包含腾讯云tls的词条

本文目录一览：

• 1、https交互过程
• 2、SSL证书怎么安装
• 3、企业ERP及应用软件几种常见的部署方式
• 4、微信小程序要求HTTPS加密，如何选择SSL证书
• 5、腾讯task是什么配置

https交互过程

在这里整理一下最近这两天整理的https的相关知识。

大家都知道要使用https，需要在网站的服务器上配置https证书（一般是nginx，或者tomcat），证书可以使用自己生成，也可以向专门的https证书提供商进行购买。这两种的区别是自己生成的证书是不被浏览器信任的,所以当访问的时候回提示不安全的网站，需要点击信任之后才能继续访问

自己生成的

而购买的https证书会提示安全

DV,OV

EV

这是因为浏览器中预置了一些https证书提供商的证书，在浏览器获取到服务器的https证书进行验证的时候就知道这个https证书是可信的；而自己生成的证书，浏览器获取到之后无法进行验证是否可信，所以就给出不安全的提示。

下面对具体的一些知识点进行介绍

1. 什么是https

https简单的说就是安全版的http，因为http协议的数据都是明文进行传输的，所以对于一些敏感信息的传输就很不安全，为了安全传输敏感数据，网景公司设计了SSL（Secure Socket Layer），在http的基础上添加了一个安全传输层，对所有的数据都加密后再进行传输，客户端和服务器端收到加密数据后按照之前约定好的秘钥解密。

2. 加密和解密

Https的发展和密码学的发展是分不开的。大家应该知道加密方式可以大体分为对称加密和非对称加密（反正我就知道这两种）

对称加密，就是加密和解密都是用同一个秘钥，这种方式优点就是速度快，缺点就是在管理和分配秘钥的时候不安全。

非对称加密算法，非对称加密有一个秘钥对，叫做公钥和私钥，私钥自己持有，公钥可以公开的发送给使用的人。使用公钥进行加密的信息，只有和其配对的私钥可以解开。目前常见的非对称加密算法是RSA，非对称的加密算法的优点是安全，因为他不需要把私钥暴露出去。

在正式的使用场景中一般都是对称加密和非对称加密结合使用，使用非对称加密完成秘钥的传递，然后使用对称秘钥进行数据加密和解密

3. https证书的申请流程

1 在服务器上生成CSR文件（证书申请文件，内容包括证书公钥、使用的Hash算法、申请的域名、公司名称、职位等信息）

可以使用命令在服务器上生成；也可以使用线上的工具进行生成，线上的工具会把公钥加入到CSR文件中，并同时生成私钥。

CSR文件内容

2 把CSR文件和其他可能的证件上传到CA认证机构，CA机构收到证书申请之后，使用申请中的Hash算法，对部分内容进行摘要，然后使用CA机构自己的私钥对这段摘要信息进行签名，

CA机构进行签名

3 然后CA机构把签名过的证书通过邮件形式发送到申请者手中。

4 申请者收到证书之后部署到自己的web服务器中。下面会在写一篇关于部署的文章

当然这是不通过CA代理机构进行申请的流程，现在网上有好多CA的代理机构，像腾讯云，阿里云都可以申请https证书，流程都差不多。

阿里云申请证书流程

4. 客户端（浏览器）和服务器端交互流程

客户端服务端交互

client Hello,客户端（通常是浏览器）先向服务器发出加密通信的请求

（1） 支持的协议版本，比如TLS 1.0版。

（2） 一个客户端生成的随机数 random1，稍后用于生成"对话密钥"。

（3） 支持的加密方法，比如RSA公钥加密。

（4） 支持的压缩方法。

服务器收到请求,然后响应 (server Hello)

（1） 确认使用的加密通信协议版本，比如TLS 1.0版本。如果浏览器与服务器支持的版本不一致，服务器关闭加密通信。

（2） 一个服务器生成的随机数random2，稍后用于生成"对话密钥"。

（3） 确认使用的加密方法，比如RSA公钥加密。

（4） 服务器证书。

证书内容

证书内容

客户端收到证书之后会首先会进行验证

验证流程

我们知道CA机构在签发证书的时候，都会使用自己的私钥对证书进行签名

证书里的签名算法字段 sha256RSA 表示，CA机构使用sha256对证书进行摘要，然后使用RSA算法对摘要进行私钥签名，而我们也知道RSA算法中，使用私钥签名之后，只有公钥才能进行验签。

如果我们使用的是购买的证书，那么很有可能，颁发这个证书的CA机构的公钥已经预置在操作系统中。这样浏览器就可以使用CA机构的公钥对服务器的证书进行验签。确定这个证书是不是由正规的CA机构颁发的。验签之后得到CA机构使用sha256得到的证书摘要，然后客户端再使用sha256对证书内容进行一次摘要，如果得到的值和验签之后得到的摘要值相同，则表示证书没有被修改过。

