2安全基础-4TLS和HTTS的工作原理原创

啊，那刚刚呢，我们给大家讲了证书的工作原理啊，包括这个C的一套体系，那将来工作中证书怎么用呢？这个证书应用最广泛的就是我们的加密网站，刚才我们也给大家看了啊，就是现在目前来讲呢，基本上大的网站全都是加密的，大家可以看到这个地方它有个HPSS呢，就表示加密啊，当然个别的一些小网站它不加密啊，或者说觉得没有什么特别，呃必要的涉及不到特别安全的地方，他可可能不加密，原来马哥教育的网站也不加密，后来呃觉得还是加密一下比较好一点，所以马哥的网站现在也加密了，你还可以看到这有个小锁子hps了啊，啊，可以看一下他的证书是从哪。

啊获取的，大家看它的上级是这个。叫everywhere，然后这是它的证书的整个这个路径，这个路径最上面的跟是DJ这个这个证书。你开始也是一年有效期，一年有效期啊，之前一直没有加密，后来觉得还是加密一点比较正规啊，至少马哥也是做这个另运维的是吧，这个运维课程呢，你要不加密好像有点不专业似的啊，就给加密了一个，实际上无所谓，因为在这个网站上，它里面也没有涉及到你们交钱，没在这上面交钱吧。就是顶多聊聊天嘛，是吧，是不是痘痘跟你聊聊天，你好什么逗啊什么的啊，所以这个由于没有涉及到特别重要的一些这个。信息，所以加密不加密这都可以，但是你像淘宝啊，这肯定要加密，这里面是不是要涉及到你一些金钱的交易啊，包括呃下订单可能还涉及到一些隐私之类的。

对吧，那不然定了一个399的SPA，这里面你看这个费用发出去了，就被别人看到了，好像不知道你干嘛了啊，所以这个地方会涉及到一些这个安全啊保证，那像我们现在用的这个画图的这个软件，它也用的是加密hps啊，那当然我这个网站就没有加密，我这个加密就就没有你看不安全，你看只要你不加加密，咱们浏览器会自动的好心的给你加上不安全，所以大家应该明白，为什么那些网站都要加密了，你不加密写个不安全，是不是老百姓一看不安全不敢去了，那你像京东淘宝，你像普通人不懂技术的人一看不安全，哎呀，你这网站不安全，我还敢在这上面花钱吗？万一丢了呢，对吧，所以就不改了。

所以这个浏览器，现在Chrome浏览器，尤其是Chrome浏览器开始强迫你必须加密，你不加密他是家给你教写字的，告诉你不安全啊，当然有一些垄断网站，那就另外再说了，垄断网站你像最著名的国内的12306，人家这个网站相当长时间之内首页不加密，不过现在应该加密啊，就是很长时间一直被加密了，不过现在应该加密了，是com还是CN来着。C嘛，哎，现在也加密了，现在好赖这个服务提升了啊，以前一直没加密，一直没加密，首页他不加密，只有你这个下订单买东西的时候，呃，买这个这个火车票了，他才会给你加密啊，垄断嘛啊而且呢，还有一个问题就是即使你去呃这个用到的证书，这个证书呢，当初啊也不知道他咋想的，既然自己为了省钱，因为我们说了要申请证书要收费的，所以这个12306这个网站，既然自己为了省这笔钱，他搞了一个事，就是自己搭了个C，自建C，自己给自己颁发证书，那当然这就不花钱了，但是你自己搭的C浏览器信任他们不信任，不信任，所以一访问的话，他就会有一个安全提示，说此网站不安全，你是访问还是不访问，而胆小的人就不敢去了。

当了爱去不去呢，对不对，12306垄断了，你爱去不去呢，不去拉倒是不是？当然现在人家也改进了啊，人家也花钱了，用这种收费的证书了，看看他买的是哪家的证书，用的是D啊，DJ的四啊，这个还行啊，据说这个网站花了好几个亿呢。

这个网站，这个网站花了好多亿，结果就为了省这个证书钱，不知道咋想的，不过现在网站我觉得改版了，比以前好看多了，你不觉得是吗？以前那网站特别难看，现在风格上我觉得比以前强多了，这个字啊，感觉比以前好多了，据说是好像找了阿里的工程师帮忙的做了优化，要不他一到过年的时候，那个人多，那个网站就塌了啊，崩溃了。那据说这个难度还挺大是吧？哎，我觉得这个页面做的比以前好看多了，真是好长时间不去了，都赶上我的网站了，好，那下面呢，咱们来说说证书的这个用法啊，实际上这个证书呢，它可以用于各种场合，比方说C自己也需要证书，叫证书颁发机构自己的证书，那么C的机证书它从哪来呢？如果是下级C，那么你下级C的证书由上级C颁发，而最上面这个C谁颁发，那就只能自己颁发就自签名的证书，所以呢，大家可以看一下啊，刚才我们访问那个互联网的那个证书网站啊，比方说淘宝，淘宝的证书是由上级CA颁发，而上级CA的证书由上上级。

