解密TLS协议全记录之Openssl的使用与Nginx Server的配置

最新推荐文章于 2025-09-13 11:50:14 发布
原创 最新推荐文章于 2025-09-13 11:50:14 发布 · 5.5k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何使用Openssl支持TLS1.3协议,包括Openssl和Nginx的编译安装,以及如何配置Nginx服务器支持HTTPS,涵盖证书生成、加密文件和服务器配置。

引言

  • Openssl是TLS协议进行报文加密,安全通讯而用到的开源代码包,代码主要由C语言编写,我个人也只看了其中一部分代码,当作工具使用,没有深入分析。
    其维基百科的链接:https://zh.wikipedia.org/zh-cn/OpenSSL
    openssl的官网wiki链接:https://wiki.openssl.org/index.php/Enc#Cipher_alogorithms
  • Nginx是一款面向性能设计的HTTP服务器,相较于Apache、lighttpd具有占有内存少,稳定性高等优势。与旧版本(≤ 2.2)的Apache不同,Nginx不采用每客户机一线程的设计模型,而是充分使用异步逻辑从而削减了上下文调度开销,所以并发服务能力更强,其中也有利用到openssl的代码进行安全通讯。

安装与使用

需要注意的是,接下来的编译,安装都将支持TLS1.3协议,由于TLS1.3目前还未完全成熟,因此需要我们进行额外的编译操作来使系统支持。

1. openssl

1.1 openssl 编译与安装

1.1.1 编译安装openssl 1.1.1版本, 来支持TLS1.3协议。
  • openssl的源码链接:https://www.openssl.org/source/, 选择 Openssl 1.1.1版本,目前这个版本支持最新的TLS1.3协议草案。
    编译安装指令:
#查看openssl的版本信息
pi@raspberrypi:~ $ openssl version
OpenSSL 1.0.1t  3 May 2016
# 卸载系统自带的openssl,避免链接冲突问题。
sudo apt-get remove openssl
wget  https://www.openssl.org/source/openssl-1.1.1g.tar.gz
tar -xf openssl-1.1.1g.tar.gz
cd openssl-1.1.1g
./Configure # 在需要确定编译器环境的时候,请执行./config, 参阅Q&A
make
make install

查看openssl的最新版本信息, 查看openssl支持的加密套件,并确定是否支持 TLS1.3协议

pi@raspberrypi:/usr/local $ openssl version
OpenSSL 1.1.1g  21 Apr 2020
pi@raspberrypi:/usr/local $ openssl ciphers -V
          0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
          0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
          0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
          0xC0,0x2C - ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
          0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA

对以上的输出做一下说明:

Kx 表示密钥交换的加密算法(需要结合wireshark以及TLS协议进行流程分析,在TLS1.2中,主要是指RSA和DH密钥交换算法, 根据rfc5246中的描述,Kx等于any时,表示匿名密钥交换算法, 一般通过Diffie-Hellman来实现密钥交换。
Au表示身份认证算法,Enc表示通信数据的加密算法, Mac表示消息验证算法(计算消息摘要的算法)。

通过openssl 测试网站是否支持 TLS1.3 协议

openssl s_client -connect www.nike.com:443 -tls1_3
1.1.2 总结Q&A
Q: 使用./configure 配置编译环境所使用的Makefile的时候,出现以下警告,此时会提醒 需要选择和系统适配的编译器.

Notice: Configure脚本是用来生成Makefile的脚本,用于确定系统,编译器, 编译安装目录等等编译环境,便于适应多环境和平台, 类似CMake,其目的就是 用来构建工程项目框架,通过./Configure --help可以查看相关帮助信息。
报错的Log如下:

pi@raspberrypi:~/pkg_compile/openssl-1.1.1g $ ./Configure
Usage: Configure [no- …] [enable- …] [-Dxxx] [-lxxx] [-Lxxx] [-fxxx] [-Kxxx] [no-hw-xxx|no-hw] [[no-]threads] [[no[no-]zlib|zlib-dynamic] [no-asm] [no-egd] [sctp] [386] [–prefix=DIR] [–openssldir=OPENSSLDIR] [–with-xxx[=vvv]] [–config=FILE] os/lags]
pick os/compiler from:
BS2000-OSD BSD-generic32 BSD-generic64
NOTE: If in doubt, on Unix-ish systems use ‘./config’,

