signing Request),
       CSR是您的公鑰證書原始文件,包含了您的服務器信息和您的單位信息,需要提交給CA認證中心。
       在生成CSR文件時會同時生成私鑰文件,需妥善保管和備份

       生成CSR文件時,一般需要輸入以下信息(中文需要UTF8編碼):
       Organization Name(O):申請單位名稱法定名稱,可以是中文或英文
       Organization Unit(OU):申請單位的所在部門,可以是中文或英文
       Country Code(C):申請單位所屬國家,只能是兩個字母的國家碼,如中國只能是:CN
       State or Province(S):申請單位所在省名或州名,可以是中文或英文
       Locality(L):申請單位所在城市名,可以是中文或英文
       Common Name(CN):申請SSL證書的具體網站域名
       
       
       
      使用 OpenSSL 制作
       
       
      # -new 指定生成一個新的CSR # -out certificate.csr 輸出文件為 當前目錄下 ca.kail.xyz.csr # - newkey rsa:2048 指定私鑰類型和長度 # - nodes指定私鑰文件不被加密 # -keyout 生成私鑰輸出文件為 當前目錄下 ca.kail.xyz.key $ openssl req -new -out ca.kail.xyz.csr -newkey rsa:2048 -nodes -keyout ca.kail.xyz.key>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Country Name (2 letter code) [XX]:CN State or Province Name (full name) []:shanghai Locality Name (eg, city) [Default City]:shanghai Organization Name (eg, company) [Default Company Ltd]:kail Organizational Unit Name (eg, section) []:kail-ca Common Name (eg, your name or your server's hostname) []:ca.kail.xyz Email Address []:Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
       
       
      顯示 csr 文件內容
       
       
      openssl req -in ca.kail.xyz.csr -text
       
       
      使用 Java keytool 工具制作
       
       
       
      使用 Keytool 工具生成 jks(Java Key Store) 文件
       jks 是一個密碼保護的文件,存放私鑰證書
       
       
      # -keyalg 指定密鑰類型,必須是 RSA # -alias 指定證書別名,可自定義 # -keysize 指定密鑰長度為 2048 # -keystore 指定證書文件保存路徑keytool -genkey -alias ca.kail.xyz -keyalg RSA -keysize 2048 -keystore ./ca.kail.xyz.jks
       
       
      輸入命令后會有下面的交互式操作:
       
       
      輸入密鑰庫口令: 再次輸入新口令: 您的名字與姓氏是什么? [Unknown]:ca.kail.xyz 您的組織單位名稱是什么? [Unknown]:dev 您的組織名稱是什么? [Unknown]:kail 您所在的城市或區域名稱是什么? [Unknown]:Shanghai 您所在的省/市/自治區名稱是什么? [Unknown]:Shanghai 該單位的雙字母國家/地區代碼是什么? [Unknown]:CN CN=ca.kail.xyz, OU=dev, O=kail, L=Shanghai, ST=Shanghai, C=CN是否正確? [否]:Y輸入 <ca.kail.xyz> 的密鑰口令 (如果和密鑰庫口令相同, 按回車):
       
       
      通過 jks 文件生成證書請求
       
       
      # sigalg指定摘要算法,使用 SHA256withRSA。 # alias指定別名,必須與 keystore 文件中的證書別名一致。 # keystore指定證書文件。 # file指定證書請求文件(CSR)。keytool -certreq -sigalg SHA256withRSA -alias ca.kail.xyz -keystore ./ca.kail.xyz.jks -file ./ca.kail.xyz.csr
       
       
      從 jks 文件 獲取 私鑰
       
       
       
         
      1. 將 JKS 格式證書轉換成 PFX 格式
        2.  
       
       
      keytool -importkeystore -srckeystore ./ca.kail.xyz.jks -destkeystore ./ca.kail.xyz.pfx -srcstoretype JKS -deststoretype PKCS12
       
       
         
      1. PFX 文件轉成 pem 文件
        2.  
       
       
      openssl pkcs12 -in ca.kail.xyz.pfx -nodes -out ca.kail.xyz.pem
       
       
         
      1. pem 文件 中提取出私鑰
        2.  
       
       
      openssl rsa -in ca.kail.xyz.pem -out ca.kail.xyz.key
       
       
      主流數字證書都有哪些格式? 介紹了各種格式之間的轉換
       
       
       
      自制證書
       
       
       
      keytool
       
       
       
      上面 “從 jks 文件 獲取 私鑰”中的 第2步,生成的 ca.kail.xyz.pem 文件, 里面包含 私鑰和證書信息,編輯刪除多余的部分 保留 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 中間的內容,后綴名改為 .csr 即可。
       Windows 下 雙擊打開,可查看證書內容。
       
       
       
      OpenSSL
       
       
      openssl x509 -req -days 365 -in ca.kail.xyz.csr -signkey ca.kail.xyz.key -out ca.kail.xyz.crt
       
