HTTPS的测试

https证书的验证过程与⽣成⽅法1.简洁的解释：1.服务器⽤RSA⽣成公钥和私钥2.把公钥放在证书⾥发送给客户端，私钥⾃⼰保存3.客户端⾸先向⼀个权威的服务器检查证书的合法性，如果证书合法，客户端产⽣⼀段随机数，这个随机数就作为通信的密钥，我们称之为对称密钥，⽤公钥加密这段随机数，然后发送到服务器4.服务器⽤密钥解密获取对称密钥，然后，双⽅就已对称密钥进⾏加密解密通信了PS:⾮对称的RSA加密性能是⾮常低的，原因在于寻找⼤素数、⼤数计算、数据分割需要耗费很多的CPU周期，所以⼀般的HTTPS连接只在第⼀次握⼿时使⽤⾮对称加密，通过握⼿交换对称加密密钥，在之后的通信⾛对称加密。

2.详细的：1.浏览器将⾃⼰⽀持的⼀套加密规则发送给⽹站。

2.⽹站从中选出⼀组加密算法与HASH算法，并将⾃⼰的⾝份信息以证书的形式发回给浏览器。

证书⾥⾯包含了⽹站地址，加密公钥，以及证书的颁发机构等信息。

3.浏览器获得⽹站证书之后浏览器要做以下⼯作：a) 验证证书的合法性（颁发证书的机构是否合法，证书中包含的⽹站地址是否与正在访问的地址⼀致等），如果证书受信任，则浏览器栏⾥⾯会显⽰⼀个⼩锁头，否则会给出证书不受信的提⽰。

b) 如果证书受信任，或者是⽤户接受了不受信的证书，浏览器会⽣成⼀串随机数的密码，并⽤证书中提供的公钥加密。

c) 使⽤约定好的HASH算法计算握⼿消息，并使⽤⽣成的随机数对消息进⾏加密，最后将之前⽣成的所有信息发送给⽹站。

4.⽹站接收浏览器发来的数据之后要做以下的操作：a) 使⽤⾃⼰的私钥将信息解密取出密码，使⽤密码解密浏览器发来的握⼿消息，并验证HASH是否与浏览器发来的⼀致。

b) 使⽤密码加密⼀段握⼿消息，发送给浏览器。

5.浏览器解密并计算握⼿消息的HASH，如果与服务端发来的HASH⼀致，此时握⼿过程结束，之后所有的通信数据将由之前浏览器⽣成的随机密码并利⽤对称加密算法进⾏加密。

3.实现：⽣成密钥、证书第⼀步，为服务器端和客户端准备公钥、私钥[java]1. # ⽣成服务器端私钥2. openssl genrsa -out server.key 10243. # ⽣成服务器端公钥4. openssl rsa -in server.key -pubout -out server.pem5.6.7. # ⽣成客户端私钥8. openssl genrsa -out client.key 10249. # ⽣成客户端公钥10. openssl rsa -in client.key -pubout -out client.pem第⼆步，⽣成 CA 证书[java]1. # ⽣成 CA 私钥2. openssl genrsa -out ca.key 10243. # X.509 Certificate Signing Request (CSR) Management.4. openssl req -new -key ca.key -out ca.csr5. # X.509 Certificate Data Management.6. openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt在执⾏第⼆步时会出现：[java]1. ➜ keys openssl req -new -key ca.key -out ca.csr2. You are about to be asked to enter information that will be incorporated3. into your certificate request.4. What you are about to enter is what is called a Distinguished Name or a DN.5. There are quite a few fields but you can leave some blank6. For some fields there will be a default value,7. If you enter '.', the field will be left blank.8. -----9. Country Name (2 letter code) [AU]:CN10. State or Province Name (full name) [Some-State]:Zhejiang11. Locality Name (eg, city) []:Hangzhou12. Organization Name (eg, company) [Internet Widgits Pty Ltd]:My CA13. Organizational Unit Name (eg, section) []:14. Common Name (e.g. server FQDN or YOUR name) []:localhost15. Email Address []:注意，这⾥的Organization Name (eg, company) [Internet Widgits Pty Ltd]:后⾯⽣成客户端和服务器端证书的时候也需要填写，不要写成⼀样的可以随意写如：My CA, My Server, My Client。

HTTPS原理HTTPS的安全性测试与评估HTTPS原理HTTPS，全称为Hyper Text Transfer Protocol Secure，即超文本传输安全协议。

