码迷,mamicode.com
首页 > Web开发 > 详细

https原理通俗理解及golang实现

时间:2017-07-06 20:39:54      阅读:282      评论:0      收藏:0      [点我收藏+]

标签:pre   ble   port   不同的   信息   service   com   rom   src   

http:
是一个客户端与服务端请求及应答的一个基于tcp传输的标准协议
浏览器通过http协议向一个服务器发送请求,服务器接收到请求之后经过一系列的处理将将请求结果内容返回给浏览器,此时浏览器网页上便获得我们所需要的内容
但是基于http协议浏览器与服务器传输数据的过程中,数据是明文的,在21世纪网络发达的今天,明文数据极易被截获修改,对安全性造成了很大的隐患
因安全要求有必要对传输数据进行加密,因而https协议便由此诞生
 
https:
https协议是基于http协议基础上的一种安全(基于ssl或者tls安全加密)传输协议
数字证书主要由两部分组成:
1、C:证书相关信息(自身公钥信息,过期时间,CA名称,证书签名算法….)
2、S:证书的数字签名(说白了也就是对证书内容(C部分内容)进行哈希运算)
其主要流程:
1,浏览器(客户端)请求一个安全的页面(通过以https://开头)
2,WEB服务器返回它的数字证书(里面包含公钥信息)
3,浏览器校验证书是由可信的机构颁发的(通常是可信的根CA),证书仍然有效并且证书与被访问的网站相关
4,浏览器从得到的证书中提取公钥
4-1,通过公钥来加密(一般是rsa非对称加密)一个随机的对称密钥(每次https连接都会产生一个随机对称密钥,对称加密算法是客户端与服务端协商确定的(外界不知道,每次连接可能对称加密算法就变了)),
4-2,使用客户端服务端都知道的对称加密算法,客户端对其url及要发送的数据进行对称加密
4-3,客户端将经过公钥非对称加密过的加密密钥,及加密过的数据 发送给服务端
5,服务端使用私钥解密对称密钥,并用它来解密在浏览器上加密了的URL和http数据
6,服务端使用已用私钥解密的对称密钥 加密请求的HTML文档和http数据并发回至客户端
7,客户端使用对称密钥解密HTML文档和http数据并展示给用户
 
https其主要包含两个主要功能:
1,对通信双方进行身份认证(一般都是客户端通过服务端发过来的数字证书进行其验证从而确定服务端身份是否合法,是否安全)
1-1,数字证书包含一些服务端公钥信息,及一些证书的相关信息如该证书是由哪个CA(证书授权机构)颁发的,来自签发机构的签名等
1-2,为什么不将服务端公钥信息单独发送给 客户端?
因为防止公钥信息在数据传输过程中被窃取及修改,为了安全性将公钥信息与一些证书相关信息组合在一起发送给客户端
2,通信双方对数据进行加密
 
 
客户端CA对其服务端证书进行校验过程如下:
一:对其证书不进行校验
1,简易的https web 服务器
server.go:
package main
import (
    "fmt"
    "net/http"
)
/*
只要实现了 ServerHTTP方法 便可构建web服务器
*/
func handler(w http.ResponseWriter, r *http.Request) {
    fmt.Println("Hi, This is an example of https service in golang!")
}
func main() {
    http.HandleFunc("/", handler) //设置路由及相对应的处理函数 且实现了ServerHTTP方法
    http.ListenAndServeTLS("192.168.20.162:8001", "server.crt",
        "server.key", nil) //server.crt:服务端证书 包含服务端公钥信息 server.key:服务端私钥
    /*
        生成私钥:
        openssl genrsa -out server.key 2048
        生成证书信息:
        openssl req -new -x509 -key server.key -out server.crt -days 365
    */
}
client.go:
package main
import (
    "crypto/tls"
    "fmt"
    "io/ioutil"
    "net/http"
)
func main() {
    tr := &http.Transport{
        TLSClientConfig: &tls.Config{InsecureSkipVerify: true},
    }
    /*
        client与server进行通信时 client也要对server返回数字证书进行校验
        因为server自签证书是无效的 为了client与server正常通信
        通过设置客户端跳过证书校验
        TLSClientConfig:{&tls.Config{InsecureSkipVerify: true}
        true:跳过证书校验
    */
    client := &http.Client{Transport: tr}
    resp, err := client.Get("https://192.168.20.162:8002")
    if err != nil {
        fmt.Println(err)
        return
    }
    defer resp.Body.Close()
    body, err := ioutil.ReadAll(resp.Body)
    fmt.Println(string(body))
}
 
