【译】OPEN SSL——无人问津的英雄

原文连接

在这篇文章中，将讨论在HTTPS链接中，SSL证书如何保障现代网站的安全标准。

当看到HTTPS和HTTP链接时，大部分人不知道它们之间的区别。咱们不由自问，一个小小的"S"能形成什么差异呢？不多有人知道，正是这个小小的"S"才是关键所在。

HTTPS与HTTP并不只仅是一个字母的差异，HTTPS经过一个有效的SSL证书，保障了一个安全的受保护的链接。

在这篇文章中，咱们会简要地说明SSL/TLS(安全套接字层与传输层安全)是什么，以及如何为一个网站获取证书。

不知不觉中，咱们已经浏览过不少有SSL证书的网站，手机应用程序，邮件，信息收发等等。其中，在网站中最为常见，可是大部分人都感觉不到它的存在。SSL证书能够被视为服务端发送给客户端的一把锁（公钥），客户端可使用这把锁将要加密的内容锁上，而钥匙（私钥）只有服务端才持有，此时，只有服务端才能获取到加密的内容。

SSL证书促进了加密技术——当咱们听到这个词的时候，咱们的脑海中首先想到的是"密文"与"破解"，将数据转换成任何第三方都不能识别的格式，而后由接收者使用私钥进行解密。

安全链接创建的过程称为"SSL握手"。咱们可使用平常生活中的例子帮助咱们理解这个过程。

例如，当有人雇佣你作一个很重要的工做时，步骤以下：

1. 咱们向彼此打招呼——相似地，客户端与服务端交换clientHello与serverHello信息，这些信息带有SSL相关的内容。此后，一条安全链接就在咱们之间出现了。
2. 校验身份，记录等——打完招呼以后，咱们彼此都放松了一点，客户端经过SSL证书中的信息来验证服务端（例如，位置，公钥，认证日期等），就像咱们的老板检查咱们身份的真实性，客户端检查证书颁发机构的有效性。
3. 交换秘钥——当咱们的老板信任咱们之后，他留给咱们办公室的钥匙。相似地，客户端和服务端交换公钥与私钥，对称或不对称的加密就发生了。

以这种方式，一个值得信任的员工被雇佣了，相似地，一个安全的链接就创建好了。

获取证书

这就是OpenSSL发挥做用的地方。这要追溯到1998年十二月，彼时，www.openSSL.org网站出现了，它是一个在线的软件库，为网站提供软件，保护他们免受第三方窃取或窜改数据。它也提供私钥的生成，这是TLS协议中很重要的一部分。

正如它的名字同样，open SSL向全部网站的开发者和拥有者开放，他们可使用全部必要的工具。在Linux, Windows, macOS以及BSD操做系统中均可用。

如今，任何组织都必须遵照公共的安全标准，这样他们才能与客户之间创建起信任关系，因此他们的网站须要有SSL证书。open SSL帮助他们实现了。

证书就像咱们工做上实习期的证实，它保证了咱们工做的完成质量。数字凭证必须在Open SSL库中申请SSL证书。

为了将SSL证书转换成不一样的格式，须要知道一些Open SSL命令。TLS协议支持几种不一样的OpenSSL版本，1.1.1, 1.0.2以及1.1.0。

使用openssl version -a查看OpenSSL版本。

生成CSR——证书签名请求。这个请求是由网站全部者向权威机构申请一个应用程序的证书。OpenSSL帮助生成一个CSR码。

生成私钥——私钥是解锁对应公钥加密的惟一方式。它必须惟一，而且包含一个选项决定是否在私钥中包含一个额外的密码，不够，全部的服务器都不接受带密码的私钥。

生成私钥有两种算法——RSA算法生成2048位的秘钥，ECDSA算法生成256位的秘钥。

要生成秘钥，须要使用如下命令:opensslrsa -text -in yourdomain.key -noout

提取公钥——使用如下命令从私钥中提取公钥:opensslreq -new -key yourdomain.key -out yourdomain.scr

在生成CSR以前，有一些重要的问题要问，像给你发身份证时同样：

• 国家代码（两个字的代码）
• 州或省名
• 城市名
• 机构名称
• 机构部门名称
• 公用名称（主机名称）
• 邮箱地址

验证消息与证书细节 最后，咱们获得证书之后该作什么呢？咱们要检查一下信息是否正确，以及咱们的名字是否与证书上的一致。相应的，有一个命令能够鉴定证书的信息是否与咱们的私钥相匹配： openssl x509 -text -in yourdomain.crt -noout

2014n年，谷歌与火狐浏览器发起了 “HTTPS Everywhere”运动，以后，SSL证书的需求急速增长，由于该运动强迫全部在它SEO浏览器上的网站都必须有一个HTTPS链接。这是一个很是重要的运行，由于它使得安全与私密再也不是一个可选项，而是一个必选项。在网络犯罪不断增长的如今，咱们必须尽咱们所能来保障咱们的隐私。