证书颁发，你看淘宝的证书由他来颁发，你看双击把它打开，把它打开以后，他的证书由谁由上级证书来颁发，当然你要再点上面他的证书谁来颁发，你看谁来颁发，颁发者和颁发给是不是都是同一个人，这就是最上面的C只能自己给自己颁发了，那叫自签名证书，当然跟C的证书的有效期是非常长的，大家看多长？

30年啊，会算数吧，20年，你看到二就是20年，明明是30年啊，你自己给自己颁发证书还不时间长一点，要我给颁发个100年，因为证书过期了，你的证书过期了，是不是你底下颁发的证书也都过期了，对不对，所以他的证书要颁发的时间长一点啊，说到这个证书啊，除了C的证书需要颁发，那当然我们各种服务器的软件应用也都需要证书，比方说你将来搭一个网站需要服务器证书。啊，如果你将来要涉及到用户来证明身份，比方说刚才我举了一个例子，就那个发邮件啊，那个法轮功，那个人利用邮件发那个就是属于用户证书。那是证明这个用户的信息的，呃，身份的啊，证明你的邮箱这个用户的叫用户证书，所以好多地方都需要证书，不管是哪种证书，目标就一个，就是证明你的公钥的真实性，证明你这个人的公钥的真实性，证明你的身份啊，就是它的作用，那申请证书怎么申请呢？如果你是C，而且你是跟C的话，就是最上面那个C，那你的证书就自己给自己颁发就好了，叫自签名。

那如果你是下级C或者是普通用户，那你就需要向上级C申请证书，怎么申请呢？第一步先生成证书申请。这个证书申请呢，需要填一些东西啊，比方说你的人的信息，包括你的国家，你在哪个省份，你在哪个城市，是哪个公司的啊，你是哪个部门的邮箱啊，什么什么都要给你填上。

这是证书申请，申证申请完了以后，把这个证书申请发给C以后，C经过审核以后，验证无误，你是真实的，他就给你颁发证书了，他会把证书生生成一个证书文件，然后这个证书文件你就可以拿过来在你的服务器里面去使用了。那其中证书的使用经常会配合我们这儿的有一个叫SSL协议来一块用。SSL呢？实际上它和TS是同一个东西，SSL是早期的名称，全名叫安全套接字层。呢叫传输层安全，这个技术是由1994年的网景公司研发出来的，网景公司非常有名，是世界上最早做浏览器的公司，当时他开发了一个浏览器。

商业的啊，最早的商业版浏览器，应该说他拿这个浏览器呢卖钱。啊，所以呢，可以说当时网景公司发了一笔横财。不过九五年来了以后，他发明了SL协议以后，他只是1.0版本，并没有真正的在。互联网上普遍使用，在九五年的时候，他发布了2.0，这个也是nek，不过九五年的时候发明之后，当时WINDOWS95也发布了啊，大家知道有一个WINDOWS95的版本，在WINDOWS95版本里面后来就集成了免费的IE。免费的版本有了，谁还用花钱的软件呀。所以网景公司。

在短短的很短时间之内，就被微软彻底打败了，公司就黄了，倒闭了，相当于啊，后来是卖了，把它卖了，被别的公司收购了，所以网警公司啊，也是微软的一个死对头啊，就跟我们前面说的那个那nova网络一样，挪va网络不是也是被微软打败了吗？当然他并没有放弃和微软的斗争。所以这家公司后来就成立了某瑞了，某瑞拉不就是firef FOX吗？所以他一直和微软要干到底，不过微软的IE最终失败了，大家就知道的，微软的IE不是失败了，微软都抛抛弃它了，主尔用什么呢？Chromeome浏览器大家可以看，你看我装的这个就是微软开发的浏览器，是叫age浏览器，但是这个A浏览器实际上是基于Chrome浏览器的内核的，他也把IE给淘汰了啊，IE淘汰了，虽然IE淘汰了吧，但是国内的有些网站你还必须要用IE才能访问，比方说著名的世界第一第一第一银行。

爱存不存，爱存不存，这个爱存不存啊，这个浏览器你去访问的时候，它上面有些插件它是不支持的，比方说你现在用。是现在目前世界占有率最高的com浏览器，访问它照样不行，你看它这个有插件，它让你装，那这个地方装插件，它能装吗这个。你看装插件这个装插件它支持Chrome浏览器吗？我装一下是啥，以前装是不让支持的，它只支持IE，哎，你IE版本才行，装不上，你看他这已经下完了，下完以后呢哟，这还没有弄完，稍等一下啊。

