TLS 握手实战：从自建 CA 到抓包分析

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

1619 字

5 分钟

TLS 握手实战：从自建 CA 到抓包分析

2026-05-04

密码学与安全工程

协议

/

密码学

/

安全

前 16 章的理论和各章附带的实践环节，理解了密码学的每个组件如何独立工作。但 TLS 是一个系统——它把 ECDHE 密钥交换、AES-GCM 加密、Ed25519 签名、X.509 证书链、HKDF 密钥派生组装成一条完整的信任链。理解 TLS 的唯一方式是亲手搭建这条链：从 Root CA 到终端证书，从 TLS 服务器到客户端连接，从握手输出到密钥推导，每一步都用真实命令验证。

本章是密码学系列的第一个综合性实战章节。将从零构建一套完整的 PKI 体系，启动 TLS 服务器，用 OpenSSL s_client 和 Python ssl 模块逐行分析 TLS 1.3 和 TLS 1.2 的握手差异，最后用 SSLKEYLOGFILE 导出密钥材料验证 HKDF 的推导过程。

一、历史渊源：从 SSL 2.0 到 TLS 1.3 的 25 年#

TLS 的演进是一部安全事故驱动的历史：

timeline title SSL/TLS 演进时间线 1995 : SSL 2.0 : Netscape 发布\n密钥明文传输、弱 MAC 1996 : SSL 3.0 : 修复大部分缺陷\n但 CBC 填充预言机隐患 1999 : TLS 1.0 : IETF 标准化\n本质是 SSL 3.1 2006 : TLS 1.1 : 修复 CBC IV 可预测\nBEAST 攻击的根源 2008 : TLS 1.2 : AEAD 套件、SHA-256\n但 70+ 套件过于复杂 2014 : POODLE : SSL 3.0 被攻破\n全面禁用 SSL 3.0 2015 : Logjam : EXPORT 降级攻击\nDH 参数必须 ≥ 2048 2018 : TLS 1.3 : RFC 8446\n5 套件、强制 ECDHE、1-RTT

每次协议升级的核心驱动力都是攻击：SSL 2.0 → SSL 3.0（基本安全），SSL 3.0 → TLS 1.0（标准化），TLS 1.0 → TLS 1.2（AEAD），TLS 1.2 → TLS 1.3（做减法——删掉所有不安全的选项）。TLS 1.3 的哲学是：安全协议的演进不是加功能，是删弱点。

二、前置知识#

2.1 环境要求#

OpenSSL 3.0+ 命令行工具（本文使用 OpenSSL 3.0.13）
Python 3.8+ 及 ssl 模块（本文使用 Python 3.13.0）
cryptography 库（pip install cryptography）

2.2 理论依赖#

本章综合运用以下理论章节的内容：

理论章节	本章用到的内容
Ch02 对称加密	AES-GCM 加密模式
Ch03 非对称加密	ECDHE 密钥交换
Ch05 数字签名	RSA/ECDSA 签名验证
Ch06 TLS 1.3	握手流程、密码套件
Ch07 证书与 PKI	X.509 证书链、CA 层次

三、从零构建 PKI 证书体系#

3.1 创建 Root CA#

Root CA 是信任链的起点。它的自签名证书会被手动导入到客户端信任库中，私钥必须离线保存：

1
# 生成 Root CA 私钥（RSA-2048）
2
openssl genrsa -out root-ca.key 2048
3

4
# 创建自签名根证书（有效期 10 年）
5
openssl req -x509 -new -nodes \
6
  -key root-ca.key -sha256 -days 3650 \
7
  -out root-ca.crt \
8
  -subj "/C=CN/ST=Beijing/O=TLS Lab Root CA/CN=TLS Lab Root CA"
9

10
# 查看根证书信息
11
openssl x509 -in root-ca.crt -noout -subject -issuer -dates

1
subject=C = CN, ST = Beijing, O = TLS Lab Root CA, CN = TLS Lab Root CA
2
issuer=C = CN, ST = Beijing, O = TLS Lab Root CA, CN = TLS Lab Root CA
3
notBefore=May  7 14:22:31 2026 GMT
4
notAfter=May  4 14:22:31 2036 GMT

注：Root CA 的 subject 和 issuer 相同，因为它是自签名的。有效期通常设为 10-20 年，因为更换根证书需要更新所有客户端的信任库，代价极高。

