Https协议架构组成

• 身份认证，认证用户或服务器，确保数据 发送到正确的客户机或服务器
• 内容加密，加密数据以防止数据中途被窃取，防止被窃取。
• 数据完整性，维护数据的完整性，确保数 据在传输过程中不被篡改

 兼容不只是用在http上面。也包括ftp ，mqtt协议呀，redis协议等等。

Https如何保证数据传输安全

SSL/TLS的握手过程—秘钥协商

• 在请求连接时，支持的协议版本，支持的加密和压缩算法，并产生随机数，给服务端；
• 服务端确定要加密协议版本和加密算法，服务器的证书，产生随机数 ，返回给客户端 生成私钥
• 公钥加密后的随机数 编码改变 握手结束 
• 编码改变通知 ，三个随机数产生的密钥
• 对称加密进行数据传输 

SSL证书

CA和数字证书

• 证书颁发的机构是伪造的：浏览器不认识，直接认为是危险证书 证书颁发的机构是确实存在的，于是根据CA名，找到对应内置的CA根证 书、CA的公钥。用CA的公钥，对伪造的证书的摘要进行解密，发现解不了，认为是危险证书。
• 对于篡改的证书，使用CA的公钥对数字签名进行解密得到摘要A，然后 再根据签名的Hash算法计算出证书的摘要B，对比A与B，若相等则正常， 若不相等则是被篡改过的。
• 证书可在其过期前被吊销，通常情况是该证书的私钥已经失密。较新的 浏览器如Chrome、Firefox、opera和internet Explorer都实现了在线 证书状态协议（OCSP）以排除这种情形：浏览器将网站提供的证书的序列号通过OCSP发送给证书颁发机构，后者会告诉浏览器证书是否还是有效的。

1、2点是对伪造证书进行的，3是对于篡改后的证书验证，4是对于过期失效的验证。 

准备工具

安装keytool（jdk自带）、openssl、nginx、web服务

有两种方法生成数字证书，一种是用JDK带的keytool，另一种是用Openssl。

大致流程为上面的。

 Nginx中配置HTTPS

找到nginx运行的配置文件，将服务器证书servercert.pem、钥serverkey.pem、ca根证书cACERt.pem放到配置目录下，修改内容如下

http {
    # 配置https服务
    server {
        # 开启443端口，ssl安全协议
        listen       443 ssl;
        server_name  localhost;

        # 配置证书及服务器私钥
        ssl_certificate      servercert.pem;
        ssl_certificate_key  serverkey.pem;
    	
    	
        ssl_client_certificate  cacert.pem;	# 根级证书公钥，用于验证各个二级client
    	ssl_verify_client on;	#开启客户端证书验证

        # 会话参数的缓存,所有工作进程之间共享的缓存
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        # 启用的密码
        ssl_ciphers  ECDHE-RSA-AES128-GCM-sHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
        # SSLv3和TLS协议时,服务器密码优先于客户端密码
        ssl_prefer_server_ciphers  on;

        location / {
            root   /data/www/;
            index  welcome.htML;
        }
    }
}

Nginx https 双向认证 - i野老i - 博客园 (cnblogs.COM)

这在官方核心文档中就有配置方式 

Https服务的优化

• 1. 将工作进程的数量设置为等于处理器的数目，worker_processes
• 2. 启用维持生命的连接，keepalive_timeout
• 3. 启用共享会话缓存，禁用内置会话缓存，ssl_session_cache shared:SSL:10m; off，禁用、 none，客户端可重用服务端不缓存builtin，在openssl中重构缓存，`builtin`[:`size`] shared，在worker进程间共享的缓存，`shared`:`name`:`size`
• 4. 增加会话生存期(默认为5分钟)，ssl_session_timeout