啊，这个软件。正办呢。还没下来。中国。好下，哎，他说无法扫描，已经下完了，下完了保留。下完了怎么不是完整的文件呀。你看它不是一个完整的文件啊。不能用啊。

白下了，应该是不让，就是我记得是IE那个浏览器才能装，你要com浏览器它不支持啊，所以这个你要是访问工商银行的网站，你还得去装IE，说在现在IE都都微软都淘汰它了，微软都已经淘汰了，早期的时候，原来我们做电商网站的时候啊，就是浏览器有各种版本，他们互相之间还有一些不兼容，当时呢，我们做网站都是以IE为标准的啊，就是IE兼容才是达到要求的，IE不兼容就不行，现在呢，不是了，现在Chrome浏览器已经成了世界第一大浏览器了，IE都淘汰了啊，这个打不开啊，这个。这个可见这个网站做的够差的。

好啊，当然后来呢，这个国际组织一看，哎哟，这个技术不错，就把它改名叫TS了，1.0。实际上我们发现市面上好多技术都是这样的，哎，一个公司先开发出来，开发出来以后国际组织一看还不错，哎，把它命名成国际组织国际标准了，是这样的啊。那以太网啊是吧，这些不都是类似的吗？啊，当然这个目前来讲呢，呃，2006年的时候。这推出了TRS1.1，不过目前最主流的是1.21.2版本啊，你看这个是在200320022020年三月份，这些大公司说了，说将来不再支持1.1和1.0了，也就是这版本都淘汰了。那么T2素的功能是干嘛的？主要是为了实现安全，当我们通过TF协议进行网络通讯的时候，它可以保证你网络中传输的数据的安全性啊，实现机密性啊，涉及数据到安全，不会被别人解解密，涉及到认证，验证身份，涉及到完整性，可以保证数据不不能篡改。还有重放保护，重放保护就是你把人家的数据报文截获下来以后，你再重发的话是不行的啊，我们都知道用户名密码通常都是加密的，那如果你没有重放保护的话，我是黑客，我就可以这么干了，我虽然破解不了你的用户密码，但是我可以截获下来，把你的用户密码截获下来以后，冒充你重发一遍，你想，因为我提交的用户密码是真实的，所以如果没有重放保护，是不是就他认为你是合法用户了。

而重房保护它可以根据时间，比方说你第一次提交是正确的，那么你下次过一段再提交，我认为你第二次提交就是即使用编码是对的，但是时间不对了，我也认为是非法的，他就可以避免你重复提交，避免重复发送。

那么T2协议和S2协议本身上是一个东西啊，那么它的构成可以看一下，T2协议呢是这样构成的，是放在了这个位置，这是我们传统的PCB协议的分层，比方说链路层、英特层、传输层、应用层，而天然协议工作哪呢？用在这个地方，它在应用层和传输层中间加了一个子层。七月十。而跳协议它实现了分布的功能，里面又分成握手协议，还有这个加密若干协议，还有报警协议啊，里面又分成了若干个子协议，Record协议。所以呢，天然协议它并不是一个单一的协议啊，也是一个协议站，协议站它里面有好多功能，握手协议呢，就是用来协商的，因为两者之间要通讯，到底有哪种加密算法，加密的位数是多少，这些咱们都要协商，所以有一个握手协议。

然后接着呢，这个呢是表示握手成功，发一个消息，咱俩商量好了，Alert呢表示报警，如果你中间有一些协商的，协议之间有问题，或者出了一些错误，我这会把报警，而报警又分成严重报警和一般报警，如果是一般报警就是发个报警，但是它不会阻止你使用，而严重报警就直接给你断网了，不让你连了啊，直接就报错，直接断开了。啊，比方说比较典型的就是我们时间如果错了，那现在如果我把时间给它改了，时间改错了以后，就会导致你的证书失效，比方说我现在在通过咱们这个腾讯课堂，腾讯课堂实际上它中间就是用加密来实现的，而证书它是有有效期的。

证书的有效期一旦过期，证书就不能来用于加密了，这时候呢，就会出现严重错误，严重错误就会导致网络直接断开，所以如果我把我的操控时间改了，让你的证书失效，那这时候大家想这时候证书就会马上出错，那这时候跟就我们这个腾讯课堂这个软件马上就断了。马上就断啊，不相信我们可以试试，反正VC能不能连嘛，对吧？啊，我们就断了看看啊，是不是能断啊，你感受一下，我故意把时间改一改，呃，这个你们有有几个同学是没？就是靠腾讯课堂上课的同学，你们就委屈一下啊，给你们提前打个招呼啊，你们断了就先忍一下，待会再重连一下啊好，这个腾讯课堂里面它有用证书了啊，那我故意的断，我们都知道，你像咱们打开成那个腾讯课堂，腾讯课堂我们看一下他的证书的有效期啊，就是那个网站的重要有效期，和他这个腾讯课堂软件用的有效期应该是类似的，我们看一下它的有效期是多长时间。