3.2 创建中间 CA#

中间 CA 是 Root CA 与终端证书之间的桥梁。Root CA 的私钥通常离线保存，日常签发由中间 CA 完成：

1
# 生成中间 CA 私钥
2
openssl genrsa -out int-ca.key 2048
3

4
# 创建 CSR
5
openssl req -new -key int-ca.key -out int-ca.csr \
6
  -subj "/C=CN/ST=Beijing/O=TLS Lab Intermediate CA/CN=TLS Lab Intermediate CA"
7

8
# 用 Root CA 签发中间 CA 证书
9
cat > int-ca.ext << 'EOF'
10
basicConstraints = critical, CA:TRUE, pathlen:0
11
keyUsage = critical, digitalSignature, keyCertSign, cRLSign
12
subjectKeyIdentifier = hash
13
authorityKeyIdentifier = keyid:always, issuer
14
EOF
15

16
openssl x509 -req -in int-ca.csr \
17
  -CA root-ca.crt -CAkey root-ca.key -CAcreateserial \
18
  -out int-ca.crt -days 1825 -sha256 \
19
  -extfile int-ca.ext
20

21
openssl x509 -in int-ca.crt -noout -subject -issuer

1
Certificate request self-signature ok
2
subject=C = CN, ST = Beijing, O = TLS Lab Intermediate CA, CN = TLS Lab Intermediate CA
3
issuer=C = CN, ST = Beijing, O = TLS Lab Root CA, CN = TLS Lab Root CA

注意：basicConstraints = critical, CA:TRUE, pathlen:0 表示这是一个 CA 证书，且不能再签发下级 CA。这是防止 CA 权限过度委托的关键约束。

3.3 签发终端证书#

终端证书使用 ECC 密钥（更短、更快、更现代）：

1
# 生成 ECC 私钥（P-256 曲线）
2
openssl ecparam -name prime256v1 -genkey -noout -out server.key
3

4
# 创建 CSR
5
openssl req -new -key server.key -out server.csr \
6
  -subj "/C=CN/ST=Beijing/O=TLS Lab Server/CN=localhost"
7

8
# 用中间 CA 签发终端证书（含 SAN）
9
cat > server.ext << 'EOF'
10
basicConstraints = CA:FALSE
11
keyUsage = critical, digitalSignature, keyEncipherment
12
extendedKeyUsage = serverAuth
13
subjectKeyIdentifier = hash
14
authorityKeyIdentifier = keyid:always, issuer
15
subjectAltName = DNS:localhost, DNS:*.localhost, IP:127.0.0.1
16
EOF
17

18
openssl x509 -req -in server.csr \
19
  -CA int-ca.crt -CAkey int-ca.key -CAcreateserial \
20
  -out server.crt -days 365 -sha256 \
21
  -extfile server.ext
22

23
openssl x509 -in server.crt -noout -subject -issuer -dates

1
Certificate request self-signature ok
2
subject=C = CN, ST = Beijing, O = TLS Lab Server, CN = localhost
3
issuer=C = CN, ST = Beijing, O = TLS Lab Intermediate CA, CN = TLS Lab Intermediate CA
4
notBefore=May  7 14:23:14 2026 GMT
5
notAfter=May  7 14:23:14 2027 GMT

3.4 证书链验证#

1
# 构建完整证书链
2
cat int-ca.crt root-ca.crt > full-chain.pem
3

4
# 验证证书链
5
openssl verify -CAfile root-ca.crt -untrusted int-ca.crt server.crt

1
server.crt: OK

证书链的信任传递：

graph BT Server["终端证书 CN=localhost ECC P-256"] -->|"ECDSA 签名 验证"| IntCA["中间 CA CN=TLS Lab Intermediate CA RSA-2048"] IntCA -->|"RSA 签名 验证"| RootCA["Root CA CN=TLS Lab Root CA RSA-2048"] RootCA -->|"自签名"| Trust["信任库"] style Server fill:#e8f5e9,stroke:#2e7d32 style IntCA fill:#fff3e0,stroke:#e65100 style RootCA fill:#e3f2fd,stroke:#1565c0 style Trust fill:#fce4ec,stroke:#c62828