A: 解决办法,可以通过
./Configure CC=编译器绝对路径来选择编译器,
也可以直接执行 ./config 脚本, 该脚本会帮忙确定当前系统的编译环境,然后执行./Configure脚本。

pi@raspberrypi:~/pkg_compile/openssl-1.1.1g $ ./config
Operating system: armv7l-whatever-linux2
Configuring OpenSSL version 1.1.1g (0x1010107fL) for linux-armv4
Using os-specific seed configuration
Creating configdata.pm
Creating Makefile

Q:执行openssl的时候,出现openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory

A: 在标准的lib库路径找不到库,需要执行

最低0.47元/天 解锁文章
【linux系统无root安装openssl(1.1.1版本)】
weixin_44502754的博客
03-07 2404
安装完 OpenSSL 后,通过设置 LD_LIBRARY_PATH 环境变量来告诉系统在哪里找到 OpenSSL 库文件。linux系统无root安装cmake过程中openssl报错,但已经安装了openssl,可能是没有权限导致的,我们可以自己再自定义安装一个openssl。这时候openssl已经解压在home/个人目录下面,因为是公共服务器,我们需要安装在自己文件下面,首先在个人目录下面创建一个文件用来安装openssl。解压后进入解压cd进入解压文件路径。解压 OpenSSL 源代码文件。
编译OpenSSL(ubuntu+openssl1.1.1)
aggs1990的专栏
03-28 964
笔者已经编译过多次openssl库了,之前一起没记录编译过程,本次简单记录下编译过程当前(今天是2025.03.28)openssl1.1.1库已经有点过时了,但很多旧库仍然使用,为了测试通用性,笔者测试的了ubuntu18.04、ubuntu20.04、ubuntu24.04,也遇到了一些问题,在此记录下,供有需要的小伙伴参考。
基于openssl 自行签发https 协议证书 openssl+nginx实现https自签有效加密实战记录
03-30
基于openssl 自行签发https 协议证书 openssl+nginx实现https自签有效加密实战记录
使用 OpenSSLNginx 配置自签名证书以启用 HTTPS
lileiit的博客
07-30 327
原因:服务器做测试http协议无法打开摄像头麦克风解决:使用自签名证书,升级协议为https。
OpenSSL 1.1.1t 安全通信库安装指南
最新发布
weixin_33375360的博客
09-13 988
OpenSSL 是一个开源的加密库工具集,广泛用于实现安全的网络通信。它最初基于 SSLeay 库开发,并于 1998 年正式发布。OpenSSL 实现了 SSL 和 TLS 协议,支持多种加密算法,包括对称加密(如 AES)、非对称加密(如 RSA)和哈希算法(如 SHA)。其核心功能涵盖密钥生成、证书管理、数据加密解密、以及安全协议通信等。OpenSSL 不仅是 HTTPS 协议的基础组件,还被大量用于服务器安全通信、API 接口加密、以及物联网设备的身份认证。
win10系统下使用vs2019编译openssl_1.1.1g版本
qq_20561101的博客
06-02 767
1.需要先下载 openssl https://www.openssl.org/source/ Perl: 64 位版本http://strawberryperl.com/download/5.28.1.1/strawberry-perl-5.28.1.1-64bit.msi 32位版本http://strawberryperl.com/download/5.28.1.1/strawberry-perl-5.28.1.1-32bit.msi nasm 32位版本https://www.nasm.us/pub
openssl编写SSL,TLS程序
太郎之石的专栏
04-18 3058
openssl编写SSL,TLS程序发布日期:2002-09-19文章内容:--------------------------------------------------------------------------------作者:yawl(yawl@nsfocus.com)日期:2000-08-15一:简介:SSL(Secure Socket Layer)是netscape公司提出的
OpenSSL进行TLS_SSL编程
05-29
OpenSSL进行TLS_SSL编程
解密TLS协议全记录之利用wireshark解密
热门推荐
walleva96的博客
07-17 5万+