这腾讯课堂的。啊。这个不安全是显示有问题啊，因为正常应该它是应该HVS的嘛，应该是加密的。看到他这个证书，你看有效吗？这个可能是浏览器的问题啊，看它有效期是多少，到2020年11月8号，也就是说我如果把我的操控时间超过11月8号，比方说调成2021年，这个证书是不是就过期了，过期了我这个软件连接马上就断啊，你可以试试啊，我们来试试故意的改一下。啊怎么改呢？比方说我把这个时间给他调一下，调时间的话，右键单击这有一个更改系统时间。所以为什么说这个时间一定要正确啊，不正确的话，将来就网络就有问题了，我们不设成自动获取，哎，手工给它调一下啊，更改时间。

这设置时间我给他故意改了，改成12月份嘛，12份不就过期了吗？对吧，他这个一月份是11月份，我都12月份了，不就过期了吗？过期就过期了，这时候立即我一确定网断了，诶你们断了没VCVC没断啊VNC，因为它不涉及到加密，但你看我诶我这你不是看了吗？看是不是直接就断了啊，这个腾讯课堂已经断了啊，腾讯课堂我已经我已经断线了，立即断线，立即断线，当立即断线，它重新连了又。啊，重新连，重新连还得重新连啊是吧？啊，当然我把这个时间再改回去啊，改回去立即断线，我把这个时间再恢复，那一恢复它又又断一次，所以这个时间不对了啊，它就这个软件就会自动断开，这是属于一种严重错误，知道吧，这种严重错误立即断立断。

好，你们腾讯课堂的同学可以登上来了啊。还有record这个协议，Record协议呢，是实现什么分段压缩呀，完整性加密呀等等一些功能的，那么粗略来说呢，TR协议是两个阶段，一个是握手阶段，一个是应用阶段，握手阶段就是协商，咱俩协商一下吧，用哪种加密算法对吧？啊，密钥长度是多少等等，咱俩协商一下，商量好了以后，接着我们就开始加密就行了啊，就是这个过程。那目前来讲呢，呃，实现这个协议的算法中间会用到了多种加密算法的组合啊，比方说比较用的比较多的RZ用来实现密钥交换，用RZ实现数字签名，用ECB实现密钥交换，用RC实现录入签名，这就是各种算法的组合。

这些算法组合怎么组合的，这有详细文字描述，这这我就不展开说了，大家如果有兴趣看明天就算了啊，这个比较涉及到特别细节的一些加密过程啊，我这都有详细介绍，那实际上目前来讲咱们用的最多的是哪种呢？就是这个ecdc组合，这是用的比较多的，这个怎么证明呢？就是我们在浏览器里面能看得到啊，浏览器里能看得到，那我们打开浏览器，然后呢，看F12，然后在这有个安全，大家看这就有。你看看见了没？就是ec he加RC再加AES128加密，它就是实现的都是各种加密算法的组合。

啊，他这个之所以不好提示，就是因为这个页面里面虽然你是加密的，但是有一些资源他不加密，就也就是说他不是全站加密，有些资源不加密，所以就导致它显示这样的一个呃，不安全的字样，那这个哪些资源不加密呢？你看一下这个地方，你刷一下这个网络。你看看这里面是不是就没有涉及到有些资源是不加密的啊，你看往下翻一翻，如果发现它不是HBS开头的，就是不加密的，这应该是可以找到的，那肯定是有一些的，否则的话，它不会出现不安全的提示的，这肯定是有的。那看把这个协议。

打开。这个也是HBS的，都是hps，应该有那个不加密的啊，应该有不加密的。只要有一个不加密，它就会显示不安全，所以现在我们一般的网站都是全站加密，整个网站全加密，而不是说只是加密，个别页面全加密。而现在腾讯现在竟然有些地方还没加密，但是加密呢，肯定有一个缺点，就是可能会影响性能。所以有的地方觉得他没有必要，又不涉及到安全的话，那就直接进加密，哎哟，这个这个帅哥，这个帅哥是我的同学，哎，刚才一闪而过。一闪而过。再往前看看，就这个。这个是武汉的一个老师叫周世林，我和他一块参加的红帽课程，就是第一批嘛，全国的那个发照片你能看到他就之前不是说过那个C证证书那个图片吗，那个照片，这个照片里面。

就有他周世林啊，是武汉的一个机构的老师。好。啊，他现在主要做华为培训去了，当时我们有十来个人一块参加红帽的，从最早的r cec一块学习，就那几个人啊，好多人后来就不搞这个红帽，不搞Linux了，改别的行了。好，HTTPS协议实际上它就用到了SSL，用到了TLS，所谓的HTPS实际上就是hdv加TS组合而成的，那它的组合怎么组合的呢？大家看一下这个图啊。

