Part 09：SSL/TLS配置实践

1.SSL/TLS协议

• SSL/TLS的握手过程
• 客户端Hello：客户端向服务器发送支持的 SSL/TLS 版本、加密套件和随机数。
• 服务器Hello：服务器选择 SSL/TLS 版本、加密套件，并发送服务器随机数和证书。
• 密钥交换：客户端验证服务器证书，生成预主密钥并使用服务器公钥加密后发送给服务器。
• 会话密钥生成：客户端和服务器使用预主密钥和随机数生成会话密钥。
• 加密通信：客户端和服务器使用会话密钥进行加密通信。

• 对称加密：用于加密通信数据（如 AES）。
• 非对称加密：用于密钥交换（如 RSA）。
• 哈希算法：用于验证数据完整性（如 SHA-256）。
• SSL/TLS协议的版本
• TLS 1.2：广泛使用的版本，支持多种加密套件。
• TLS 1.3：最新版本，简化握手过程，提高安全性。

2.SSL/TLS的应用场景

• Web服务器（HTTPS）使用 SSL/TLS 加密 HTTP 通信，保护数据传输安全。
• 电子邮件（SMTPS、IMAPS）使用 SSL/TLS 加密电子邮件通信。
• VPN使用 SSL/TLS 加密 VPN 通信。

3.配置HTTPS

• 在Apache中配置SSL/TLS
• 安装 Apache 和 SSL 模块：

sudo apt install apache2
sudo a2enmod ssl
sudo systemctl restart apache2

• 配置 SSL 虚拟主机：：

编辑 `/etc/apache2/sites-available/default-ssl.conf`，添加以下内容：


    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html
    SSLEngine on
    SSLCertificateFile /path/to/certificate.pem
    SSLCertificateKeyFile /path/to/private_key.pem

• 启用 SSL 虚拟主机：

sudo a2ensite default-ssl
sudo systemctl reload apache2

• 在Nginx中配置SSL/TLS
• 安装 Nginx 和 SSL 模块：

sudo apt install nginx

• 配置 SSL 虚拟主机：

编辑 `/etc/nginx/sites-available/default`，添加以下内容：

server {
    listen 443 ssl;
    server_name example.com;
    ssl_certificate /path/to/certificate.pem;
    ssl_certificate_key /path/to/private_key.pem;
    root /var/www/html;
    index index.html;
}

• 重启 Nginx：

sudo systemctl restart nginx

2.测试SSL/TLS连接

• 使用浏览器测试HTTPS连接
• 在浏览器中访问 https://localhost 或 https://example.com。
• 查看浏览器地址栏中的锁图标，确认连接安全。
• 使用OpenSSL测试SSL/TLS连接

openssl s_client -connect localhost:443 -showcerts

 输出内容包括：
 - 服务器证书。
 - 证书链。
 - 加密套件。

• 查看SSL/TLS连接的安全信息在浏览器中打开开发者工具（F12）。切换到“Security”选项卡，查看证书信息和加密套件。

任务

任务1：在本地Web服务器上配置SSL/TLS

1. 在 Apache 或 Nginx 中配置 SSL/TLS。
2. 使用自签名证书或 CA 证书启用 HTTPS。
3. 确保 Web 服务器可以通过 HTTPS 访问。

任务2：使用浏览器访问HTTPS网站并验证证书

1. 在浏览器中访问配置好的 HTTPS 网站。
2. 查看浏览器地址栏中的锁图标，确认连接安全。
3. 查看证书信息，确保证书有效。