1-1,执行 go run server.go
1-2,浏览器访问 https://192.168.20.162:8001 如下:
技术分享
1-3,继续点击 添加例外方可继续进行访问
出现这种原因:
浏览器利用自身的CA对服务器返回的 数字证书进行合法性校验时发现 该数字证书是自签证书,对其该证书不信任及认定为无效证书,因而导致无法继续访问
1-4, 执行 go run client.go 便可正常访问服务器(因为此时客户端跳过了证书校验)
 
二:对其服务端证书进行校验
1,浏览器本身内置了一些有权威的CA(证书授权机构其实也是一个数字证书)
2,CA证书自身也包含自己的公钥信息,及一些证书的相关信息如该证书是由哪个CA(证书授权机构)颁发的,来自签发机构的签名等
3,客户端对来自服务端证书的校验就是使用CA证书 校验对来自服务端证书的签名是否是 这个CA签的
3-1 CA校验服务端数字证书签名过程:
1,客户端利用自身CA证书中的签名算法对 服务端证书内容部分(C部分)进行相对应的哈希运算得到哈希值(也就是对内容利用自身的哈希算法进行签名)
2,客户端利用得到的哈希值与服务端数字证书的证书签名 进行比较
若相同则服务端证书 便是由该CA颁发的 否则不是该CA颁发的
4,代码如下
首先准备好服务端的私钥及证书 客户端的CA证书
4-1,使用openssl命令生成相关私钥及证书
1,生成 CA 私钥
openssl genrsa -out ca.key 2048
2,生成CA证书
openssl req -x509 -new -nodes -key ca.key -subj "/CN=ca_host" -days 5000 -out ca.crt
CN=ca_host":设置该证书 由那台服务器生成(若只进行客户端对服务端证书校验 此处可以随便填 不影响)
3,生成服务端私钥
openssl genrsa -out server.key 2048
4,生成服务端证书认证请求
openssl req -new -key server.key -subj "/CN=gc_host" -out server.csr
CN=gc_host:此处必须按真实填写 服务端在哪台服务器设备起着就必须填写哪台设备的主机名
不同的客户端设备在调用时 需在自身设备 /etc/hosts 配置服务器设备ip及主机名
因为客户端在请求url中只识别服务端证书的 CN
 
证书认证请求并不是证书,需要CA的私钥进行签名之后方是证书
5,生成服务端证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000
 
server.go:
package main
import (
    "fmt"
    "net/http"
)
func handler(w http.ResponseWriter, r *http.Request) {
    fmt.Fprintf(w,
        "Hi, This is an example of http service in golang!")
}
 
func main() {
    http.HandleFunc("/", handler)
    http.ListenAndServeTLS("192.168.20.162:8003",
        "server.crt", "server.key", nil)
}
 
client.go:
package main
import (
    "crypto/tls"
    "crypto/x509"
    "fmt"
    "io/ioutil"
    "net/http"
)
/*
客户端若要对服务端的数字证书进行校验 需发送请求之前 加载CA证书
*/
func main() {
    pool := x509.NewCertPool()
    caCertPath := "ca.crt"
 
    caCrt, err := ioutil.ReadFile(caCertPath)
    if err != nil {
        fmt.Println("ReadFile err:", err)
        return
    }
    pool.AppendCertsFromPEM(caCrt) //客户端添加ca证书
 
    tr := &http.Transport{
        TLSClientConfig: &tls.Config{RootCAs: pool}, //客户端加载ca证书
        DisableCompression: true,
    }
    client := &http.Client{Transport: tr}
    resp, err := client.Get("https://gc_host:8003/")
    if err != nil {
        fmt.Println("Get error:", err)
        return
    }
    defer resp.Body.Close()
    body, err := ioutil.ReadAll(resp.Body)
    fmt.Println(string(body))
}
 
 
 

https原理通俗理解及golang实现

标签:pre   ble   port   不同的   信息   service   com   rom   src   

原文地址:http://www.cnblogs.com/gccxl/p/7127853.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!