这个图，这个就是我们传统的HTDB协议，它是基于TCP协议的。而TR协议加上以后，HTTP加TR协议一组合就变成了HBS了，啊，这就是它组合里面的结果，就这成这个样子了，所以我们HBS实际上也可以称为HP over ts或者是SSL。那么HPDS的通讯过程是怎么实现的呢？这个通讯逻辑希望大家能记住，也是有可能面试会问到的。那么平常我们访问那些电商网站，为什么用HTPS就比HTTP要安全呢？那原因就是因为他的工作原理，那我们去比方说电商网站买东西啊，我们不担心这个钱被别人偷走截货吗？不用担心，我们看看HBS的工作逻辑，你就明白了怎么做的，大家想为什么这些网站要用HBS呀，你想过没有，为什么要用HHBS呀，嗯。

那哪种hps它里面刚才我们说了，是不是有个证书啊，那这个证书是证明。是证明这个网站的真实性，还是证明我这个机器的真实性，证明网站的，哎，那就是让客户安心，你放心访问吧，我这个网站是真的，不是个钓鱼网站，假网站。是不是这意思，嗯，对，你只要相信我，在我这儿交易肯定不会有安全风险，哎，那他怎么证明呢？咱们来看看他的工工作工作原理啊，看一下这个图，首先作为客户端来讲和服务器端这是两个机器，服务器端需要事先申请证书啊，你像刚才那个京东它有证书。

淘宝都有证书，哎，那么请问大家客户端这边需要不需要证书，就是作为我这个机器来讲，要不要证书。哎，我我用证书，那么我们说了这个给谁申请证书，目的是为了证明自己的真实性，那客户端需要不需要证明自己的真实性啊？哎，真的是这样的，就你去京东上买东西，京东关心你是张三李四吗？他不关心你，他关心的你掏多少钱买东西了，是不是这道理啊，所以他不需要你的证书。因为你他要强制你要求证书，你还得花钱买证书，这不得增加客户负担吗？谁还愿意在在他那买东西啊，对吧？所以客户端一般是不需要证书的，但有的时候也需要，不过呢，客户端证书一般都不用你花钱，比较典型的是支付宝，但是在支付宝里面登录以后，比方说你要转账，是不是他要在你的电脑上装个证书，装个数字证书还记得吗？有没有见过装个数字证书，为什么要装呢？就是担心数据安全，因为他非常担心一点，就是操作这台电脑的人不是你本人。

比方说是一个黑客把你的账号密码偷了，然后在他的电脑上去登录，然后转账，你这不就钱丢了吗？所以为了验证你操作的人是你本人，所以在你的授权的这个自己的电脑上要装个数字证书来验证，证明操作本人操作这个电脑的人是你本人，所以这时候需要用客户端的证书，听懂吧，一般是不需要的。一般不需要。你像我们刚才装的那个什么中工中国工商银行，他装一个那个插件那干嘛，那这个装上插件就是担心你那个密码被别人偷走嘛，你装那个插件，通过那个插件可以加密那个。

加密那个用户信息啊，密码什么的，不会被别人截获，那都是为了安全。但是人家淘宝好像就不需要。你看淘宝登录的时候，有没有非得装个什么插件啊啊，你看阿里就比方说那个那个淘宝啊，或者是支付宝，阿里配阿里配这不是支付宝吗。支付宝的话，哎呀。这个登录你看他这是不是就没有那个什么装插件那个概念，那还是商业，商业机构我觉得做的好是吧，装什么插件多费劲啊，我为了访问你还能装个插件，我这电脑上就用一次，你还非让我装个插件啊，所以还是商业机构做的好，所以这个国有企业，这种垄断企业真是竞争力很差，要不是背后有国家，估计这些公司，这些机构都倒闭了，得谁去啊，是吧，服务质量太差了，当然人家是垄断的啊，你也来不来呢。好，那接着我们说服务器端有证书，比方说我们去访问淘宝，那么淘宝呢，它会事先申请个证书，好，那么怎么访问呢？是这么访问的，然后客户端先发请求，注意是HPSHPS呢就表明我要用加密的方式。

这时候呢，由于我们服务器端事先已经得到了证书，但是这个书里面肯定有公钥，当然他肯定也有私钥，他会把这个证书发送给客户端。这个证书会发过来，我们都知道证书里面带什么，是不是带了服务器端的公钥，当然这个是被CA签过名的公钥是吧？所以这时候我们的客户端就可以拿C的这个证书来校验你这个公钥的真实性，比方说是不是有效，如果无效，那是不是直接就报警，说这个证书失效了，过期了，不能访问了，对吧？比方说我们再来试一次啊，我故意的那个，我一改这个时间，可能大家又得断网了啊，你们忍着点啊，啊，你看我去访问那个淘宝，淘宝的证书呢，我们看到它的证书有效期，现在看一下是10月25号，我只要把这个时间调到10月25号之后。

