https的認證過程
① 瀏覽器發(fā)送一個連接請求給安全服務器����。
創(chuàng)新互聯(lián)建站是一家朝氣蓬勃的網(wǎng)站建設公司。公司專注于為企業(yè)提供信息化建設解決方案����。從事網(wǎng)站開發(fā),網(wǎng)站制作�,網(wǎng)站設計,網(wǎng)站模板��,微信公眾號開發(fā)����,軟件開發(fā),成都小程序開發(fā)����,十載建站對iso認證等多個行業(yè),擁有豐富設計經(jīng)驗�����。
② 服務器將自己的證書���,以及同證書相關(guān)的信息發(fā)送給客戶瀏覽器�。
③ 客戶瀏覽器檢查服務器送過來的證書是否是由自己信賴的 CA 中心所簽發(fā)的����。如果是�,就繼續(xù)執(zhí)行協(xié)議�;如果不是,客戶瀏覽器就給客戶一個警告消息:警告客戶這個證書不是可以信賴的����,詢問客戶是否需要繼續(xù)。
④ 接著客戶瀏覽器比較證書里的消息��,例如域名和公鑰�����,與服務器剛剛發(fā)送的相關(guān)消息是否一致����,如果是一致的��,客戶瀏覽器認可這個服務器的合法身份�。
⑤ 服務器要求客戶發(fā)送客戶自己的證書。收到后����,服務器驗證客戶的證書���,如果沒有通過驗證,拒絕連接�;如果通過驗證,服務器獲得用戶的公鑰����。
⑥ 客戶瀏覽器告訴服務器自己所能夠支持的通訊對稱密碼方案。
⑦ 服務器從客戶發(fā)送過來的密碼方案中���,選擇一種加密程度最高的密碼方案����,用客戶的公鑰加過密后通知瀏覽器���。
⑧ 瀏覽器針對這個密碼方案����,選擇一個通話密鑰�����,接著用服務器的公鑰加過密后發(fā)送給服務器。
⑨ 服務器接收到瀏覽器送過來的消息�����,用自己的私鑰解密����,獲得通話密鑰。
⑩ 服務器�����、瀏覽器接下來的通訊都是用對稱密碼方案��,對稱密鑰是加過密的����。
① 客戶端的瀏覽器向服務器傳送客戶端SSL協(xié)議的版本號,加密算法的種類�����,產(chǎn)生的隨機數(shù)��,以及其他服務器和客戶端之間通訊所需要的各種信息���。
② 服務器向客戶端傳送SSL協(xié)議的版本號����,加密算法的種類���,隨機數(shù)以及其他相關(guān)信息���,同時服務器還將向客戶端傳送自己的證書。
③ 客戶利用服務器傳過來的信息驗證服務器的合法性��,服務器的合法性包括:證書是否過期����,發(fā)行服務器證書的CA是否可靠,發(fā)行者證書的公鑰能否正確解開服務器證書的"發(fā)行者的數(shù)字簽名"�����, 服務器證書 上的域名是否和服務器的實際域名相匹配�����。如果合法性驗證沒有通過���,通訊將斷開;如果合法性驗證通過�,將繼續(xù)進行第四步。
④ 用戶端隨機產(chǎn)生一個用于后面通訊的"對稱密碼"��,然后用服務器的公鑰(服務器的公鑰從步驟②中的服務器的證書中獲得)對其加密��,然后將加密后的"預主密碼"傳給服務器��。
⑤ 如果服務器要求客戶的身份認證(在握手過程中為可選)�����,用戶可以建立一個隨機數(shù)然后對其進行數(shù)據(jù)簽名�����,將這個含有簽名的隨機數(shù)和客戶自己的證書以及加密過的"預主密碼"一起傳給服務器�����。
⑥ 如果服務器要求客戶的身份認證���,服務器必須檢驗客戶證書和簽名隨機數(shù)的合法性����,具體的合法性驗證過程包括:客戶的證書使用日期是否有效,為客戶提供證書的CA是否可靠����,發(fā)行CA 的公鑰能否正確解開客戶證書的發(fā)行CA的數(shù)字簽名�,檢查客戶的證書是否在證書廢止列表(CRL)中。檢驗如果沒有通過����,通訊立刻中斷;如果驗證通過,服務器將用自己的私鑰解開加密的"預主密碼 "�,然后執(zhí)行一系列步驟來產(chǎn)生主通訊密碼(客戶端也將通過同樣的方法產(chǎn)生相同的主通訊密碼)。
⑦ 服務器和客戶端用相同的主密碼即"通話密碼"���,一個對稱密鑰用于SSL協(xié)議的安全數(shù)據(jù)通訊的加解密通訊���。同時在SSL通訊過程中還要完成數(shù)據(jù)通訊的完整性,防止數(shù)據(jù)通訊中的任何變化��。
⑧客戶端向服務器端發(fā)出信息��,指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對稱密鑰��,同時通知服務器客戶端的握手過程結(jié)束����。
⑨ 服務器向客戶端發(fā)出信息�,指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對稱密鑰�,同時通知客戶端服務器端的握手過程結(jié)束。
⑩ SSL的握手部分結(jié)束����,SSL安全通道的數(shù)據(jù)通訊開始,客戶和服務器開始使用相同的對稱密鑰進行數(shù)據(jù)通訊����,同時進行通訊完整性的檢驗。
① 瀏覽器發(fā)送請求給服務器�����,服務器首先返回證書�����;
② 瀏覽器比對服務器返回證書是否由信賴的CA中心簽發(fā)�,以及證書里的消息如:域名和公鑰,通過后證明此服務器是安全的目標服務器����,此時瀏覽器得到服務器的公鑰�;
③ 瀏覽器發(fā)送客戶端證書給服務器進行驗證�����,通過后建立連接�����,此時服務器獲得客戶端的公鑰��;
④ 客戶端用各自的公鑰���、私鑰發(fā)送對稱秘鑰,之后的通信就用對稱秘鑰進行加解密�。(公鑰和私鑰為不對稱秘鑰,性能開銷大于對稱秘鑰)
① 如雙向認證前兩步一樣���;
② 客戶端用服務端公鑰傳送對稱秘鑰�, 后續(xù)就用對稱秘鑰進行加解密再傳送數(shù)據(jù)�。
參考資料:
如何讓WordPress的blog支持SSL和https加密連接
您好~
WordPress站點要實現(xiàn)https加密訪問,必須在服務器端部署ssl證書才行��,目前有一些免費SSL證書很好用����,如沃通CA的免費中文ssl證書����,支持中文�����,完全免費�����,申請安裝部署都很便捷�����。你可以看看他們的免費ssl站點freessl.wosign.com就是用WordPress搭建的�����,使用了https加密鏈接�����。
zblogphp怎么設置https跳轉(zhuǎn)到帶www
1.根據(jù)IIS版本備份以下文件:IIS6.0路徑:C:\WINDOWS\Help\iisHelp\common\403-4.htmIIS7.0以上路徑:C:\inetpub\custerr\zh-CN\403.htm���。2.把以下內(nèi)容全部拷貝替換(403-4或403)里面所有內(nèi)容��,保存即可
分享文章:zblog認證https的簡單介紹
鏈接地址:
http://weahome.cn/article/dogsjhj.html
重慶分公司
重慶分公司
