在 Apache 中无需 SSL 的服务器之间发送加密数据

Question

我有几个独立的 PHP 应用程序在几台服务器上运行。所有服务器都没有 SSL，但我可以使用 PHP 包装器来支持 SSL。我想确保服务器之间发送的所有数据都是安全且经过签名的。我是否需要生成证书，或者每次发送内容时创建公钥/私钥就足够了吗？这种方法安全吗？

Answer 1

我需要生成证书还是创建证书就足够了
每次我发送东西时的公钥/私钥？

不要每次都生成公钥/私钥。您如何检查谁拥有私钥的控制权？证书的要点是能够将身份绑定到公钥：检查您是否信任该证书以及您是否愿意与其所引用的身份进行通信是确保通信安全的必要组成部分。

据我了解，服务器之间的通信不涉及用户交互本身。如果您控制所有服务器，您可以向它们提供证书，可以是自签名 X.509 证书（如果您可以为所有各方安装所有证书：实际上仅适用于少数服务器）或您自己的 CA（如果您有 OpenSSL，查看CA.pl，其中有一个手册页）。

然后，您可以使用 S/MIME 对交换的内容进行签名和加密（PHP 中有可用的函数）。

（您也可以使用 PGP 来实现相同的目标，但使用 PGP 密钥/证书。）

Answer 2

如果两台机器都有 mcrypt，那么您可能可以在一端加密要在 PHP 中通过线路发送的文本，并在另一端解密，但当然，这里遇到的大问题将是密钥分发。您要么必须使用正确的密钥预先配置每台计算机，并希望没有人注意到您每次都使用相同的密钥（这很糟糕），要么您必须想出某种方式来分发您的密钥。当您发送数据时，将密钥发送给接收机器，而密钥不会被窥探。 （这很复杂）。

你也提到了签名，这也是一个棘手的问题。

虽然理论上可以使用适当的扩展（例如 mcrypt）在 PHP 中实现所有这些，但老实说，我怀疑是否值得付出努力去做正确的事情，这将是相当大的，您也只是在重新发明轮子。

SSL 已经实现了您需要的所有功能，并且是公认的行业标准，如果可能的话，我强烈建议您安装它。

Answer 3

在我的一个小项目中，我使用 Blowfish 加密进行一些数据传输，使用大多数服务器上可用的 mcrypt 扩展：

$encrypted = mcrypt_encrypt(MCRYPT_BLOWFISH, 'here goes a key', $data, MCRYPT_MODE_ECB, null);

解密的方式相同，只需使用 mcrypt_decrypt 即可。这是共享密钥，而不是公钥/私钥系统。