ssl加密認證

A. 請問，https加密認證要這么弄

https加密認證需要申請SSL證書來實現。具體的申請流程如下：

第一步，生成並提交CSR（證書簽署請求）文件

CSR文件一般都可以通過在線生成（或伺服器上生成），申請人在製作的同時系統會產生兩個秘鑰，公鑰CSR和密鑰KEY。選擇了SSL證書申請之後，提交訂單並將製作生成的CSR文件一起提交到證書所在的CA頒發機構。

第二步，CA機構進行驗證

CA機構對提交的SSL證書申請有兩種驗證方式：

第一種是域名認證。系統自動會發送驗證郵件到域名的管理員郵箱（這個郵箱是通過WHOIS信息查詢到的域名聯系人郵箱）。管理員在收到郵件之後，確認無誤後點擊我確認完成郵件驗證。所有型號的SSL證書都必須進行域名認證。

第二種是企業相關信息認證。對於SSL證書申請的是OV SSL證書或者EV SSL證書的企業來說，除了域名認證，還得進行人工核實企業相關資料和信息，確保企業的真實性。

第三步，CA機構頒發證書

由於SSL證書申請的型號不同，所驗證的材料和方式有些區別，所以頒發時間也是不同的。

如果申請的是DV SSL證書最快10分鍾左右就能頒發。如果申請的是OV SSL證書或者EV SSL證書，一般3-7個工作日就能頒發。

B. ssl用哪些加密演算法，認證機制

根據密鑰類型不同將現代密碼技術分為兩類：對稱加密演算法（秘密鑰匙加密）和非對稱加密演算法（公開密鑰加密）。
對稱鑰匙加密系統是加密和解密均採用同一把秘密鑰匙，而且通信雙方都必須獲得這把鑰匙，並保持鑰匙的秘密。非對稱密鑰加密系統採用的加密鑰匙（公鑰）和解密鑰匙（私鑰）是不同的。
對稱加密演算法用來對敏感數據等信息進行加密，常用的演算法包括：
DES（Data Encryption Standard）：數據加密標准，速度較快，適用於加密大量數據的場合。
3DES（Triple DES）：是基於DES，對一塊數據用三個不同的密鑰進行三次加密，強度更高。
AES（Advanced Encryption Standard）：高級加密標准，是下一代的加密演算法標准，速度快，安全級別高；
常見的非對稱加密演算法如下：
RSA：由 RSA 公司發明，是一個支持變長密鑰的公共密鑰演算法，需要加密的文件塊的長度也是可變的；
DSA（Digital Signature Algorithm）：數字簽名演算法，是一種標準的 DSS（數字簽名標准）；
ECC（Elliptic Curves Cryptography）：橢圓曲線密碼編碼學

C. ssl認證的為什麼要進行SSL認證

ssl認證是指客戶端到伺服器端賣鍵的認證。主要用來提供對用戶和伺服器的認證;對傳送的數據進行加密和隱藏;確保數據在傳送中不被改變，即數據的完整性，現已成野清為該領域中全球化的標准。

為什麼要進行SSL認證？

SSL證書不僅用於加密，還可以表明證書頒發機構（CA）已驗證您的公司。通過這種方式，證書還可以作為您業務的驗證。當證書頒發機構在沒有驗證步驟的情況下輕松頒發SSL證書時，互聯網將成為具有高風險的不安全場所。在權威的CA機構頒發高保證證書之前，都會驗證申請證書的實體的組織詳細信息。

身份驗證為數字證書增加了一層額外的安全性，從而增加了對證書持有者的信任。通過驗證證書持有者的身份，證書頒發機構 (CA)可以確認接收者是否擁有網站域、代碼或品牌標志的權利等。

而且安裝了通過身份驗證的OV SSL證書還可以在證書詳情中查看到企業名稱，如果是安裝了更高端的EV SSL證書可以直接在瀏覽器地址欄看到企業名稱，讓用戶更加放心訪問網站。

