ssl加密认证

A. 请问，https加密认证要这么弄

https加密认证需要申请SSL证书来实现。具体的申请流程如下：

第一步，生成并提交CSR（证书签署请求）文件

CSR文件一般都可以通过在线生成（或服务器上生成），申请人在制作的同时系统会产生两个秘钥，公钥CSR和密钥KEY。选择了SSL证书申请之后，提交订单并将制作生成的CSR文件一起提交到证书所在的CA颁发机构。

第二步，CA机构进行验证

CA机构对提交的SSL证书申请有两种验证方式：

第一种是域名认证。系统自动会发送验证邮件到域名的管理员邮箱（这个邮箱是通过WHOIS信息查询到的域名联系人邮箱）。管理员在收到邮件之后，确认无误后点击我确认完成邮件验证。所有型号的SSL证书都必须进行域名认证。

第二种是企业相关信息认证。对于SSL证书申请的是OV SSL证书或者EV SSL证书的企业来说，除了域名认证，还得进行人工核实企业相关资料和信息，确保企业的真实性。

第三步，CA机构颁发证书

由于SSL证书申请的型号不同，所验证的材料和方式有些区别，所以颁发时间也是不同的。

如果申请的是DV SSL证书最快10分钟左右就能颁发。如果申请的是OV SSL证书或者EV SSL证书，一般3-7个工作日就能颁发。

B. ssl用哪些加密算法，认证机制

根据密钥类型不同将现代密码技术分为两类：对称加密算法（秘密钥匙加密）和非对称加密算法（公开密钥加密）。
对称钥匙加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须获得这把钥匙，并保持钥匙的秘密。非对称密钥加密系统采用的加密钥匙（公钥）和解密钥匙（私钥）是不同的。
对称加密算法用来对敏感数据等信息进行加密，常用的算法包括：
DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合。
3DES（Triple DES）：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高。
AES（Advanced Encryption Standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高；
常见的非对称加密算法如下：
RSA：由 RSA 公司发明，是一个支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的；
DSA（Digital Signature Algorithm）：数字签名算法，是一种标准的 DSS（数字签名标准）；
ECC（Elliptic Curves Cryptography）：椭圆曲线密码编码学

C. ssl认证的为什么要进行SSL认证

ssl认证是指客户端到服务器端卖键的认证。主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变，即数据的完整性，现已成野清为该领域中全球化的标准。

为什么要进行SSL认证？

SSL证书不仅用于加密，还可以表明证书颁发机构（CA）已验证您的公司。通过这种方式，证书还可以作为您业务的验证。当证书颁发机构在没有验证步骤的情况下轻松颁发SSL证书时，互联网将成为具有高风险的不安全场所。在权威的CA机构颁发高保证证书之前，都会验证申请证书的实体的组织详细信息。

身份验证为数字证书增加了一层额外的安全性，从而增加了对证书持有者的信任。通过验证证书持有者的身份，证书颁发机构 (CA)可以确认接收者是否拥有网站域、代码或品牌标志的权利等。

而且安装了通过身份验证的OV SSL证书还可以在证书详情中查看到企业名称，如果是安装了更高端的EV SSL证书可以直接在浏览器地址栏看到企业名称，让用户更加放心访问网站。

SSL证书中的身份验证不仅能够提高网站的安全性，还能增加客中脊巧户的信任度，所以是很重要的。因此安信证书建议大家，对于企业用户，申请OV SSL证书或EV SSL证书才是最理想的解决方案。

D. SSL工作原理，SSL加密原理，SSL证书怎么加密

安全套接字层(SSL)是一种用于保护Internet通信的协议。它为企业提供了一种在将数据发送给用户之前对其进行加密的方法，以防止第三方在传输过程中读取数据。

E. ssl证书加密是干什么用的

SSL证书是数字证书(数字证书包括：SSL证书、客户端证书、代码签名证书等)的一种，因为配置在服务器上也称为服务器SSL证书。SSL证书就是遵守SSL协议，由受信任的数字证书颁发机构CA(如：沃通CA)在验证服务器身份后颁发的一种数字证书。

SSL证书作用

(1)网站实现加密传输

用户通过http协议访问网站时，浏览器和服务器之间是明文传输，这就意味着用户填写的密码、帐号、交易记录等机密信息都是明文，随时可能被泄露、窃取、篡改，被黑客加以利用。

网站安装SSL证书后，使用https加密协议访问网站，可激活客户端浏览器到网站服务器之间的"SSL加密通道"(SSL协议)，实现高强度双向加密传输，防止传输数据被泄露或篡改。

(2)认证服务器真实身份

钓鱼欺诈网站泛滥，用户如何识别网站是钓鱼网站还是安全网站？网站部署全球信任的SSL证书后，浏览器内置安全机制，实时查验证书状态，通过浏览器向用户展示网站认证信息，让用户轻松识别网站真实身份，防止钓鱼网站仿冒。