如果验证通过，就会显示上面的安全字样，如果服务器购买的证书是更高级的EV类型，就会显示出购买证书的时候提供的企业名称。如果没有验证通过，就会显示不安全的提示。

生成随机数

验证通过之后，客户端会生成一个随机数pre-master secret，然后使用证书中的公钥进行加密，然后传递给服务器端

PreMaster secret

PreMaster Secret是在客户端使用RSA或者Diffie-Hellman等加密算法生成的。它将用来跟服务端和客户端在Hello阶段产生的随机数结合在一起生成 Master Secret。在客户端使用服务端的公钥对PreMaster Secret进行加密之后传送给服务端，服务端将使用私钥进行解密得到PreMaster secret。也就是说服务端和客户端都有一份相同的PreMaster secret和随机数。

PreMaster secret前两个字节是TLS的版本号，这是一个比较重要的用来核对握手数据的版本号，因为在Client Hello阶段，客户端会发送一份加密套件列表和当前支持的SSL/TLS的版本号给服务端，而且是使用明文传送的，如果握手的数据包被破解之后，攻击者很有可能串改数据包，选择一个安全性较低的加密套件和版本给服务端，从而对数据进行破解。所以，服务端需要对密文中解密出来对的PreMaster版本号跟之前Client Hello阶段的版本号进行对比，如果版本号变低，则说明被串改，则立即停止发送任何消息。

pre-master secret

服务器收到使用公钥加密的内容，在服务器端使用私钥解密之后获得随机数pre-master secret，然后根据radom1、radom2、pre-master secret通过一定的算法得出session Key和MAC算法秘钥，作为后面交互过程中使用对称秘钥。同时客户端也会使用radom1、radom2、pre-master secret，和同样的算法生成session Key和MAC算法的秘钥。

生成session Key的过程中会用到PRF(Pseudorandom Function伪随机方法)来生成一个key_block,然后再使用key_block,生成后面使用的秘钥。

key_block = PRF(SecurityParameters.master_secret,"key expansion",SecurityParameters.server_random +SecurityParameters.client_random);

PRF是在规范中约定的伪随机函数

在信息交互过程中用到的秘钥有6个分别是。客户端和服务器端分别使用相同的算法生成。

秘钥名称秘钥作用

client_write_MAC_key[SecurityParameters.mac_key_length]客户端发送数据使用的摘要MAC算法

server_write_MAC_key[SecurityParameters.mac_key_length]服务端发送数据使用摘要MAC算法

client_write_key[SecurityParameters.enc_key_length]客户端数据加密，服务端解密

server_write_key[SecurityParameters.enc_key_length]服务端加密，客户端解密

client_write_IV[SecurityParameters.fixed_iv_length]初始化向量，运用于分组对称加密

server_write_IV[SecurityParameters.fixed_iv_length]初始化向量，运用于分组对称加密

然后再后续的交互中就使用session Key和MAC算法的秘钥对传输的内容进行加密和解密。

具体的步骤是先使用MAC秘钥对内容进行摘要，然后把摘要放在内容的后面使用sessionKey再进行加密。对于客户端发送的数据，服务器端收到之后，需要先使用client_write_key进行解密，然后使用client_write_MAC_key对数据完整性进行验证。服务器端发送的数据，客户端会使用server_write_key和server_write_MAC_key进行相同的操作。

链接：

SSL证书怎么安装

您好！

安装SSL证书主要将SSL证书配置到服务器环境。安装教程：网页链接

目前全球服务器环境主要分为4个类型：Apache、IIS、Nginx、Tomcat

企业ERP及应用软件几种常见的部署方式

随着云计算、软件技术的发展，部署方式也越来越多样化，众多厂商的ERP软件可以支持本地部署、公有云、私有云、混合部署及SAAS等多种方式。总体上从网络架构划分可分为局域网部署模式、广域网部署模式；从计算资源提供模式上划分，可分为传统模式、云计算模式等。

下面具体介绍几种常见的部署方式。

一、企业局域网+自建服务器

集中办公的企业，可以采用这种方式部署。

这种方式的方便管理，稳定性、安全性相对较高。缺点是需要自建机房环境，需要有自己的运维人员，运维成本高。

二、企业自建服务器+VPN方式

如果办公地点分布在多个地方，企业有多个分支机构的情况下，可以采用这种方式，把服务器放在总部，各个分支机构采用VPN方式与总部服务器连接。

这种方式的稳定性和安全性相对较好，但需要投入VPN的成本。

三、企业局域网+自建服务器+公网固定IP

自建服务器放在本企业局域网，同时有公网固定IP地址。对于规模较大的企业，采用光纤接入，拥有固定IP地址，可以采用这种方式。

适用场景：有较多员工经常需要在外办公、而且办公地点不固定，就需要把服务器部署在外网IP。

优点便于管理，稳定性较好，但是有固定IP地址网络接入方式成本较高。

四、企业局域网+自建服务器+无公网固定IP

企业自己有服务器并且放在本企业机房，但没有固定IP地址。

此时可以用花生壳等解析方式。如本企业的域名是，那么只要保证解析后能用这个域名访问服务器，就可以用:（端口号）访问应用系统。

这种方式网络成本较低，但是网络稳定性不如有固定IP的接入方式。

五、自购服务器+IDC机房托管

企业把自己的服务器托管到电信运营商的机房中，电信运营商会提供固定的IP地址和带宽。

这种方式可以得到固定的IP地址和一定的带宽，且成本不高，如果服务器放在本企业的话，每年的电费也是不少的开支。这种托管的机房一般电源、网络都比较可靠。用户采用远程管理的方式，对系统进行维护。随着云计算技术发展和普及，这种服务器托管模式会越来越少。