四、启动 TLS 服务器并分析握手#

4.1 启动 OpenSSL s_server#

1
# 启动 TLS 服务器
2
openssl s_server -accept 8443 \
3
  -cert server.crt -key server.key \
4
  -CAfile full-chain.pem -www

注：s_server 是 OpenSSL 内置的测试服务器，支持 TLS 1.2 和 TLS 1.3。-www 选项启用简单的 HTTP 响应，方便测试。

4.2 TLS 1.3 握手分析#

1
openssl s_client -connect 127.0.0.1:8443 -tls1_3

关键输出：

1
depth=2 C = CN, ST = Beijing, O = TLS Lab Root CA, CN = TLS Lab Root CA
2
verify return:1
3
depth=1 C = CN, ST = Beijing, O = TLS Lab Intermediate CA, CN = TLS Lab Intermediate CA
4
verify return:1
5
depth=0 C = CN, ST = Beijing, O = TLS Lab Server, CN = localhost
6
verify return:1
7
subject=C = CN, ST = Beijing, O = TLS Lab Server, CN = localhost
8
issuer=C = CN, ST = Beijing, O = TLS Lab Intermediate CA, CN = TLS Lab Intermediate CA
9
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384

逐行解读：

字段	含义	TLS 1.3 特点
`depth=2/1/0`	证书链深度：Root → Intermediate → End Entity	三层链是标准配置
`verify return:1`	每层证书验证通过	逐级验证签名
`New, TLSv1.3`	协议版本	TLS 1.3 强制使用
`Cipher is TLS_AES_256_GCM_SHA384`	协商的密码套件	仅 5 种套件可选

4.3 TLS 1.2 vs 1.3 对比#

1
# TLS 1.3
2
openssl s_client -connect 127.0.0.1:8443 -tls1_3 2>&1 | grep -E "Protocol|Cipher|New,"
3

4
# TLS 1.2
5
openssl s_client -connect 127.0.0.1:8443 -tls1_2 2>&1 | grep -E "Protocol|Cipher|New,"

1
=== TLS 1.3 ===
2
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
3

4
=== TLS 1.2 ===
5
New, TLSv1.2, Cipher is ECDHE-ECDSA-AES256-GCM-SHA384
6
    Protocol  : TLSv1.2
7
    Cipher    : ECDHE-ECDSA-AES256-GCM-SHA384

核心差异对比：

维度	TLS 1.3	TLS 1.2
密码套件格式	`TLS_AES_256_GCM_SHA384`	`ECDHE-ECDSA-AES256-GCM-SHA384`
密钥交换	隐含（强制 ECDHE）	显式指定（可选 RSA/ECDHE/DHE）
认证	隐含（证书签名算法）	显式指定（RSA/ECDSA）
前向安全	强制	取决于密钥交换选择
握手 RTT	1-RTT	2-RTT

注意：TLS 1.2 的密码套件名称包含密钥交换和认证算法，这意味着 RSA 密钥交换（无前向安全）仍然是可选的。TLS 1.3 删除了 RSA 密钥交换，所有连接都强制前向安全。

4.4 证书链与密钥类型#

1
openssl s_client -connect 127.0.0.1:8443 -showcerts 2>&1 | grep -E "s:|i:|a:"

1
 0 s:C = CN, ST = Beijing, O = TLS Lab Server, CN = localhost
2
   i:C = CN, ST = Beijing, O = TLS Lab Intermediate CA, CN = TLS Lab Intermediate CA
3
   a:PKEY: id-ecPublicKey, 256 (bit); sigalg: RSA-SHA256
4
 1 s:C = CN, ST = Beijing, O = TLS Lab Intermediate CA, CN = TLS Lab Intermediate CA
5
   i:C = CN, ST = Beijing, O = TLS Lab Root CA, CN = TLS Lab Root CA
6
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
7
 2 s:C = CN, ST = Beijing, O = TLS Lab Root CA, CN = TLS Lab Root CA
8
   i:C = CN, ST = Beijing, O = TLS Lab Root CA, CN = TLS Lab Root CA
9
   a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256

位置	证书	密钥类型	签名算法	说明
0	localhost	ECC P-256 (256 bit)	RSA-SHA256	终端证书用 ECC（更短更快）
1	Intermediate CA	RSA-2048	RSA-SHA256	中间 CA 用 RSA（兼容性好）
2	Root CA	RSA-2048	RSA-SHA256	根 CA 用 RSA（广泛信任）

