文章目录
WEB结构组件: 客户端 服务器 代理 缓存 网关 隧道 Agent代理
- client:
- server:
- prox: 客户端和服务器之间的HTTP中间实体
位于客户端和服务器之间,接收所有客户端的HTTP请求,并将这些请求转发给服务器(可能会对请求进行修改之后转发) - cache: HTTP的仓库,使常用页面的副本可以保存在离客户端更近的地方
- gateway: 连接其他应用程序的特殊Web服务器
作为其他服务器的中间实体使用。通常用于将HTTP流量转换成其他的协议 - tunnel: 对HTTP通信报文进行 盲转发的特殊代理
通常用来在一条或多条HTTP连接上转发非HTTP数据,转发时不会窥探数据 - Agent: 发起 自动HTTP请求的半智能Web客户端
https: http+SSL/TLS
https报文在被包装成tcp报文的时候完成加密的过程,无论是https的header域也好,body域也罢都是会被加密的。当使用tcpdump或者wireshark之类的tcp层工具抓包,获取是加密的内容,而如果用应用层抓包,使用Charels(Mac)、Fildder(Windows)抓包工具,那当然看到是明文的。
https 握手
-
客户端发起HTTPS请求
-
服务端的配置
采用HTTPS协议的服务器必须要有一套数字证书,可以是自己制作或者CA证书。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用CA证书则不会弹出提示页面。这套证书其实就是一对公钥和私钥。公钥给别人加密使用,私钥给自己解密使用。
-
传送证书即公钥
这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等。
-
客户端解析证书
这部分工作是客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就 生成一个随机值(私钥),然后用证书对该随机值进行加密。
-
传送加密后的随机值
这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后 客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
-
服务段解密信息
服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后 把内容通过该值进行对称加密。所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。
-
传输加密后的信息
这部分信息是服务段用私钥加密后的信息,可以在客户端被还原。
-
客户端解密信息
客户端用之前生成的私钥解密服务段传过来的信息,于是获取了解密后的内容。
SNI: Server Name Indication
ref: https://blog.csdn.net/makenothing/article/details/53292335
SNI (Server Name Indication)是用来改善服务器与客户端 SSL (Secure Socket Layer)和 TLS (Transport Layer Security) 的一个扩展。主要解决一台服务器只能使用一个证书(一个域名)的缺点,随着服务器对虚拟主机的支持,一个服务器上可以为多个域名提供服务,因此SNI必须得到支持才能满足需求。
SNI的设计目的是为了让服务器根据请求来决定为哪个域服务,这个信息通常从HTTP请求头获得。
有了 SNI 扩展,在第一步发起 HTTPS 连接的时候,客户端将会发送对应的域名给服务器的 443 端口。服务器收到之后检查对应域名的证书返回给客户端完成支持。
主机壳http调度
在标准 Nginx 中,都是通过配置文件的方式实现的证书载入和更新。但是作为 CDN 厂商我们是无法容忍 reload 的。因此我们二次开发 Nginx 完成动态证书支持,将 证书和私钥全部存放到 CDN 节点的内存中,当用户请求 Hostker&主机壳 的 CDN 时,我们不需要查询配置文件,直接读取域名并在内存中找到对应的证书和私钥完成握手过程。
用户对某个域名进行增加、删除证书和私钥操作时,我们会直接把对应操作下发到全网 CDN 节点,直接操作内存进行修改。同样不需要接触 Nginx 的配置文件,节省的 reload 过程可以让操作生效时间非常短,通常在 1 分钟内就可以完成全网部署。