它是一种通过计算机网络进行安全通信的协议。

HTTPS在传输层使用了SSL/TLS协议来加密通信内容，保证了传输过程中的数据安全性和完整性。

与HTTP相比，HTTPS在传输过程中使用了加密算法，能够有效防止中间人攻击和数据篡改。

本文将介绍HTTPS的工作原理以及对其安全性进行测试与评估。

1. HTTPS的工作原理HTTPS的工作原理可分为以下几个步骤：1.1 客户端发起HTTPS请求当客户端（例如浏览器）发起一个HTTPS请求时，它向服务器发送一个连接请求，请求建立安全连接。

默认使用的端口号为443。

1.2 服务器发送数字证书服务器收到客户端的连接请求后，会将服务器的数字证书发送给客户端。

数字证书包含了服务器的公钥及相关证书信息。

1.3 客户端验证数字证书客户端收到服务器发送的数字证书后，会对其进行验证。

验证包括检查证书的合法性、验证证书颁发机构等。

同时，客户端还会生成一个用于加密通信的临时密钥。

1.4 客户端与服务器建立安全连接客户端使用服务器的公钥加密临时密钥，并发送给服务器。

服务器收到客户端加密的临时密钥后，使用私钥（只有服务器拥有）解密临时密钥。

1.5 客户端与服务器进行密钥协商客户端和服务器使用加密后的临时密钥进行通信密钥的协商，生成一个对称密钥。

这个对称密钥将被用于后续的加密和解密操作。

1.6 客户端与服务器进行加密通信客户端和服务器使用协商得到的对称密钥进行加密通信。

这样，客户端发送的数据和服务器返回的数据都会进行加密处理，保证了传输过程中的数据安全性。

2. HTTPS的安全性测试与评估为了保障网站使用HTTPS协议的安全性，有必要进行安全性测试与评估。

2.1 SSL证书验证在安全性测试中，首先需要验证SSL证书的合法性。

接口测试方法论一、概述接口测试是软件测试中的一个重要环节，它主要是用来验证不同系统之间的数据传输是否正常，以及系统之间的交互是否符合预期。

在进行接口测试时，需要考虑到接口的稳定性、可靠性和安全性等因素，以确保系统能够正常运行。

二、接口测试的分类1.按照协议分类（1）Web服务接口测试：主要用于验证Web服务是否能够正常通信和处理请求。

（2）HTTP/HTTPS接口测试：主要用于验证HTTP/HTTPS协议下的数据传输是否正常。

（3）TCP/IP接口测试：主要用于验证TCP/IP协议下的数据传输是否正常。

2.按照应用场景分类（1）内部应用程序接口测试：主要针对企业内部使用的应用程序进行测试。

（2）外部应用程序接口测试：主要针对面向公众开放的应用程序进行测试。

3.按照功能分类（1）基本功能测试：主要验证系统基本功能是否正常。

（2）性能测试：主要验证系统在高负载下能否保持稳定。

（3）安全性测试：主要验证系统在面临攻击时能否保证数据安全。

三、接口测试流程1.需求分析阶段：根据需求文档和设计文档，确定接口测试的范围和测试计划。

2.测试用例设计阶段：根据需求文档和设计文档，编写测试用例，并对测试用例进行评审和修改。

3.环境搭建阶段：根据测试用例的要求，搭建相应的测试环境，并进行配置和调试。

4.接口测试执行阶段：按照测试用例执行接口测试，并记录相关数据和问题。

5.问题跟踪与修复阶段：对于发现的问题进行跟踪，并及时通知开发人员进行修复。

6.回归测试阶段：在开发人员修复问题后，对相关功能进行回归测试，以确保问题已经得到解决。

四、接口测试工具1.Postman：一款常用的HTTP客户端工具，可以方便地发送HTTP 请求并查看响应结果。

2.Fiddler：一款常用的Web调试工具，可以监控HTTP/HTTPS请求并查看响应结果。

3.JMeter：一款功能强大的性能测试工具，支持多种协议，包括HTTP、FTP、JDBC等。

基于安全协议的https的页面测试脚本一、loadrunner8.1HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议它是一个安全通信通道，它基于HTTP开发，用于在客户计算机和服务器之间交换信息。

它使用安全套接字层(SSL)进行信息交换，简单来说它是HTTP的安全版。

在使用https协议不管是服务器端还是客户端都需要使用到ca证书来进行访问。

一般来说，性能测试为所常见的为客户端使用https打开页面的方式。

在这个情况下，首先是处理https访问过程中的证书1.证书的准备常见的证书为：*.pfx,*.p12格式，该种格式的证书可以通过双击运行安装到IE浏览器上。

用户在访问的时候就可以使用到。

但这些证书并不是LoadRunner所使用的类型，因此需要对其进行转换。

将其转换为*.pem 格式。

转换方法如下：●安装openssl后●运行C:\<OpenSSL>/bin文件夹的openssl二进制文件，它将启动OpenSSL命令提示符●执行以下命令：pkcs12 -in c:\test1.pfx -out c:\test01.pem –nodes●或者直接在cmd下面执行：openssl pkcs12 -in c:\test1.pfx -out c:\test01.pem –nodes●执行后，将会在指定目录生成test01.pem文件，这个文件将会在下一个步骤，对LoadRunner进行配置的时候使用到。

2．LR配置启动LoadRunner，打开Recording Option选项。

选择后，单击New Enty红框中的配置为服务器的ip(或者域名)和端口号（ssl默认端口443），按照测试所需要的实际地址进行配置。

配置后，将Use specified client-side certificate[Base64/PEM]钩选，为使用客户端证书访问。

HTTPS的使用方法及步骤详解随着互联网的发展，网络安全问题变得越来越重要。

为了保护用户的隐私和数据安全，许多网站采用了HTTPS协议。

本文将为大家介绍HTTPS的使用方法及步骤，帮助读者更好地理解和应用这一安全协议。

1.什么是HTTPS？HTTPS（Hypertext Transfer Protocol Secure）是一种加密的通信协议，它基于HTTP协议，在传输层使用SSL/TLS进行加密。

