我們上篇文章介紹了網(wǎng)絡(luò)安全和加解密相關(guān)內(nèi)容,其中包括了ssl和https的關(guān)系.我們在這繼續(xù)講解開發(fā)使用自己的https服務(wù)器 SSL (Secure Sockets Layer) 和 TLS (Transport Layer Security) 是在網(wǎng)絡(luò)上傳輸數(shù)據(jù)時提供加密和身份驗證的協(xié)議。TLS 實際上是 SSL 的升級版����,它修復(fù)了早期 SSL 的安全漏洞,使通信更加高效和安全�����。目前�����,所有版本的 SSL 已被棄用�,TLS 已成為主流協(xié)議�。例如�����,SSL2.0 發(fā)布于 1995 年����,2011 年棄用����;SSL3.0 發(fā)布于 1996 年,2015 年棄用�����;TLS1.2 發(fā)布于 2008 年�,TLS1.3 發(fā)布于 2018 年。現(xiàn)代互聯(lián)網(wǎng)中幾乎所有 HTTPS 連接都使用 TLS(常見版本為 TLS1.2��、TLS1.3)�,而舊的 SSL 協(xié)議已不再推薦使用。 在 TLS 中���,當(dāng)客戶端(如瀏覽器)訪問服務(wù)器時���,會先進行“TLS 握手”來協(xié)商密鑰�����。上圖示意了完整的 TLS 1.2 握手流程:客戶端首先發(fā)送 ClientHello�����,服務(wù)器返回 ServerHello 并發(fā)送證書���,雙方交換密鑰材料并完成握手。握手完成后�����,客戶端和服務(wù)器使用協(xié)商好的對稱密鑰加密后續(xù)的數(shù)據(jù)�,從而保證通信的機密性和完整性。
TLS 與 DTLS 的區(qū)別和使用場景
傳輸層協(xié)議不同:TLS 基于 TCP(面向連接��、可靠傳輸)�,而 DTLS (Datagram TLS) 基于 UDP(無連接、不可靠)握手延遲與丟包處理:由于省略了 TCP 三次握手�,DTLS 握手延遲更低,但需要自身處理重傳和亂序����;而 TLS 在可靠的 TCP 上運行,不需額外處理丟包�。
適用場景:TLS 適用于需要可靠通信的場景,如 HTTPS 網(wǎng)站����、API 加密、電子郵件(SMTP over TLS)�����、VPN(如 OpenVPN 的 TLS 模式)�、FTPS、數(shù)據(jù)庫加密等�����。DTLS 則適用于對延遲敏感或丟包率較高的場景���,如實時音視頻傳輸(VoIP���、WebRTC)、在線會議���、多人游戲�、物聯(lián)網(wǎng)設(shè)備通信(如 CoAP over DTLS)等
示例:WebRTC 的 SRTP 通常使用 DTLS over UDP 來加密媒體流,而大多數(shù)瀏覽器訪問網(wǎng)站仍采用 TLS over TCP(HTTPS)來保證穩(wěn)定性和可靠性
SSL/TLS 證書類型及使用場景
自簽名證書 (Self-Signed):由自己生成并簽署��,沒有受信任的 CA 機構(gòu)背書����,因此不被公用瀏覽器自動信任。優(yōu)點是生成簡單���、成本低(免費)���,常用于開發(fā)測試、內(nèi)網(wǎng)服務(wù)或設(shè)備間通信(如 Kubernetes�����、私有內(nèi)部網(wǎng)站����、路由器管理后臺、企業(yè) IoT 設(shè)備等場景)���。缺點是瀏覽器會彈出安全警告����,不適用于面向普通用戶的公網(wǎng)服務(wù)。
DV (域名型)證書:僅驗證域名所有權(quán)(Domain Validation)�����。CA 會檢查申請者是否擁有該域名控制權(quán)�����,但不驗證組織身份����。DV 證書可以為網(wǎng)站提供傳輸加密���,但地址欄和證書中不顯示公司信息���。特點是申請審核快速(通常幾分鐘到數(shù)小時內(nèi)簽發(fā))。常見于個人博客����、小微網(wǎng)站和測試環(huán)境。
OV (企業(yè)型)證書:在 DV 的基礎(chǔ)上��,CA 還會驗證申請企業(yè)或組織的合法身份。OV 證書中會顯示組織名稱等信息�����,瀏覽器地址欄不顯示綠色公司名�����,但證書詳情里有企業(yè)信息��。適用于企業(yè)官網(wǎng)或業(yè)務(wù)網(wǎng)站����,需要讓用戶看到一定的身份信息,安全級別中等�。
EV (增強型)證書:需要最嚴(yán)格的驗證流程,包括企業(yè)注冊信息�����、法人證明等����,頒發(fā)時審核最嚴(yán)格。安裝有 EV 證書的網(wǎng)站���,在歷史上瀏覽器地址欄會顯示公司名稱(曾以綠色欄或公司名突出顯示��,當(dāng)前一些瀏覽器已簡化顯示但仍標(biāo)識可信度)�。EV 證書提供最高級別的用戶信任度,常用于金融�����、電商����、銀行等對身份可信度要求極高的場景�����。
三者對比時���,可記?��。鹤院灻枪牛珼V 只保密不驗身��,OV 驗證企業(yè)信息���,EV 驗證最嚴(yán)且展示企業(yè)名稱���。