是不是有可能它就会显示证书过期了啊，今那个百度也一样啊，你像百度它也都都有证书啊，这些证书都是成了标配了，成了咱们的网站的标配了，你看这个百度也一样，百度的证书有效期是什么时候是一月啊，就201呃一这个2021年7月，那这个时间还稍微长一点啊，那这样我把时间故意的给他改的时间。超出去给它过期啊，过期给他改成20222年吧，二三年啊，这一下分过期了，就是不是就过期了这个啊，你点确定，当然VC就是那个你们那个腾讯课堂就断了啊，断了以后呢，你看我刷一下这个淘宝，呃呃百度，你看看它会什么现象没现象啊，那重新打开一下啊，重开一下啊。

诶有了，你看360，有了360，他说这个就是那个不安全，那个证书有问题，你看他是不是说这个错误了，证书无效了，看到没有，是不是证书无效了，当然他会告诉我说我这个时钟给快了啊，因为360知道我的时间是故意错的啊，所以他这个是网站帮我提示的啊，证书提示的是这个这个证书提示的啊，当然这个理论上百度啊，京东啊，淘宝啊，他们也都有，你看淘宝也是这个问题吧，都有这个问题就过期了嘛，所以它就会提示不安全。

啊，就相当于这个，就是赶紧我恢复一下吧，要不VC的同学看吧，那个腾讯课堂同学看不了了。好，我把它恢复啊，恢复了以后重连一下。哎，你们上来了吗？怎么一个人都没有啊，就我一人啊，你们还能连上来吗？一个人都没有，就我一人。他们比较。这有问题了吧，那那我先先把这个腾讯刚才关了退出来重登一下诶。

出于先些。好上来了。好，这就是刚才校验那一步啊，校验证书如果无效报警，我们刚才看到了。然后如果校验没有问题，是证书是有效的，它就会生成一个随机K，这个随机K呢，你可以理解成的一个密码，这个密码将来作为对称密钥使用，但是对称密钥双方都得有，那问题来了，我怎么把这个对称密钥发给对方呢？发给服务器呢？聪明的同学应该知道该怎么办了。

我们是不是事先已经拿到了服务器的证书了，而证书里面是不是就可以得到服务器的公钥，那么所以他就会拿服务器的公钥来加密这个对称密钥发给服务器，服务器用自己的私钥解密，进而是不是就得到了这个随机数字通讯双方是不是都有这个会话密钥了，就可以通讯了呗？这不就是这个逻辑吗？大家想想是不是很简单啊？所以我们平时在网站上去访问那些所谓的HVS的加密网站，背后都是利用这种TS协议来实现的。啊，当然了，HTPS呢，是基于自己的专有端口，叫43端口。当然大家可能想到一个问题，我们去访问网站的时候，会在浏览器里主动敲hps吗？是不是很多同学根本就不会，我们直接就写的是这个域名吧，是不是这个东西根本就不敲，那不敲那他是怎么知道我们走HVS的呢？那是另外一层意思了，它有一个自动跳转啊，就是自动的叫重镜像，刚开始你不敲，系统认为是HTBP，但是你发给服务器以后，服务器会自动的告诉你说我现在支持HTPS，请你用hps访问，这时候浏览器会重新再次发起请求，变成hps，这个过程是系统自动完成的。

所以我们在浏览器里是不用敲HS的，明白了吧，它自动能够变成HTPS。这个也需要设置啊，需要在咱们服务器端做设置，你像刚才我讲的这个背套背后的一套工作原理中，证书的申请HBS得配，所以我们讲到后面的啊，阿帕奇啊NGS的时候，会给大家讲怎么去配这些东西啊，让你搭建一个HBS的网站。

现在咱们搭一个HTTP，相信大家应该都会，就装个服务，一启动服务就完了，HBS的话呢，需要配一下才行。这个证书需要向权威的机构申请啊，好，那这是我们刚才给大家讲的TR协的工作逻逻辑，包括HTPS他整个工作过程，希望大家把这个流程记下来啊，面试的时候有可能人家会问你说hps是怎么工作的，这也容易出现出现在面试题里面。这个工作逻辑要搞清楚。那经常有一些面试题里面提到一个经典的问题，就是当我们在浏览器里输入一个网站的链接名称以后，背后发生了什么？那实际上你现在就可以把这段也可以补回去了，因为大部分网站都是接HBS的。

那中间。发生的事，这是其中，这是一个接一个步骤，当然要补，补全了的话，前面肯定还有一些我们前面学过的东西，比方说三次握手，对吧。啊，包括HDP的加密过程，就我们刚才讲了啊，实际上最早前面还有个域名解析BS啊，要说的话还有ARP呢，还有路由呢，对吧，所以你把这一套都总结成一个完整的过程啊，这是可以写一大篇博客了。如果面试在问你说通过浏览器访问一个网站的时候，背后发生了什么，你也可以给他聊一个小时是吧，你就把前面咱们讲的从头到尾给他说一遍，说的越详细越好，哎，因为你想说的越详细，他知道你懂知道了，说到他说哎，行了，不用说了，哎，我知道你懂了就可以了。