通过使用HTTPS协议，可以保证通信过程中的机密性、完整性和身份认证。

2.HTTPS的优势与传统的HTTP相比，HTTPS具有以下明显的优势：2.1数据加密：HTTPS在传输过程中使用SSL/TLS对数据进行加密，防止数据被窃取或篡改。

2.2身份认证：HTTPS使用数字证书验证服务器的身份，确保用户连接到正当的网站并防止中间人攻击。

2.3 SEO优化：搜索引擎倾向于显示HTTPS网站的搜索结果，因此使用HTTPS可以提升网站的排名和可信度。

2.4用户信任：HTTPS表示网站对用户数据保护的承诺，使用户更愿意与网站进行交互和共享信息。

3.配置HTTPS的步骤下面是配置HTTPS的一般步骤，具体操作可能因不同的服务器和证书机构而有所差异：3.1选择SSL/TLS证书为了使用HTTPS协议，首先需要从受信任的证书机构（CA）获取SSL/TLS证书。

这些证书通常分为三种类型：单域名证书、通配符证书和多域名证书。

根据自身需求，选择适合的证书类型，并购买相应的证书。

3.2配置服务器为了支持HTTPS，服务器需要进行相应的配置。

这包括生成私钥（Private Key）、生成证书签发请求（CSR）以及在服务器上启用SSL/TLS功能。

3.3申请证书根据服务器生成的CSR，向选定的证书机构提交证书签发请求。

证书机构将对您的身份进行验证，并签发与您的CSR相关联的证书。

3.4安装证书一旦收到证书，您需要将其安装到服务器上。

1、使用burpsuite渗透测试工具，拦截安卓和IOS客户端软件的HTTP消息
在安卓或者ios设备上当前已连接wifi的高级选项，设置在burpsuite中设置的PC的IP 地址和端口号，设置完成后，可以开始拦截请求。

2、使用burpsuite渗透测试工具，拦截android和IOS客户端软件的https消息
a)导出Burp Suite根证书
浏览器设置好代理后，访问http://burp/
下载一下burp suite证书，这里是der格式的，我们要crt的，使用火狐浏览器转，导入并导出下就可以了。

已经转换好的证书可以直接使用进行安装：
PortSwiggerCA.c
rt
b)在手机中添加信任证书
将导出的证书PortSwiggerCA.crt上传到手机安装。

（备注：证书传到手机上后不能直接安装，需要从设备存储空间安装证书）
安装完成以后，在信任的证书里面可以查看到刚才安装的证书
在安卓或者ios设备上当前已连接wifi的高级选项，设置在burpsuite中设置的PC的IP 地址和端口号，设置完成后，可以开始拦截https请求。

https网站的建立和原理
首先在正常情况下，即：服务器端在http下建立一个简单的网页，测试客户机能否访问。

以下是服务器做的事情。

一、打开c:\windows\ 注意：一般情况下，网站的文件默认就在这个目录。

二、打开记事本，输入：“实验网站，欢迎光临！”，保存到C:\Inetpub\wwwroot 目录中，并改名为：defaulet.htm，因为这个是windows网站默认的首页。

三、IIS设置：
四、客户端输入：http://服务器端的IP地址，正常情况下可以看到这个网页的内容。

截图：
上面的实验说明我们已经在http方式下建好了网站，因为我们可以正常访问。

https网站也要在http网站的基础上，完成上面的过程，我们就可以开始书上251的内容了：。

postman进⾏https接⼝测试所遇到的ssl证书问题，参考别⼈⽅
法
参考⽂档：
随着 https 的推动，更多当然是为了让软件项⽬有更多安全保障，整个 web 的通信都使⽤了 ssl 证书。

在使⽤ postman 进⾏接⼝测试时，就必须解决 ssl 的环境问题。

⽅法尝试⼀： openssl ⽣成⾃有证书
找了很多⽹络资料，利⽤ openssl ⽣成公私钥，pkcs12等⽂件……
结果发现是⼈云亦云⼀⼤⽚，复制抄袭满天飞。

此路，⾄少我多次尝试导⼊到 postman 并没调通。

最快速最靠谱的⽅法↓
考虑到抓包⼯具如 fiddler、Charles，在嗅探 https 时⾃有证书，那么⽤这个证书理论上是可以秒解的。

以 Charles 的使⽤举例
1. 打开 Charles，将 Charles root certificate 根证书保存，格式选择为.pem，并导出 private key ⽂件。

（⼊⼝见下图）
2. 打开 postman，进⼊系统设置 settings，在 general 中关闭 ssl 检查，再进⼊ certificates 进⾏配置
OK，两步就⾏。

接着测试确认（此时报⽂即可正确解析）
配置成功后的 demo。