六、租用云主机模式

云计算是近几年出现的一种新型计算模式，它的计算能力和处理数据的能力极大的满足了当今企业的需求，并且能够节约存储和计算数据的成本，为企业在硬件方面节省了大量的投资。很多网络服务商都提供虚拟主机或云主机租赁服务。现在云主机性能越来越好，价格也越来越低，以后会是一种比较好的方式。优点是成本低，使用方便，管理容易，各方面的性能也比较好。

在国内，常见的公有云服务商有电信的天翼云、腾讯云、阿里云、沃云、华为云等。他们向众多互联网平台、软件厂商、服务提供商提供了强大而安全的云服务。余额宝背后的天弘基金，是阿里云的深度用户。我们日常使用的QQ、微信、支付宝、财付通，这些都是公有云架构下的服务器提供的服务。搜狐、土豆、PPTV等都是“天翼云”的用户。

事实上，公有云为了保证安全可靠性、稳定性，其整个服务器、存储都是比普通私有云安全性更强。而这些在逻辑上相互分离的服务器会被提供商的基础设施严格的管理，并配合一些诸如防DDos攻击、负载均衡、热备切换、数据备份、TLS安全通道、SASL身份验证、高位非对称加密等多种软硬件安全策略。同时，公有云除了本身的架构设计和安全手段要高于我们传统概念中的私有云，它还具备开放性、可迭代的特性。在这个以开放和快为主调的移动互联网时代，这种优势是私有云服务完全不具备的。

用户需要根据本企业的具体情况，确定适合本企业的软件系统部署方式。

微信小程序要求HTTPS加密，如何选择SSL证书

如何选择SSL证书？

1、确定网站类型

绿色地址栏选超安：金融证券、银行、第三方支付、网上商城等，重点强调网站安全和品牌可信形象的网站，涉及交易支付、客户隐私信息和账号密码的传输，使用显示绿色地址栏的超安EV SSL证书，安全可信一目了然。

验证企业选超真：电子商务网站、企业网站，涉及注册、登录、会员中心等页面，一定要使用超真OV SSL证书，支持显示中文单位名称和中文域名，利于品牌推广，更容易赢得客户信赖。

验证域名选超快：需求急迫、无网站身份认证需求的个人网站，可采用超快DV SSL证书，只用于网站传输加密，10分快速签发。

2、确定域名数量及类型

SSL证书是绑定域名的，一般情况下一个域名对应一张SSL证书，只有通配型证书和多域型证书才支持多个域名。

单域型：您只有单个域名需要使用SSL证书，可选择任意一款沃通SSL证书，购买domain.com，支持，反之亦然。

多域型：多域型SSL证书支持任何域名。您有多个顶级域名完全不同的域名需要使用SSL证书（如：domain.com、ABC.com、123.com）请选择支持多域名的SSL证书类型，沃通SSL证书产品都支持多域名，最多支持250个域名。

通配型：通配型证书只支持*.domain.com通配符子域名。您有多个顶级域名相同的子域名需要使用SSL证书，（如：A.domain.com、B.domain.com、C.domain.com等通配符域名），请选择支持通配域名的SSL证书，沃通超真OV SSL证书支持通配域名，不限制子域名数量。

万能型：万能型SSL证书支持多域名和通配域名混合。既有多域型域名也有通配型域名需要使用SSL证书（如：A.domain.com、B.domain.com、ABC.com、123.com），请选择支持万能型域名的SSL证书，沃通超真OV SSL证书支持万能型域名。

为了保护小程序应用安全，微信官方的需求文档要求，每个微信小程序必须事先设置一个通讯域名，并通过HTTPS请求进行网络通信，不满足条件的域名和协议无法请求。因此开发者应先准备好配置好HTTPS证书的域名，还没有配置HTTPS要赶紧升级。

SSL证书申请推荐：网页链接

腾讯task是什么配置

TencentOS tiny 是腾讯面向物联网领域开发的实时操作系统，具有低功耗，低资源占用，模块化，安全可靠等特点，可有效提升物联网终端产品开发效率。TencentOS tiny 提供精简的 RTOS 内核，内核组件可裁剪可配置，可快速移植到多种主流 MCU (如 STM32 全系列)及模组芯片上。而且，基于 RTOS 内核提供了丰富的物联网组件，内部集成主流物联网协议栈（如 CoAP/MQTT/TLS/DTLS/LoRaWAN/NB-IoT 等），可助力物联网终端设备及业务快速接入腾讯云物联网平台。

腾讯云tls的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于、腾讯云tls的信息别忘了在维启网络进行查找喔。