SSL證書中的身份驗證不僅能夠提高網站的安全性，還能增加客中脊巧戶的信任度，所以是很重要的。因此安信證書建議大家，對於企業用戶，申請OV SSL證書或EV SSL證書才是最理想的解決方案。

D. SSL工作原理，SSL加密原理，SSL證書怎麼加密

安全套接字層(SSL)是一種用於保護Internet通信的協議。它為企業提供了一種在將數據發送給用戶之前對其進行加密的方法，以防止第三方在傳輸過程中讀取數據。

E. ssl證書加密是干什麼用的

SSL證書是數字證書(數字證書包括：SSL證書、客戶端證書、代碼簽名證書等)的一種，因為配置在伺服器上也稱為伺服器SSL證書。SSL證書就是遵守SSL協議，由受信任的數字證書頒發機構CA(如：沃通CA)在驗證伺服器身份後頒發的一種數字證書。

SSL證書作用

(1)網站實現加密傳輸

用戶通過http協議訪問網站時，瀏覽器和伺服器之間是明文傳輸，這就意味著用戶填寫的密碼、帳號、交易記錄等機密信息都是明文，隨時可能被泄露、竊取、篡改，被黑客加以利用。

網站安裝SSL證書後，使用https加密協議訪問網站，可激活客戶端瀏覽器到網站伺服器之間的"SSL加密通道"(SSL協議)，實現高強度雙向加密傳輸，防止傳輸數據被泄露或篡改。

(2)認證伺服器真實身份

釣魚欺詐網站泛濫，用戶如何識別網站是釣魚網站還是安全網站？網站部署全球信任的SSL證書後，瀏覽器內置安全機制，實時查驗證書狀態，通過瀏覽器向用戶展示網站認證信息，讓用戶輕松識別網站真實身份，防止釣魚網站仿冒。

網站如何獲得SSL證書

安全可信的SSL證書需要向CA機構(證書授權頒發中心)申請，通過嚴格的審查後才給予頒發。網站如何獲得SSL證書請參考：網頁鏈接

F. kafka使用ssl加密和認證

Apache kafka 允許clinet通過SSL連接，SSL默認是不可用的，需手動開啟。

主要步驟是：

os: ubuntu 18

java: 1.8.0_275

kafka: 2.7.0

官方的步驟

把上面的步驟拆開來，並解釋

生成密鑰和證書，可以使用java的keytool來生產桐鋒。我們將生成密鑰到一個臨時的密鑰庫，之後我們可以導出並用CA簽名它。

例子

keystore: 密鑰倉庫存儲證書文件。密鑰倉庫文件包含證書的私鑰（保證私鑰的安全）。

validity: 證書的有效時間，天

此步驟要注意的是，名與姓(CN)這一項必須輸入域名，如 "localhost",切記不可以隨意寫，我曾嘗試使用其他字元串，在後面客戶端生成證書認證的時候一直有問題。

客戶端將根據以下兩個欄位之一驗證伺服器的完全限定域名（FQDN）：

這兩個欄位均有效，但是RFC-2818建議使用SAN。SAN更加的靈活，允許聲明多個DNS條目。另一個優點是，出於授權目的，可以將CN設置為更有意義的值。 要添加SAN，需將以下參數 -ext SAN=DNS:{FQDN} 追加到keytool命令：

完成上面步驟，可使用命令

來驗證生成證書的內容

server.keystore.jks 這個文件包含了一對 公私鑰 ，和 一個證書 來識別機器。但是，證書是未簽名的，這意味著攻擊者可以創建一個這樣的證書來偽裝成任何機器。

