1 常用术语

1.1 HTTPS

HTTPS = HTTP + TLS/SSL

1.2 TLS/SSL

SSL：Secure Sockers Layer安全套接层
TLS：标准化之后的SSL

1.3 TLS

提供隐私和数据两个通信实体之前的完整性。由两层组成：TLS记录协议TLS Record和TLS握手协议TLS Handshake。

1.4 单向认证 vs 双向认证

SSL的核心在于提供安全可信的通讯。实际应用中通常有单向认证和双向认证两种实现方式。

1.4.1 SSL单向认证

1 客户端：发送客户端SSL版本信息等
2 服务端：返回SSL版本信息等及服务器公钥
3 客户端：校验证书是否合法验证证书是否过期、CA是否可靠等
4 客户端：发送对称加密方案给服务端
5 服务端：选择加密方式
6 服务端：将加密方案明文发送给客户端
7 客户端：产生随机码生成对称加密密钥使用服务端公钥加密发送服务端
8 服务端：使用私钥解密获得对称加密密钥
9 握手结束对称加密安全通信

1.4.2 SSL双向认证

1 客户端：发送客户端SSL版本信息等
2 服务端：返回SSL版本信息等及服务器公钥
3 客户端：校验证书是否合法
4 客户端：将自己的证书和公钥发送至服务端
5 服务端：校验客户端证书获得客户端公钥
6 客户端：发送对接加密方案给服务端
7 服务端：选择加密方式
8 服务端：将加密方案使用客户端公钥加密后发送给客户端
9 客户端：使用私钥解密获得加密方式产生随机码生成对称加密密钥使用服务端公钥加密后发送给服务端
10 服务端：使用私钥解密获得对称加密密钥
11 握手结束对称加密安全通信

1.5 SSL构建

1.5.1 私钥

私钥默认格式为pkcs1一个简化的私钥生成命令：

openssl genrsa -out private.pem 3072

java对私钥格式有要求需要转换为pkcs8格式转换命令：

openssl pkcs8 -topk8 -inform PEM -in private.pem -outform PEM -nocrypt -out private-pkcs8.pem

如何将pkcs8格式证书还原成pkcs1格式？

openssl rsa -in private-pkcs8.pem -out pkcs1.pem

1.5.2 CA

认证中心第三方认证提供方为证书提供可靠性认证开发过程中一般使用自签发证书进行测试再使用正式签发的证书
CA在使用时主要是使用ca证书ca证书由ca key签发而来。