好，这是咱们给大家讲的啊，HGDPS，那么这个TR协议呢，只是个协议啊，TR协议只是个协议，那么具体在系统中要真正实现，需要软件帮我们实现这个协议，那这个软件有一个开源软件叫open s SL。这个软件帮我们实现了TS协议，它这个软件项目，这个软件项目它有一个官方站点，这是它的官方站点。好，打开看一看。这个官方站点很朴素啊，一般开源软件都比较朴素。也没有，背后有大佬支持，所以能坚持到现在已经挺不容易了，好多开源软件用着用着就黄了，就不再坚持下去了，因为开源软件不花也不挣钱，没有盈利，全靠爱好来支撑啊，所以能坚持下来挺不容易的。

这是他的官方站点，官方站点。啊，因为这个参与这个op ss项目的人啊，没多少啊，总共你看才13个开发人员，13个开发人员。那具有提交权限。而且还只有两个是全职的，其他都是志愿者。全是靠爱好的。所以这个组织也挺不容易的啊，不过呢，有一段时间这个TSSOS这个项目呢，有一个安全漏洞叫滴漏洞，滴血漏洞，心脏滴血。

漏洞。呃，当时发布以后，在一四年被人发现了，后来有很多网站都是利用了OPS这个软件的，所以很多网站都受到了影响。啊，不过那解决方案也是有官方就提出了补丁软件，直接就打补丁就行了。装补丁软件以后就修复这个问题了。啊，所以这个项目呢，目前在全球还是特种软件里面都用到了，虽然这个项目不是特别特别最大的一个项目，但是确实实用性很强，还是。哎，要收钱的话，真的是可以挣不少钱。所以呢，当年老罗同学知道吧，罗永浩同学，罗永浩同学他不是在这个科技圈是最说相声最说的最好的嘛，是吧，科技圈啊，他他属于这个自己自己有一个锤子，锤子手机是吧，锤子手机，所以他经常发布自己的锤子手机，会有一个这个发布会，发布会呢，好多人都是为了看他那个讲相声这个本事了，不是为了看他那个手机怎么怎么样，所以他这个发布会也是挺吸引人的啊，所以他这个发布会门票也挺贵的，好像是上千的，所以他就把这个发布会挣来的上百万的这个发布会的门票就捐给了open SL，捐给了这个项目，所以老罗还是挺有，呃，怎么说挺有，算是有一个情怀的人吧，虽然他的吹的手机已经倒闭了，好呀。

你想他公司还没有很盈利的情况下，竟然把上百万的钱捐给了一个开源项目，所以这个人还是至少这个钱方面还是不是很在意的一个人是吧，是一个稍微有一些情怀的人，所以我一度还是想动了心思想买个手机支持一下他的，结果还没支持呢，他就黄了，因为搞it的人都有一个比较谨慎的情怀，就是你这个1.02.03.0不能用吧，你至少也得几点零版本之后稳定了才敢用。

啊，所以结果他没坚持到我想要的那个G点零的时候就倒闭了，那这个open s的这个项目呢，这个软件也是我们在LIS里涉及到加密可以说必不可少的，咱们可以看一下这个软件啊，这个版本叫open s SL看看他这个版本现在是几点几版本是1.1.1c1.1.1C，呃，官方站点上刚刚刚才看了他是几点几啊。这有大的啊，最新版。这边有download的最新版。

那你说他的证书是从哪申请的呀？用这个申请的这网站好慢呐，到底是开源项目，没钱没钱买不起特别好的服务器嘛，啊这个是他的这个版本啊，哎呦，出来3.0了，怎么跳票了，从1.1直接跳过二直接来三了，阿拉800看到没？那这是1.1.1的G这个版本，目前是稳定版，这个那咱们SS8上面带的这个是C版本差不多，但六版本就比较老了，六版本看一下它的版本，这个软件可以说是我们。

搭建各种服务加密必不可少的一个组件，这个软件尤其你涉及到加密的时候呢，对应的一个开发包是必须要装的。你看这个版本就比较老1.01。所以后面呢，我们涉及到编译安装的时候呢，一般来讲这个open s CL的一个开发包一般都要装，就是基本上是标配了，有一个叫DEMO包，这一般都要装。好，它里面open scil这个软件，它实际上是一个呃综合组件组成的，它里面有lab库啊，包括还有什么lab SL啊，包括open SL open SL这个是个命令工具，这个我们后面会给大家讲open SL这个命令，这个命令呢是我们用的比较多的一个可以用来实现加密，包括证书管理的一个工具，它来自于哪个包，大家看来自于openl这个包，我们现在open的这个包已经装着了，已经在系统装着呢，那这个里面呢，带有很多文件，那其中呢，里面就包括咱们后面要给大家介绍的一个软件叫open sll软件，这个软件呢，我们后面会用它来申请证书，颁发证书，都是用它的，这个用的还是非常多的，这个命令的用法也非常复杂，大家可以看一下help，你看这一大堆用法。