生成的CA是一個簡單的 公私鑰對 和 證書 ，用於簽名其他的證書。

例子

將生成的CA添加到 **clients' truststore（客戶的信任庫）** ，以便client可以信任這個CA:

ca-cert: CA的局攔晌證書

例子

客戶端的信任庫存儲所有客戶端信任的證書，將證書導入到一個信任倉庫也意味著信衡頌任由該證書簽名的所有證書，正如上面的比喻，信任政府（CA）也意味著信任它頒發的所有護照（證書），此特性稱為信任鏈，在大型的kafka集群上部署SSL時特別有用的。可以用單個CA簽名集群中的所有證書，並且所有的機器共享相同的信任倉庫，這樣所有的機器也可以驗證其他的機器了。

用步驟2.2 生成的CA簽名 步驟2.1生成的證書。首先導出請求文件：

cert-file: 出口，伺服器的未簽名證書

然後用CA簽名：

例子

最後,你需要導入CA的證書和已簽名的證書到密鑰倉庫:

參數

Kafka Broker支持監聽多個埠上的連接，通過 server.properteis 配置，最少監聽1個埠，用逗號分隔。

下面是broker端需要的SSL配置，

more config/server.properties

Procer和Consumer的SSL的配置是相同的。

如果broker中不需要client（客戶端）驗證，那麼下面是最小的配置示例：

more client-ssl.properties

如果需要客戶端認證，則必須像 步驟2.1 一樣創建密鑰庫，並且還必須配置以下內容：

啟動 zookeeper 和 kafka

在不同的Terminal 分別運行下面命令

Terminal1

Terminal2

Terminal3

創建topic

生產和消費topic

官網： http://kafka.apache.org/documentation/#security_ssl

https://www.orchome.com/171

https://www.orchome.com/1959

Java 11 導致 SSL handshake fail https://stackoverflow.com/questions/57601284/java-11-and-12-ssl-sockets-fail-on-a-handshake-failure-error-with-tlsv1-3-enable

生成本機證書時，CN 需要填寫 localhost 或者真實的域名，否則客戶端連接失敗。

G. 請教：SSL加密的意思是什麼

SSL加密是在傳輸層對網路連接進行加密，安全傳輸層協議（TLS）用於在兩個通信應用程序之間提供保密性和數據完整性。就是我們看到地址欄https://，TLS加密套件、SSL屬於數字證書，相互相成。

起初是因為HTTP在傳輸數據時使用的是明文（雖然說POST提交的數據時放在報體里看不到的，但是還是可以通過抓包工具竊取到）是不安全的，為了解決這一隱患網景公司推出了SSL安全套接字協議層，SSL是基於HTTP之下TCP之上的一個協議層，是基於HTTP標准並對TCP傳輸數據時進行加密，所以HTTPS是HTTP+SSL/TCP的簡稱。

H. 加密之SSL和單雙向認證

SSL 配置是我們在實際應用中經常見到的場景
SSL ( Secure Sockets Layer ,安全套接層)是為通信提供安全及數據完整性的一種安全協議， SSL 在網路傳送層對網路連接進行加密。 SSL 協議位於 TCP/IP 協議與各種應用層協議之間，為數據通信提供安全支持。
SSL 協議可分為兩層：

我們需要構建一個由 CA 機構簽發的有效證書，這里我們先生成的自簽名證書 zlex.cer ( 具體生產證書密鑰步驟點此了解 )
這里，我們將證書導入到我們的密鑰庫。

其中：

在這里我使用的密碼為654321

控制台輸出：

接下來我們將域名 www.zlex.org 定位到本機上。打開 C:\Windows\System32\drivers\etc\hosts 文件，將 www.zlex.org 綁定在本機上。在文件末尾追加 127.0.0.1 www.zlex.org 。
現在通過地址欄訪問 http://www.zlex.org ，或者通過 ping 命令，如果能夠定位到本機，域名映射就搞定了。
現在，配置 tomcat 。先將 zlex.keystore 拷貝到 tomcat 的 conf 目錄下攜爛告，然後配置 server.xml 。將如下內容加入配置文件

注意 clientAuth="false" 測試階段，置為 false ，正式使用時建議使用 true 。現在啟動tomcat，就可以訪問 https://www.zlex.org/ 進行測試

