算法:将原有的值通过一些算法来进行加密
对称算法(加密和解密的过程用的钥匙是相同的):AES\DES\3DES
非对称算法(加密和解密的过程中使用的钥匙是不一样的):DH\RSA
hash算法:MD5
=========================================SSL 安全套接字===========================================================
一份 SSL 证书包括:
·公共密钥:公共密钥用于加密信息
·私用密钥:私用密钥用于解译加密的信息
概念:SSL 证书 [1] 就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。
:只有颁发了ssl证书的网站才能在用户(客户端)访问的时候进行身份信息、密码等个人信息的加密(保密)
:通过激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露,保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠可以这样理解,我有一个箱子,一把锁和一把钥匙,我把箱子和开着的锁给别人,他写了信放箱子里,锁上,然后传递回我手上的途中谁都是打不开箱子的,只有我可以用原来的钥匙打开,这就是SSL
#而这个过程中‘我’是服务端、‘别人’是客户端、钥匙是私钥(解密用)、锁是公钥(公钥谁都可以用)、箱子是数据传输、信就是证书请求文件(csr)-信上写着别人的私密信息
================================私有CA==========================================================================
CA(证书颁发机构 -Certificate Authority):
私有CA:基于https的协议工作中的一种虚拟机、要构建这样的网站需要mode_ssl模块的支持、且需要提供两个文件:证书文件和私钥文件、证书文件是标识这个网站服务器的身份的、私钥文件主要用来实现服务器端对数据进行加密,然后再网站中传输的。证书在生产生活中需要到对应的机构去申请、在实验环境中本应该搭建一台证书服务器
=============================================================================
1、生产密钥文件和证书文件:key(密钥)、csr(证书请求文件、用户生成证书)、crt(证书)
1、创建一个目录放密钥文件:mkdir -p /etc/nginx/ssl 2、生成私钥:openssl genrsa 1024 > /etc/nginx/ssl/server.key //实验openssl生成基于rsa数学算法长度为1024bit的密钥、文件必须以.key结尾 ========================================================================== Generating RSA private key, 1024 bit long modulus ...++++++ ................++++++ e is 65537 (0x10001) ============================================================================= 3、使用密钥文件server.key生成用户证书:openssl req -new -key /etc/nginx/ssl/server.key > /etc/nginx/ssl/server.csr //证书文件要以csr结尾 req是申请、-new一个新的 -key密钥 ============================================================================================================ You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:CN //这里询问的是国籍 State or Province Name (full name) []:GZ //省会 Locality Name (eg, city) [Default City]:GZ //城市 Organization Name (eg, company) [Default Company Ltd]:self_group //起源组织 Organizational Unit Name (eg, section) []:CLOUD //组织单位 Common Name (eg, your name or your server's hostname) []:nginx.linux.com //你的名字或者服务器的名字 Email Address []:[email protected] //邮件地址 A challenge password []:123456 //证书打开的时候需要的密码(可以为空) An optional company name []:123456 //再确认密码 ============================================================================================================== 4、查看密钥文件和证书文件:ls /etc/nginx/ssl/ ====================================== server.csr server.key ====================================== 5、申请生成加密证书crt:openssl req -x509 -days 365 -key /etc/nginx/ssl/server.key -in /etc/nginx/ssl/server.csr > /etc/nginx/ssl/server.crt //-x509证书的格式、固定的;days证书的有效期,生产生活中时间不同,价格不同;key指定密钥文件;in指定证书申请文件 6、查看证书:ls /etc/nginx/ssl/
2、私有CA的https部署实战:
1、创建目录:[root@localhost ~]# mkdir /home/xiaoixn
2、创建index.html文件:[root@localhost ~]# echo "xiaoxin ssl web" > /home/xiaoixn/index.html
3、配置一个加密网站:vim /etc/nginx/conf.d/xiaoxin.conf
=======================================
server {
listen 443 ssl; //监听443端口 使用加密方式
server_name www.xiaoxin.com;
ssl_certificate /etc/nginx/ssl/server.crt; //加密证书
ssl_certificate_key /etc/nginx/ssl/server.key; //加密密钥
location / {
root /home/xiaoxin;
index index.html;
}
}
=========================================
4、重启nginx服务
5、查看端口是否有443端口:ss -tunlp | grep nginx
6、访问网页:https://www.xiaoxin.com/
标签:加密,nginx,CA,证书,server,ssl,key From: https://www.cnblogs.com/littlecc/p/17487649.html