加密软件加密过的文件，上传到服务器为什么要解密？

这个主要原因可能还是担心进行加密保护过的文件，上传服务器后，大家共享时无法正常打开使用。

很多加密后都是在本地存储并保持读取，如果是局域网共享的话需要用专门的共享加密类软件才可以的。

建议多多了解一下，或是咨询相关工作人员。

但是HTTPS的通讯是加密的，所以默认情况下你只能看到HTTPS在建立连接之初的交互证书和协商的几个消息而已，真正的业务数据（HTTP消息）是被加密的，你必须借助服务器密钥（私钥）才能查看。即使在HTTPS双向认证（服务器验证客户端证书）的情况下，你也只需要服务器私钥就可以查看HTTPS消息里的加密内容。

1. 配置Wireshark选中Wireshark主菜单Edit->Preferences，将打开一个配置窗口；窗口左侧是一棵树（目录），你打开其中的Protocols，将列出所有Wireshark支持的协议；在其中找到SSL并选中，右边窗口里将列出几个参数，其中“RSA keys list”即用于配置服务器私钥。该配置的格式为：

,,,

各字段的含义为：

---- 服务器IP地址（对于HTTPS即为WEB服务器）。

---- SSL的端口（HTTPS的端口，如443，8443）。

---- 服务器密钥文件，文件里的私钥必须是明文（没有密码保护的格式）。

例如： 192.168.1.1,8443,http,C:/myserverkey/serverkey.pem

若你想设置多组这样的配置，可以用分号隔开，如：

192.168.1.1,8443,http,C:/myserverkey/clearkey.pem10.10.1.2,443,http,C:/myserverkey/clearkey2.pem

openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem /

-outform PEM -subj "/O=ABCom/OU=servers/CN=servername"M而且你的服务器私钥文件serverkey.pem还在，则可以这样导出服务器私钥明文文件：

openssl rsa -in serverkey.pem >clearkey.pem

执行命令式需要输入私钥的保护密码就可以得到私钥明文文件clearkey.pem了。

（2）若你已把serverkey.pem丢了，但还有pkcs12格式的服务器证书库文件，该文件当初用类似于以下命令生成的：

openssl pkcs12 -export -in servercert.pem -inkey serverkey.pem /

-out tomcat.p12 -name tomcat -CAfile "$HOME/testca/cacert.pem" /

-caname root -chain

则，你可以用下面命令把服务器私钥从tomcat.p12（pkcs12格式）文件里导出来：

openssl pkcs12 -in tomcat.p12 -nocerts -nodes -out clearkey.pem

执行命令式需要输入pkcs12的保护密码。

HTTPS即加密的HTTP，HTTPS并不是一个新协议，而是HTTP+SSL（TLS）。原本HTTP先和TCP（假定传输层是TCP协议）直接通信，而加了SSL后，就变成HTTP先和SSL通信，再由SSL和TCP通信，相当于SSL被嵌在了HTTP和TCP之间。

我们首先了解几个基本概念。

共享密钥加密（对称密钥加密） ：加密和解密同用一个密钥。加密时就必须将密钥传送给对方，那么如何安全的传输呢？

公开密钥加密（非对称密钥加密） ：公开密钥加密使用一对非对称的密钥。一把叫做私有密钥，一把叫做公开密钥。私有密钥不能让其他任何人知道，而公开密钥则可以随意发布，任何人都可以获得。使用此加密方式，发送密文的一方使用公开密钥进行加密处理，对方收到被加密的信息后，再使用自己的私有密钥进行解密。利用这种方式，不需要发送用来解密的私有密钥，也不必担心密钥被攻击者窃听盗走。

但由于公开密钥比共享密钥要慢，所以我们就需要综合一下他们两者的优缺点，使他们共同使用，而这也是HTTPS采用的加密方式。 在交换密钥阶段使用公开密钥加密方式，之后建立通信交换报文阶段则使用共享密钥加密方式。

这里就有一个问题，如何证明公开密钥本省是货真价实的公开密钥。如，正准备和某台服务器建立公开密钥加密方式下的通信时，如何证明收到的公开密钥就是原本预想的那台服务器发行的公开密钥。或许在公开密钥传输过程中，真正的公开密钥已经被攻击者替换掉了。为了解决这个问题，可以使用由数字证书认证机构（CA，Certificate Authority）和其他相关机关颁发的公开密钥证书。

下图是https通信步骤图：

下面是详细步骤：

步骤 1： 客户端通过发送 Client Hello 报文开始 SSL 通信。报文中包

含客户端支持的 SSL 的指定版本、加密组件（Cipher Suite）列表（所

使用的加密算法及密钥长度等）。

步骤 2： 服务器可进行 SSL 通信时，会以 Server Hello 报文作为应

答。和客户端一样，在报文中包含 SSL 版本以及加密组件。服务器的

加密组件内容是从接收到的客户端加密组件内筛选出来的。

步骤 3： 之后服务器发送 Certificate 报文。报文中包含公开密钥证

书。

步骤 4： 最后服务器发送 Server Hello Done 报文通知客户端，最初阶

段的 SSL 握手协商部分结束。

步骤 5： SSL 第一次握手结束之后，客户端以 Client Key Exchange 报

文作为回应。报文中包含通信加密中使用的一种被称为 Pre-master

secret 的随机密码串。该报文已用步骤 3 中的公开密钥进行加密。

步骤 6： 接着客户端继续发送 Change Cipher Spec 报文。该报文会提

示服务器，在此报文之后的通信会采用 Pre-master secret 密钥加密。

步骤 7： 客户端发送 Finished 报文。该报文包含连接至今全部报文的

整体校验值。这次握手协商是否能够成功，要以服务器是否能够正确

解密该报文作为判定标准。

步骤 8： 服务器同样发送 Change Cipher Spec 报文。

步骤 9： 服务器同样发送 Finished 报文。

步骤 10： 服务器和客户端的 Finished 报文交换完毕之后，SSL 连接

就算建立完成。当然，通信会受到 SSL 的保护。从此处开始进行应用

层协议的通信，即发送 HTTP 请求。

步骤 11： 应用层协议通信，即发送 HTTP 响应。

步骤 12： 最后由客户端断开连接。断开连接时，发送 close_notify 报

文。上图做了一些省略，这步之后再发送 TCP FIN 报文来关闭与 TCP

的通信。

在以上流程中，应用层发送数据时会附加一种叫做MAC（Message Authentication Cods）的报文摘要。MAC能够查知报文是否遭到篡改从，从而保护报文的完整性。

---