       
      申請授信證書
       
       
       
      通過 SSL.md 免費獲取
       參見 快速獲取免費SSL證書
       X509 文件擴展名
       
       
       
      DER、PEM、CRT和CER這些擴展名經常令人困惑。很多人錯誤地認為這些擴展名可以互相代替。
       盡管的確有時候有些擴展名是可以互換的,但是最好你能確定證書是如何編碼的,進而正確地標識它們。正確地標識證書有助于證書的管理。
       
       
       
      編碼 (也用于擴展名)
       
       
       
      .DER 擴展名DER用于二進制DER編碼的證書。比較合適的說法是 “我有一個DER編碼的證書”,而不是“我有一個DER證書”。
       .PEM 擴展名PEM用于ASCII(Base64)編碼的各種X.509 v3 證書。文件開始由一行"—– BEGIN …“開始。
       
       
       
      常用的擴展名
       
       
       
      .CRT 擴展名CRT用于證書。證書可以是DER編碼,也可以是PEM編碼。擴展名CER和CRT幾乎是同義詞。這種情況在各種unix/linux系統中很常見。
       .CER CRT證書的微軟型式。可以用微軟的工具把CRT文件轉換為CER文件(CRT和CER必須是相同編碼的,DER或者PEM)。
       擴展名為CER的文件可以被IE識別并作為命令調用微軟的cryptoAPI(具體點就是rudll32.exe cryptext.dll, CyrptExtOpenCER),進而彈出一個對話框來導入并/或查看證書內容。
       .KEY 擴展名KEY用于PCSK#8的公鑰和私鑰。這些公鑰和私鑰可以是DER編碼或者PEM編碼。
       
       
       
      CRT文件和CER文件只有在使用相同編碼的時候才可以安全地相互替代。
       
       
       
      來自: http://blog.sina.com.cn/s/blog_a9303fd90101jmtx.html
       
       
       
      Read More
       如何制作CSR文件?
       阿里云證書服務
       快速獲取免費SSL證書
       https://ssl.md
       Let's Encrypt,免費好用的 HTTPS 證書
       acme.sh 自動更新證書
       
       
      4.Nginx 配置 HTTPS
       
       
      證書文件獲?。簠⒁?[證書申請]
       
       
       
      判斷 Nginx 有沒有啟動 SSL 模塊
       
       
      nginx -V
       
       
      查看 configure arguments 中 如果有 with-http_ssl_module 則表明開啟了 SSL 模塊。
       
       
       
      安裝時 啟用 SSL 模塊
       
       
      ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_gzip_static_module --with-http_ssl_module --with-openssl=/usr/local/openssl-1.1.0g make && make install
       
       
      nginx.conf
       
       
      nginx/conf 文件夾下新建文件夾 cert , 放入 ca.kail.xyz.crt 證書文件 和 ca.kail.xyz.key 私鑰
       
      server { listen 443 ssl; server_nameca.kail.xyz; ssl_certificatecert/ca.kail.xyz.crt; ssl_certificate_keycert/ca.kail.xyz.key; ssl_session_cacheshared:SSL:1m; ssl_session_timeout5m; ssl_ciphersHIGH:!aNULL:!MD5; ssl_prefer_server_cipherson; location / { root html; indexindex.html index.htm; autoindex on;} }
       
       
      強制 HTTPS
       
       
      server { listen 80; server_name ca.kail.xyz; rewrite ^(.*) https://$server_name$1 permanent; }
       
       
      Read More
       CentOS 7.4 實例配置 Nginx + HTTPS 服務
       nginx使用ssl模塊配置HTTPS支持
       nginx配置ssl加密(單/雙向認證、部分https)
       
      					
      
					本頁內容由塔燈網絡科技有限公司通過網絡收集編輯所得,所有資料僅供用戶學習參考,本站不擁有所有權,如您認為本網頁中由涉嫌抄襲的內容,請及時與我們聯系,并提供相關證據,工作人員會在5工作日內聯系您,一經查實,本站立刻刪除侵權內容。本文鏈接:http://www.webpost.com.cn/20400.html					
      
				
      


				
					

				
					
				
			
      



			
			
      
				
      
								
       
      
				
      相關開發語言
      
				
			   
      

		    
      

			
      

		
      
		
		
		
		
		

	
      
	
	
	

      



      
	
      
		
      
			
      
			 八年 
			行業經驗
			
      
			
      
				
      多一份參考,總有益處
      
				
      聯系深圳網站公司塔燈網絡,免費獲得網站建設方案及報價
      
				
      
					
      咨詢相關問題或預約面談,可以通過以下方式與我們聯系
      
					
      業務熱線:余經理:13699882642
					
      
				
      
			
      
		
      
		
	
      

      

	


      

      

      

      Copyright ? 2013-2018 Tadeng NetWork Technology Co., LTD. All Rights Reserved.    


      

      



      

      




      
	

      






 



	
	



 

国产成人精品综合在线观看