它里面一大堆子命令啊，我们后面会专门讲这个工具啊，那这边呢，还有一个叫base子六四编码的，这个base子六编码呢，也是我们需要大家记住的，实际上我们在目前来讲，好多文件都是用base子六四编码的，大家记得我们刚才曾经看过那个加密的那个公钥和私钥，那这里面的文件实际上是被处理过的，它并不是原装的密钥了，它是被用被六字编码过的，那备注中编码是怎么实现的，这个我们后面会给大家讲啊，因为时间正好差不多，这是我们下次要给大家讲的吧。

所以今天的重点讲了很多，那说一下吧，今天的重点内容是哪些呢？今天学了重点内容啊，今天给大家讲一下CCL命令的用法吧，这个用法实际上掌握的最基本用法啊，比方说呀，Stop呀，Start啊，这都是常用的啊，包括什么？呃，这个enable enable啊，什么is，呃，就是禁用，禁用的话就是disable，一般启用比较多，然后is is active是吧，Is enabled验证你是不是开机启动，那包括还有什么load，但是reload不一定所有命令都支持啊，有些命令不支持，Reload有些支持，有些不支持。

还有就是我们有一个人must是吧？啊另外呢，这个命令它可以设为开机启动啊，关闭啊等等啊，就是开机的时候设为什么模式，什么get是吧，Get给报了吧，是不是可以查那个默认的什么模式啊，让我们默认模式现在是什么模式，默认是Mar user，你可以改成graph图形的，这都可以改。

啊，这些呢，用法大家了解一下。好，接下来呢，我们又给大家解了介绍了这个service文件的格式，这个格式啊，我们后面到时候尤其编译安装会自己写这个service文件啊，大家对这个格式有要有所了解。而另外呢，就是升S，你可以做一下总结了，奋七和八的启动流程，他这个总的来说启动流程和SS6差不多，只不过就是从CD往后就不太一样了，前面那些什么加电自检呀，包括不loer的加载啊，内核加载啊，这都差不多，就是从CD，它不就替换了早期的以内的了吗？它的配置文件也不太一样了，再就是GRA2的管理啊，比方说加口令之类的啊，删除了grab怎么修复？

这里面都讲了，那另外呢，我们又给大家讲了什么破解的口令吧，嗯，破解申S7和八的口令密码，对吧？当然你要为了安全，你可以把它加个口令，加口令以后是不是就不能那么容易破解了。啊，那另外呢，我们做了一个综合实验，就是把M整个干掉，Boot干了要怎么修复，那这些实验你们下来可以自己试一试。那这个之后呢，我们就给大家讲了加密的这个安全这一章，安全这一招呢，主要涉及到加密算法，加密算法呢包括三种，一种是对称的，一种是非对称的，还有一个是哈希算法啊叫散列算法。

这三种算法有时候我们是要综合使用的，综合使用啊，综合怎么用，实际上这里面呢，HTPS的工作逻辑，你要记住了，HTPS的算它是工作，工作原理，工作原理啊，包括还有就是证书这一套工作体系，工作原理，证书和C的工作原理，这个呢，希望大家能理解，这就是我们今天学习的重点了。大家好多都是理论啊，实际上操作今天不多，基本上没有什么大实验，都是一些小命令，那今天学了什么新命令了没有总结一下新命令有没有新命有啥呢？啊，这个学了那个什么吧，什么SA1，什么512是吧，这些那单号这个都是一样的了，什么256啊这都一样的，我就不写了啊还有什么MD53之类的啊还有啥GPG，呃，用了一个GPG工具呢，实际加密的GPG可以加密，可以实现对称密钥，也可以实现非对称密钥GBG。

还有个啥，还有啥八二写了吧，B2在GRAB2H grab2早就写过吧，没有B2MK看这个吧，还有GRA2就是生成grab信息嘛，那当然是不是还可以加密口令啊，是不是有个设置口令啊，是不是这不是设置grab的口令吗？这都是还有啥。

还有这是sat的A吧，这个CD的aer是不是有一个叫lo，还记得这个吗？就是生成那个网页文件，可以看到它这个启动流程吗？对吧，就这个这个应该是在N的那个地方。

还有选什么新命令的吗？今天学了一个，还有啥嘞。

达到300多了啊。想不起来了哈，那想不起来就这些，那这就是你们学习的重点了啊，把这些好好的消化消化，呃呃，尤其这个这个面试面试重点啊，面试重点启动流程，这是。好了，那今天的课咱们就上到这儿好吧，好，你们先来好好练啊。