引言 为什么会突然有使用wireshark学习TLS的想法,主要是为了在nike官网抢限量球鞋,但是发现路子好像走歪了,唯一的价值好像就是多了这么一篇博客,查阅了很多有根据,没根据的博客内容,总结出这篇自以为还算全面,结实的文章。如有问题,欢迎讨论交流。 学习网络协议之前,必须先找对最基本的协议学习网站, rfc协议官网 https://www.rfc-editor.org ietf协议官网 https://www.ietf.org/ 这个网站我经常搜索不出比较理想的文件,标题不直观,杂七杂八的会议记录
精选资源
Wireshark 解密TLS
02-08
Wireshark 解密TLS Wireshark 是一个功能强大且广泛使用的网络协议分析工具,它可以捕获和分析各种网络协议的数据包,包括 TLS 协议TLS(Transport Layer Security)是一种安全协议,用于保护网络通信的安全性。...
nginx1.26.3并附带openssl.pcre,zlib包
04-23
为了支持HTTPS连接,Nginx需要SSL/TLS库配合使用,而OpenSSL就是这样的一个库。OpenSSL是一个开源的软件库包,用于处理加密的密码学工具和协议,特别是SSL协议TLS协议。它提供了安全通信的功能,可以用于加密和...
openssltls 命令和相关使用心得
吴东方的博客
12-28 3638
声明:本文基于 openssl 1.1.1f 版本 服务端: Usage: s_server [options] Valid options are: -help Display this summary -port +int TCP/IP port to listen on for connections (default is 4433) -accept val TCP/IP option...
基于OpenSSL的SSL TLS加密套件全解析_openssl使用进行tls测试
2401_84140060的博客
04-06 2319
SSL/TLS握手时,客户端服务端协商加密套件是很重要的一个步骤,协商出加密套件后才能继续完成后续的握手和加密通信。而现在SSL/TLS协议通信的实现,基本都是通过OpenSSL开源库,本文章就主要介绍下加密套件的含义以及如何在OpenSSL中指定加密套件。SSL/TLS协议的加密套件是定义了在一次连接中所使用的各种加密算法的组合。它包括以下几个主要部分密钥交换算法:用于协商会话密钥,如RSA、DH、ECDH等。对称加密算法:用于实际数据传输的加解密,例如AES、3DES等。
openssl TLS 单向认证
wc_12345654321的博客
08-22 1342
执行 TLS/SSL 握手”涉及一系列复杂的消息交换和加密操作,以确保双方能够在一个安全的、加密的通道上进行通信。在握手期间,双方会验证彼此的身份,协商加密方式,并生成用于加密通信的对称密钥。服务器:SSL_accept(ssl):服务器通过此函数接受客户端的握手请求,并返回服务器的证书和其他必要信息,最终完成握手。发送服务器问候消息(ServerHello):服务器将选定的加密套件、自己的随机数、证书等信息发送给客户端。发送证书:服务器会将自己的公钥证书发送给客户端,以便客户端验证服务器的身份。
OpenSSL编写SSL,TLS程序
bytxl的专栏
12-08 5542
http://zhoulifa.bokee.com/6134045.html http://blog.sina.com.cn/s/blog_86ca13bb0100vaph.html http://blog.chinaunix.net/uid-26575352-id-3048856.html 一、简介: SSL(SecureSocket Layer)是netscape公司提出的
OpenSSL:适用TLSSSL协议的全功能工具包,通用加密库
小小的进步
07-04 1024
OpenSSL:适用TLSSSL协议的全功能工具包,通用加密库
SSL TLS openssl 详解
yunxiaobaobei的博客
04-04 4499
首先我们来看下他们之间的关系。SSL(Secure Socket Layer)安全套接层是Netscape公司率先采用的网络安全协议TLS(Transport Layer Security)传输层安全性协议也是一种忘网络安全协议,他是基于SSL开发的。可以看作是SSL的升级版。openssl是一个是一个开发源代码的软件库包,其主要库是以C语言所写成,他实现了SSL和TLS协议。libssl是 TLSv1.3 (RFC 8446) 之前所有 TLS 协议版本的实现。libCrypto
openSSL实现TLS双向认证
新时代农民工
07-26 1810
TLS(传输层安全性)双向认证,也称为客户端认证或互相认证,是一种网络安全协议的扩展,用于建立在传输层上的安全连接。传统的TLS认证只需要服务器验证客户端的身份,而双向认证则要求客户端也验证服务器的身份。在TLS双向认证中,客户端和服务器都必须拥有数字证书。数字证书由可信的第三方证书颁发机构(CA)签发,用于证明实体(如服务器)的身份。以下是TLS双向认证的基本步骤:1. 服务器配置:服务器需要配置受信任的数字证书,该证书由CA签发。配置包括私钥和公钥。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值