Part 09:SSL/TLS配置实践
1.SSL/TLS协议
- SSL/TLS的握手过程
- 客户端Hello:客户端向服务器发送支持的 SSL/TLS 版本、加密套件和随机数。
- 服务器Hello:服务器选择 SSL/TLS 版本、加密套件,并发送服务器随机数和证书。
- 密钥交换:客户端验证服务器证书,生成预主密钥并使用服务器公钥加密后发送给服务器。
- 会话密钥生成:客户端和服务器使用预主密钥和随机数生成会话密钥。
- 加密通信:客户端和服务器使用会话密钥进行加密通信。
SSL/TSL会话协商
- 对称加密:用于加密通信数据(如 AES)。
- 非对称加密:用于密钥交换(如 RSA)。
- 哈希算法:用于验证数据完整性(如 SHA-256)。
- SSL/TLS协议的版本
- TLS 1.2:广泛使用的版本,支持多种加密套件。
- TLS 1.3:最新版本,简化握手过程,提高安全性。
2.SSL/TLS的应用场景
- Web服务器(HTTPS)使用 SSL/TLS 加密 HTTP 通信,保护数据传输安全。
- 电子邮件(SMTPS、IMAPS)使用 SSL/TLS 加密电子邮件通信。
- VPN使用 SSL/TLS 加密 VPN 通信。
3.配置HTTPS
- 在Apache中配置SSL/TLS
- 安装 Apache 和 SSL 模块:
sudo apt install apache2
sudo a2enmod ssl
sudo systemctl restart apache2- 配置 SSL 虚拟主机::
编辑 `/etc/apache2/sites-available/default-ssl.conf`,添加以下内容:
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
SSLEngine on
SSLCertificateFile /path/to/certificate.pem
SSLCertificateKeyFile /path/to/private_key.pem
- 启用 SSL 虚拟主机:
sudo a2ensite default-ssl
sudo systemctl reload apache2- 在Nginx中配置SSL/TLS
- 安装 Nginx 和 SSL 模块:
sudo apt install nginx- 配置 SSL 虚拟主机:
编辑 `/etc/nginx/sites-available/default`,添加以下内容:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/certificate.pem;
ssl_certificate_key /path/to/private_key.pem;
root /var/www/html;
index index.html;
}- 重启 Nginx:
sudo systemctl restart nginx2.测试SSL/TLS连接
- 使用浏览器测试HTTPS连接
- 在浏览器中访问 https://localhost 或 https://example.com。
- 查看浏览器地址栏中的锁图标,确认连接安全。
- 使用OpenSSL测试SSL/TLS连接
openssl s_client -connect localhost:443 -showcerts
输出内容包括:
- 服务器证书。
- 证书链。
- 加密套件。- 查看SSL/TLS连接的安全信息在浏览器中打开开发者工具(F12)。切换到“Security”选项卡,查看证书信息和加密套件。
任务
任务1:在本地Web服务器上配置SSL/TLS
- 在 Apache 或 Nginx 中配置 SSL/TLS。
- 使用自签名证书或 CA 证书启用 HTTPS。
- 确保 Web 服务器可以通过 HTTPS 访问。
任务2:使用浏览器访问HTTPS网站并验证证书
- 在浏览器中访问配置好的 HTTPS 网站。
- 查看浏览器地址栏中的锁图标,确认连接安全。
- 查看证书信息,确保证书有效。