注：混合密钥类型是现代 TLS 的常见配置——终端证书用 ECC 获得更短的密钥和更快的握手，CA 证书用 RSA 保证兼容性。

五、Python ssl 模块实践#

用 Python 的 ssl 模块获取 TLS 连接的详细信息，可以集成到自动化测试和监控系统中：

1
import ssl, socket
2

3
# 创建 SSL 上下文（默认支持 TLS 1.2+）
4
context = ssl.create_default_context()
5

6
# 连接 TLS 服务器
7
with socket.create_connection(("127.0.0.1", 8443)) as sock:
8
    with context.wrap_socket(sock, server_hostname="localhost") as ssock:
9
        print(f"协议版本: {ssock.version()}")
10
        print(f"密码套件: {ssock.cipher()}")
11

12
        # 获取证书信息
13
        cert = ssock.getpeercert()
14
        print(f"Subject: {dict(x[0] for x in cert['subject'])}")
15
        print(f"Issuer: {dict(x[0] for x in cert['issuer'])}")
16
        print(f"有效期: {cert['notBefore']} - {cert['notAfter']}")
17
        print(f"SAN: {cert.get('subjectAltName', 'N/A')}")

1
协议版本: TLSv1.3
2
密码套件: ('TLS_AES_256_GCM_SHA384', 'TLSv1.3', 256)
3
Subject: {'commonName': 'localhost', ...}
4
Issuer: {'commonName': 'TLS Lab Intermediate CA', ...}
5
有效期: May  7 14:23:14 2026 GMT - May  7 14:23:14 2027 GMT
6
SAN: (('DNS', 'localhost'), ('DNS', '*.localhost'), ('IP Address', '127.0.0.1'))

六、SSLKEYLOGFILE 与密钥推导验证#

TLS 1.3 的密钥推导使用 HKDF，从 ECDHE 共享密钥逐层派生所有密钥材料。SSLKEYLOGFILE 环境变量可以让 OpenSSL 或浏览器导出密钥日志，用于 Wireshark 解密 TLS 流量：

1
# 启动服务器（导出密钥日志）
2
SSLKEYLOGFILE=/tmp/sslkeys.log openssl s_server -accept 8443 \
3
  -cert server.crt -key server.key \
4
  -CAfile full-chain.pem -www
5

6
# 客户端连接（也导出密钥日志）
7
SSLKEYLOGFILE=/tmp/sslkeys.log openssl s_client -connect 127.0.0.1:8443 -tls1_3

密钥日志格式（每行包含一个密钥材料）：

1
CLIENT_RANDOM <client_random> <master_secret>
2
CLIENT_EARLY_TRAFFIC_SECRET <client_random> <early_secret>
3
CLIENT_HANDSHAKE_TRAFFIC_SECRET <client_random> <handshake_secret>
4
SERVER_HANDSHAKE_TRAFFIC_SECRET <client_random> <handshake_secret>
5
CLIENT_TRAFFIC_SECRET_0 <client_random> <application_secret>
6
SERVER_TRAFFIC_SECRET_0 <client_random> <application_secret>

注：密钥日志仅用于调试，绝不能在生产环境启用——它会让所有 TLS 流量可以被解密。Wireshark 可以通过 Edit → Preferences → Protocols → TLS → (Pre)-Master-Secret log filename 加载此文件来解密抓包数据。

七、小结#

本章从零构建了一套完整的 TLS 实验环境，覆盖了从证书签发到握手分析的完整链路：

步骤	命令/工具	验证内容
Root CA	`openssl req -x509`	自签名根证书
中间 CA	`openssl x509 -req`	CA, pathlen:0
终端证书	`openssl x509 -req`	CA, SAN
链验证	`openssl verify`	逐级签名验证
TLS 1.3 连接	`openssl s_client -tls1_3`	5 种密码套件、强制 ECDHE
TLS 1.2 连接	`openssl s_client -tls1_2`	70+ 种套件、可选 RSA
Python 分析	`ssl.wrap_socket`	自动化 TLS 测试
密钥推导	`SSLKEYLOGFILE`	HKDF 逐层派生