顯然，證書未能通過認證，這個時候你可以選擇安裝證書（上文中的 zlex.cer 文件就是證書），作為受信任的根證書頒發機構導入，再次重啟瀏覽器，訪問 https://www.zlex.org/ ，就會看到地址欄中會有個小鎖
，就說明安裝成功。所有的瀏覽器聯網操作已經在RSA加密解密系統的保護之下了。但似乎我們感受不到。
這個時候很多人開始懷疑，如果我們要手工做一個這樣的https的訪問是不是需要把瀏覽器的這些個功能都實現呢？不需要！

點擊了解Spring Boot配置SSL過程

點擊此處了解 獲取公私鑰，加密解密，加簽驗簽，驗證證書有效期

configSSLSocketFactory 方法供外界調用，該方法為 HttpsURLConnection 配置了 SSLSocketFactory 。當 HttpsURLConnection 配置了 SSLSocketFactory 後，就可以通過 HttpsURLConnection 的 getInputStream 、 getOutputStream ，像往常使用 HttpURLConnection 做操作了。尤其要說明一點，未配置 SSLSocketFactory 前， HttpsURLConnection 的 getContentLength() 獲得值永遠都是 -1

驗證結果

在上面我們使用自簽名證書完成了認證。歷滲接下來，我們使用第三方 CA 簽名機構完成證書簽名。
這里我們使用 thawte 提供的測試用21天免費ca證書。

在這里使用的密碼為 123456

控制台輸出：

就會獲得 zlex.csr 文件，可以用記事本打開，內容如下格式：

將其存儲為zlex.p7b

在這里使用的密碼為 123456

控制台輸出：

對於雙向認證，做一個簡單的描述。
伺服器端下發證書，客戶端接受證書。 證書 帶有 公鑰 信息，用於驗證伺服器端、對數據加密/解密，起到OSI五類服務的認證（鑒別）服務和保密性服務辯明。 這只是單向認證，為什麼？
因為客戶端可以驗證伺服器端，但伺服器端不能驗證客戶端！
如果客戶端也有這樣一個證書，伺服器端也就能夠驗證客戶端，這就是雙向認證了，換言之，當你用銀行的 U盾 之類的U盤與銀行賬戶交互時，在你驗證銀行伺服器的同時，伺服器也在驗證你！這種雙重驗證，正是網銀系統的安全關鍵！

雙向認證需要一個 CA 機構簽發這樣的客戶端、伺服器端證書，首先需要 CA 機構構建一個根證書。 keytool 可以構建證書但不能構建我們需要的根證書， openssl 則可以，根證書簽發客戶端證書，根私鑰簽發伺服器端證書
直接使用linux下的 openssl 來完成 CA ，需要修改 openssl.cnf 文件，在ubuntu下的/etc/ssl/目錄下，找到[ CA_default ]修改dir變數。

我們把c盤的ca目錄作為CA認證的根目錄，文件修改後如下所示：

我們需要在用戶目錄下構建一個ca目錄，以及子目錄，如下所下：
ca
|__certs
|__newcerts
|__private
|__crl

執行如下操作：

I. ssl用哪些加密演算法，認證機制

SSL是Netscape公司所提出的安全保密協議，在瀏覽器（如Internet Explorer、Netscape Navigator）和Web伺服器（如Netscape的Netscape Enterprise Server、ColdFusion Server等等）之間構造安全通道來進行數據傳輸，SSL運行在TCP/IP層之上、應用層之下，為應用程序提供加密數據通道，它採用了RC4、MD5以及RSA等加密演算法，使用40 位的密鑰，適用於商業信息的加密。同時，Netscape公司相應開發了HTTPS協議並內置於其瀏覽器中，HTTPS實際上就是HTTP over SSL，它使用默認埠443，而不是像HTTP那樣使用埠80來和TCP/IP進行通信。哈希簽名演算法：SHA256、SHA384、SHA512，加密位數：204、4096、8192，SSL都是統一的認證機制並且統一在webtrust執行下認證。