网站如何获得SSL证书

安全可信的SSL证书需要向CA机构(证书授权颁发中心)申请，通过严格的审查后才给予颁发。网站如何获得SSL证书请参考：网页链接

F. kafka使用ssl加密和认证

Apache kafka 允许clinet通过SSL连接，SSL默认是不可用的，需手动开启。

主要步骤是：

os: ubuntu 18

java: 1.8.0_275

kafka: 2.7.0

官方的步骤

把上面的步骤拆开来，并解释

生成密钥和证书，可以使用java的keytool来生产桐锋。我们将生成密钥到一个临时的密钥库，之后我们可以导出并用CA签名它。

例子

keystore: 密钥仓库存储证书文件。密钥仓库文件包含证书的私钥（保证私钥的安全）。

validity: 证书的有效时间，天

此步骤要注意的是，名与姓(CN)这一项必须输入域名，如 "localhost",切记不可以随意写，我曾尝试使用其他字符串，在后面客户端生成证书认证的时候一直有问题。

客户端将根据以下两个字段之一验证服务器的完全限定域名（FQDN）：

这两个字段均有效，但是RFC-2818建议使用SAN。SAN更加的灵活，允许声明多个DNS条目。另一个优点是，出于授权目的，可以将CN设置为更有意义的值。 要添加SAN，需将以下参数 -ext SAN=DNS:{FQDN} 追加到keytool命令：

完成上面步骤，可使用命令

来验证生成证书的内容

server.keystore.jks 这个文件包含了一对 公私钥 ，和 一个证书 来识别机器。但是，证书是未签名的，这意味着攻击者可以创建一个这样的证书来伪装成任何机器。

生成的CA是一个简单的 公私钥对 和 证书 ，用于签名其他的证书。

例子

将生成的CA添加到 **clients' truststore（客户的信任库）** ，以便client可以信任这个CA:

ca-cert: CA的局拦晌证书

例子

客户端的信任库存储所有客户端信任的证书，将证书导入到一个信任仓库也意味着信衡颂任由该证书签名的所有证书，正如上面的比喻，信任政府（CA）也意味着信任它颁发的所有护照（证书），此特性称为信任链，在大型的kafka集群上部署SSL时特别有用的。可以用单个CA签名集群中的所有证书，并且所有的机器共享相同的信任仓库，这样所有的机器也可以验证其他的机器了。

用步骤2.2 生成的CA签名 步骤2.1生成的证书。首先导出请求文件：

cert-file: 出口，服务器的未签名证书

然后用CA签名：

例子

最后,你需要导入CA的证书和已签名的证书到密钥仓库:

参数

Kafka Broker支持监听多个端口上的连接，通过 server.properteis 配置，最少监听1个端口，用逗号分隔。

下面是broker端需要的SSL配置，

more config/server.properties

Procer和Consumer的SSL的配置是相同的。

如果broker中不需要client（客户端）验证，那么下面是最小的配置示例：

more client-ssl.properties

如果需要客户端认证，则必须像 步骤2.1 一样创建密钥库，并且还必须配置以下内容：

启动 zookeeper 和 kafka

在不同的Terminal 分别运行下面命令

Terminal1

Terminal2

Terminal3

创建topic

生产和消费topic

官网： http://kafka.apache.org/documentation/#security_ssl

https://www.orchome.com/171

https://www.orchome.com/1959

Java 11 导致 SSL handshake fail https://stackoverflow.com/questions/57601284/java-11-and-12-ssl-sockets-fail-on-a-handshake-failure-error-with-tlsv1-3-enable

生成本机证书时，CN 需要填写 localhost 或者真实的域名，否则客户端连接失败。

G. 请教：SSL加密的意思是什么

SSL加密是在传输层对网络连接进行加密，安全传输层协议（TLS）用于在两个通信应用程序之间提供保密性和数据完整性。就是我们看到地址栏https://，TLS加密套件、SSL属于数字证书，相互相成。

起初是因为HTTP在传输数据时使用的是明文（虽然说POST提交的数据时放在报体里看不到的，但是还是可以通过抓包工具窃取到）是不安全的，为了解决这一隐患网景公司推出了SSL安全套接字协议层，SSL是基于HTTP之下TCP之上的一个协议层，是基于HTTP标准并对TCP传输数据时进行加密，所以HTTPS是HTTP+SSL/TCP的简称。

H. 加密之SSL和单双向认证

SSL 配置是我们在实际应用中经常见到的场景
SSL ( Secure Sockets Layer ,安全套接层)是为通信提供安全及数据完整性的一种安全协议， SSL 在网络传送层对网络连接进行加密。 SSL 协议位于 TCP/IP 协议与各种应用层协议之间，为数据通信提供安全支持。
SSL 协议可分为两层：