在 Nginx 與 Apache2 中加載證書的區(qū)別
不同 Web 服務(wù)器配置 SSL/TLS 證書的方式略有差異:
Apache (mod_ssl):通常在 <VirtualHost *:443> 塊內(nèi)啟用 SSLEngine on����,并使用 SSLCertificateFile 指定服務(wù)器證書(.crt 或 .pem)��,SSLCertificateKeyFile 指定私鑰文件���,若有中間 CA 證書則用 SSLCertificateChainFile 指定���。Apache 需要分開配置主證書、私鑰和鏈證書����。
<VirtualHost *:443> ServerName example.com SSLEngine on SSLCertificateFile /etc/ssl/certs/example.crt SSLCertificateKeyFile /etc/ssl/private/example.key SSLCertificateChainFile /etc/ssl/certs/ca-bundle.pem </VirtualHost>
Nginx:在 server 塊內(nèi)使用 listen 443 ssl; 并配置 ssl_certificate 指向包含服務(wù)器證書和中間證書鏈的文件(例如 fullchain.pem),ssl_certificate_key 指向私鑰�����。Nginx 會將證書和鏈文件合并后使用����,無需單獨配置 chain 文件���。
server { listen 443 ssl; server_name example.com;
ssl_certificate /etc/ssl/certs/fullchain.pem; ssl_certificate_key /etc/ssl/private/example.key; }
使用命令行生成自簽名證書
可通過 OpenSSL 等工具在命令行快速生成自簽名證書?���;玖鞒倘缦拢?/span>
openssl genrsa -out private.key 2048
openssl req -new -key private.key -out request.csr
系統(tǒng)會提示填寫組織名稱、域名(Common Name)等信息openssl x509 -req -in request.csr -signkey private.key -out cert.crt -days 365
以上命令將用私鑰 private.key 對 CSR 進行簽名�,生成有效期 365 天的自簽證書 cert.crt 我們的引擎支持兩種模式加載證書信息,具體哪種可以根據(jù)自己的證書選擇.比如,可以選擇通過證書鏈或者不通過證書鏈if (_tcsxlen(st_ServiceCfg.st_XCert.tszCertServer) > 0) { xhDLSsl = Cryption_Server_InitEx(st_ServiceCfg.st_XCert.tszCertChain, st_ServiceCfg.st_XCert.tszCertServer, st_ServiceCfg.st_XCert.tszCertKey, false, false, XENGINE_CRYPTION_PROTOCOL_TLS); } else { xhDLSsl = Cryption_Server_InitEx(st_ServiceCfg.st_XCert.tszCertChain, NULL, st_ServiceCfg.st_XCert.tszCertKey, false, false, XENGINE_CRYPTION_PROTOCOL_TLS); }
"tszCertChain": "./XEngine_Cert/server.crt", "tszCertServer": "", "tszCertKey": "./XEngine_Cert/server.key"
xhRTCWhipSsl = Cryption_Server_InitEx(st_ServiceConfig.st_XPull.st_PullWebRtc.tszCertStr, NULL, st_ServiceConfig.st_XPull.st_PullWebRtc.tszKeyStr, false, false, XENGINE_CRYPTION_PROTOCOL_DTL); if (NULL == xhRTCWhipSsl) { XLOG_PRINT(xhLog, XENGINE_HELPCOMPONENTS_XLOG_IN_LOGLEVEL_ERROR, _X("啟動服務(wù)中,啟動推流WEBRTC-DTLS安全網(wǎng)絡(luò),錯誤:%lX"), Cryption_GetLastError()); goto XENGINE_SERVICEAPP_EXIT; }
如果你需要了解如何開發(fā)https服務(wù)器,可以參考我們的開源項目:https://github.com/libxengine/XEngine_Storage
閱讀原文:原文鏈接
該文章在 2025/8/15 12:33:18 編輯過
400 186 1886
