一、SSL\\TLS協(xié)議是什么？

SSL英文全稱(chēng)為Secure Sockets Layer，譯為安全套接層。

TLS英文全稱(chēng)為(Transport Layer Security，譯為傳輸層安全，是SSL的繼承者。

SSL\\TLS協(xié)議用來(lái)實(shí)現(xiàn)安全通信。

1990年，網(wǎng)景（Netscape）公司開(kāi)發(fā)SSL v1版本；

1994年，開(kāi)發(fā)SSL v2版本；

1995年，開(kāi)發(fā)SSL v3版本；

1999年，開(kāi)發(fā)TLS v1版本，SSL協(xié)議棄用；

2006年，開(kāi)發(fā)TLS v2版本；

2018年，開(kāi)發(fā)TLS v3版本。

雖然SSL已經(jīng)被TLS取代，但習(xí)慣上仍稱(chēng)為SSL，如HTTP over SSL，MQTT over SSL。

SSL\\TLS協(xié)議在TCP\\IP協(xié)議棧的位置是怎樣的呢？《圖解HTTP》中一圖很好地說(shuō)明這個(gè)問(wèn)題：

二、SSL\\TLS協(xié)議是如何工作的？

SSL\\TLS協(xié)議的工作流程同樣在《圖解HTTP》有精彩描述，網(wǎng)絡(luò)上也有通俗解釋?zhuān)梢?jiàn)參考資料部分。這里不再描述，主要關(guān)注如下問(wèn)題：

1.Web通信的證書(shū)是如何生成的？如何放置？

（1）使用openssl genrsa和openssl req命令生成

# 生成私鑰*.key
openssl genrsa -des3 -out private.key 2048
# 生成請(qǐng)求證書(shū)*.csr
openssl req -new -key private.key -out cert.csr
# 采用自認(rèn)證方式，生成服務(wù)端證書(shū)
openssl x509 -req -days 3650 -in cert.csr -signkey private.key -out server.crt

說(shuō)明：server.crt中包含網(wǎng)站域名、公司等信息

（2）證書(shū)如何放置？

private.key和server.crt放置在服務(wù)端Web應(yīng)用相應(yīng)的目錄中，服務(wù)端會(huì)通過(guò)Handshake:Certificate消息將server.crt證書(shū)相關(guān)信息發(fā)送給客戶(hù)端。

2. 密鑰是如何生成的？又是如何加解密的？

從理論上來(lái)說(shuō)，SSL\\TLS協(xié)議是先使用“非對(duì)稱(chēng)加密”實(shí)現(xiàn)“對(duì)稱(chēng)加密”的密鑰交換，再使用“對(duì)稱(chēng)加密”進(jìn)行安全通信。

（1）“對(duì)稱(chēng)加密”的密鑰是如何生成的？

A. 客戶(hù)端產(chǎn)生隨機(jī)數(shù)C，并通過(guò)Client Hello發(fā)給服務(wù)端；
B. 服務(wù)端產(chǎn)生隨機(jī)數(shù)S，并通過(guò)Server Hello發(fā)給客戶(hù)端；
C. 客戶(hù)端生成預(yù)主密鑰（Pre-master secret），通過(guò)Client Key Exchange發(fā)給服務(wù)端；
D. 客戶(hù)端和服務(wù)端通過(guò)隨機(jī)數(shù)C、隨機(jī)數(shù)S和Pre-master secret，按照某種算法生成master secret（主密鑰），并推導(dǎo)出hash secret和session secret。

（2）進(jìn)一步，如何對(duì)應(yīng)用層（以HTTP為例）報(bào)文進(jìn)行加解密呢？

A. 客戶(hù)端使用協(xié)商好的對(duì)稱(chēng)加密算法加密HTTP報(bào)文，密鑰為hash secret，生成報(bào)文摘要C（Message Authentication Code），然后再使用密鑰session-secret加密HTTP報(bào)文和報(bào)文摘要C。
B. 服務(wù)端先使用session-secret解密，得到HTTP報(bào)文和報(bào)文摘要C，使用hash secret得到報(bào)文摘要