我们需要构建一个由 CA 机构签发的有效证书，这里我们先生成的自签名证书 zlex.cer ( 具体生产证书密钥步骤点此了解 )
这里，我们将证书导入到我们的密钥库。

其中：

在这里我使用的密码为654321

控制台输出：

接下来我们将域名 www.zlex.org 定位到本机上。打开 C:\Windows\System32\drivers\etc\hosts 文件，将 www.zlex.org 绑定在本机上。在文件末尾追加 127.0.0.1 www.zlex.org 。
现在通过地址栏访问 http://www.zlex.org ，或者通过 ping 命令，如果能够定位到本机，域名映射就搞定了。
现在，配置 tomcat 。先将 zlex.keystore 拷贝到 tomcat 的 conf 目录下携烂告，然后配置 server.xml 。将如下内容加入配置文件

注意 clientAuth="false" 测试阶段，置为 false ，正式使用时建议使用 true 。现在启动tomcat，就可以访问 https://www.zlex.org/ 进行测试

显然，证书未能通过认证，这个时候你可以选择安装证书（上文中的 zlex.cer 文件就是证书），作为受信任的根证书颁发机构导入，再次重启浏览器，访问 https://www.zlex.org/ ，就会看到地址栏中会有个小锁
，就说明安装成功。所有的浏览器联网操作已经在RSA加密解密系统的保护之下了。但似乎我们感受不到。
这个时候很多人开始怀疑，如果我们要手工做一个这样的https的访问是不是需要把浏览器的这些个功能都实现呢？不需要！

点击了解Spring Boot配置SSL过程

点击此处了解 获取公私钥，加密解密，加签验签，验证证书有效期

configSSLSocketFactory 方法供外界调用，该方法为 HttpsURLConnection 配置了 SSLSocketFactory 。当 HttpsURLConnection 配置了 SSLSocketFactory 后，就可以通过 HttpsURLConnection 的 getInputStream 、 getOutputStream ，像往常使用 HttpURLConnection 做操作了。尤其要说明一点，未配置 SSLSocketFactory 前， HttpsURLConnection 的 getContentLength() 获得值永远都是 -1

验证结果

在上面我们使用自签名证书完成了认证。历渗接下来，我们使用第三方 CA 签名机构完成证书签名。
这里我们使用 thawte 提供的测试用21天免费ca证书。

在这里使用的密码为 123456

控制台输出：

就会获得 zlex.csr 文件，可以用记事本打开，内容如下格式：

将其存储为zlex.p7b

在这里使用的密码为 123456

控制台输出：

对于双向认证，做一个简单的描述。
服务器端下发证书，客户端接受证书。 证书 带有 公钥 信息，用于验证服务器端、对数据加密/解密，起到OSI五类服务的认证（鉴别）服务和保密性服务辩明。 这只是单向认证，为什么？
因为客户端可以验证服务器端，但服务器端不能验证客户端！
如果客户端也有这样一个证书，服务器端也就能够验证客户端，这就是双向认证了，换言之，当你用银行的 U盾 之类的U盘与银行账户交互时，在你验证银行服务器的同时，服务器也在验证你！这种双重验证，正是网银系统的安全关键！

双向认证需要一个 CA 机构签发这样的客户端、服务器端证书，首先需要 CA 机构构建一个根证书。 keytool 可以构建证书但不能构建我们需要的根证书， openssl 则可以，根证书签发客户端证书，根私钥签发服务器端证书
直接使用linux下的 openssl 来完成 CA ，需要修改 openssl.cnf 文件，在ubuntu下的/etc/ssl/目录下，找到[ CA_default ]修改dir变量。

我们把c盘的ca目录作为CA认证的根目录，文件修改后如下所示：

我们需要在用户目录下构建一个ca目录，以及子目录，如下所下：
ca
|__certs
|__newcerts
|__private
|__crl

执行如下操作：

I. ssl用哪些加密算法，认证机制

SSL是Netscape公司所提出的安全保密协议，在浏览器（如Internet Explorer、Netscape Navigator）和Web服务器（如Netscape的Netscape Enterprise Server、ColdFusion Server等等）之间构造安全通道来进行数据传输，SSL运行在TCP/IP层之上、应用层之下，为应用程序提供加密数据通道，它采用了RC4、MD5以及RSA等加密算法，使用40 位的密钥，适用于商业信息的加密。同时，Netscape公司相应开发了HTTPS协议并内置于其浏览器中，HTTPS实际上就是HTTP over SSL，它使用默认端口443，而不是像HTTP那样使用端口80来和TCP/IP进行通信。哈希签名算法：SHA256、SHA384、SHA512，加密位数：204、4096、8192，SSL都是统一的认证机制并且统一在webtrust执行下认证。