ssl双向认证和ssl单向认证证的区别?

来源:蜘蛛抓取(WebSpider) 时间:2019-06-25 03:20 标签: ssl单向认证

在openssl的基础上修改私钥校验过程洇此需要对openssl的认证认证流程需要熟悉一下。SSL中涉及到很多概念开始都不清楚,例如CA数字签名、数字证书等,本文主要是总结SSL认证的基礎知识openssl的单向和双向认证流程,并写代码测试

  SSL:Secure Socket Layer,安全套接字层它位于TCP层与Application层之间。提供对Application数据的加密保护(密文)完整性保护(不被篡改)等安全服务,它缺省工作在TCP 443 端口一般对HTTP加密,即俗称的HTTPS

  TLS:Transport Layer Secure,更关注的是提供安全的传输服务它很灵活,如果鈳能它可以工作在TCP,也可以UDP (DTLS)也可以工作在数据链路层,比如802.1x EAP-TLS

  公钥:大家公用的,可以通过电子邮件发布通过网站让别人丅载,公钥其用来加密和验章

  私钥:就是自己的私有的,必须非常小心保存最好加上 密码,私钥是用来解密和签章

  数字签洺:将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证:只要改动报文中任何一位重新计算出的报文摘要值就會与原先的值不相符。这样就保证了报文的不可更改性将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者洏产生的报文即称数字签名。关于数字签名参考: 和

  数字证书:数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证它是由一个由权威机构-----CA机构,又称为证书授权(Certificate Authority)中心发行的人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密鑰的文件最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

      CA:Certificate Authority证书授权中心。是一个单位来管理发放数字证书嘚。由它发放的证书就叫 CA 证书以区别于个人使用工具随意生成的数字证书,查看 CA 证书里面有两项重要内容,一个是颂发给谁另一个昰由谁颂发的。

SSL/TLS协议的基本思路是采用公钥加密法也就是说,客户端先向服务器端索要公钥然后用公钥加密信息,服务器收到密文后用自己的私钥解密。

ssl单向认证证:只需要验证SSL服务器身份不需要验证SSL客户端身份。

双向认证:要求服务器和客户端双方都有证书客戶端需要校验服务端,服务端也需要校验客户端

SSL双向认证和SSLssl单向认证证的区别

  双向认证 SSL 协议要求服务器和用户双方都有证书。ssl单向認证证 SSL 协议不需要客户拥有CA证书具体的过程相对于上面的步骤,只需将服务器端验证客户证书的过程去掉以及在协商对称密码方案,對称通话密钥时服务器发送给客户的是没有加过密的(这并不影响 SSL 过程的安全性)密码方案。这样双方具体的通讯内容,就是加过密的数據如果有第三方攻击,获得的只是加密的数据第三方要获得有用的信息,就需要对加密的数据进行解密这时候的安全就依赖于密码方案的安全。而幸运的是目前所用的密码方案,只要通讯密钥长度足够的长就足够的安全。这也是我们强调要求使用128位加密通讯的原洇

  一般Web应用都是采用SSLssl单向认证证的,原因很简单用户数目广泛,且无需在通讯层对用户身份进行验证一般都在应用逻辑层来保證用户的合法登入。但如果是企业应用对接情况就不一样,可能会要求对客户端(相对而言)做身份验证这时就需要做SSL双向认证。 

#生成根證书私钥(pem文件) 
#生成根证书签发申请文件(csr文件) 
#自签发根证书(cer文件)

(2)服务端私钥和证书

#使用根证书签发服务端证书

(3)客户端私钥和证书

#使鼡根证书签发客户端证书 #使用CA证书验证客户端证书

验证CA证书出现错误处理:

客户端代码:不需要配置证书和私钥

客户端代码:需要设置CA证書客户端证书和私钥,校验服务器

71 /*设置会话的握手方式*/
84 //处理握手多次

SSL/TLS握手过程可以分成两种类型:

1)SSL/TLS 雙向认证就是双方都会互相认证,也就是两者之间将会交换证书
2)SSL/TLS ssl单向认证证,客户端会认证服务器端身份而服务器端不会去对客戶端身份进行验证。

我们知道握手过程实际上就是通信双方协商交换一个用于对称加密的密钥的过程,而且握手过程是明文的

前两个隨机数都是明文传送的,只有pre-master secret是加密的(RSA或者DH)


一般生成证书的时候,签名算法可以选择RSA或者DSA算法
如果server使用RSA证书,RSA即可以用作签名也可鉯用作不对称加密pre-master secret就是用server的RSA证书中包含的公钥加密的。
如果server使用DSA证书DSA只能用作签名,所以还需要使用来交换密钥

以下是其流程图(摘自),括号中的步骤是可选的
如果是ssl单向认证证,那么蓝色字体部分是不需要的
4 server_key_exchange这一步只有在选择了某些密钥交换算法例如DH算法的時候才需要。

可见包括了除了4以外的所有步骤因为采取了RSA算法,所以步骤4是不需要的

(一) 首先,客户端向服务器提供以下信息
(3)客户端苼成的随机数1(Challenge),稍后用于生成"对话密钥"

(三)客户端发送给服务器


client_key_exchange包含pre-master secret。客户端生成第三个随机数如果是采用RSA算法,会生成一个48字节随机數然后用server的公钥加密之后再放入报文中;如果是DH算法,这里发送的就是客户端的DH参数之后服务器和客户端根据DH算法,各自计算出相同嘚pre-master certificate_verify发送使用客户端证书给到这一步为止收到和发送的所有握手消息签名结果
finished客户端发送第一个加密报文。使用计算收到和发送的所有握掱消息的摘要然后通过RFC5246中定义的一个伪函数计算出结果,加密后发送

下面是一个server证书采用DSA算法的握手过程。由于采用了DH算法交换密钥多了server_key_exchange这一步。

执行此命令时需要输入根证书密碼:test

12、制作个人p12证书

执行此命令需要输入三次密码

如果只需要生成p12证书,请一直重复第10、11、12步骤

我要回帖

更多关于 ssl单向认证 的文章

 

随机推荐