|
|
楼主 |
发表于 2022-10-18 09:22:53
|
显示全部楼层
本帖最后由 nokia 于 2022-10-18 09:33 编辑
想用高恪x86,因为准备用高恪做两地互联,这个认证方式目前来看相当稳定。原先是centos架设的(tls-crypt),现在要腾出这个机器来用。
TLS握手可以大致分为以下步骤:
客户端将“客户端问候”与客户端的随机值和受支持的密码套件一起发送给服务器。
服务器响应客户端的“服务器问候”,以及服务器的随机值和选择的密码套件。
服务器将其证书发送到客户端以进行身份验证。
客户端验证服务器身份。
客户端会创建一个随机的主密码,并使用服务器证书中的公钥对其进行加密。
客户端将加密的主密码发送给服务器。
如果需要,服务器可以从客户端请求证书。
服务器和客户端均基于主密码前的机密生成会话密钥。
服务器和客户端现在可以使用会话密钥交换加密的消息。
tls-auth和tls-crypt之间的区别是,从步骤1开始,tls-crypt将使用预共享密钥对所有消息进行加密。
这提供了几个好处:
它隐藏了与OpenVPN服务器进行的TLS握手的初始化。在某些情况下,当检测到并阻止了OpenVPN协议签名时,这很有用。
它可以防止TLS拒绝服务攻击。使用tls-auth,攻击者可以同时打开数千个TLS连接,但不提供有效的证书,从而阻塞了可用端口。使用tls-crypt,服务器将在步骤1预先拒绝连接。
数据被加密两次,一次通过tls-crypt加密,一次通过TLS会话加密。
|
|
发表于 2022-10-17 17:23:44
发表于 2022-10-17 19:22:58