E4b9a6's blog
有善始者实繁,能克终者盖寡。
作者:E4b9a6, 创建:2024-06-17, 字数:8685, 已阅:410, 最后更新:2024-06-17
这篇文章更新于 157 天前,文中部分信息可能失效,请自行甄别无效内容。
HTTPS双向认证,也称为客户端认证、双向SSL认证或双向身份验证,是一种增强的HTTPS安全协议,用于确保Web服务器和客户端之间的双向身份验证和通信加密
在传统的 HTTPS 连接中,只有服务器需要提供数字证书来验证其身份,并启用加密通信,而HTTPS双向认证要求不仅服务器要验证其身份,客户端也需要提供数字证书进行身份验证
https(Hypertext Transfer Protocol Secure)是在 http 的基础上增加 SSL 加密
通过双向认证,HTTPS确保了服务器和客户端之间的互相验证,防止中间人攻击和身份伪装
这种安全机制常用于需要更高安全性和身份验证的环境,如在线银行、电子商务和企业内部网络等
传统的 HTTPS 访问过程如下
双向认证是在上面的基础上增加多一次认证,如下
Nginx启用HTTPS流程:
先手动生产一个测试用的CA证书
自行产生的证书,浏览器会提示证书不安全
先创建并切换到存放HTTPS证书的文件夹
mkdir /etc/nginx/ssl_certs
cd /etc/nginx/ssl_certs
制作CA私钥和证书,全部配置填"."
openssl genrsa -out ca.key 2048
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
制作服务器证书签发文件,除了Common Name填入域名,其他全部填入"."以便和CA根证书对应
openssl genrsa -out server.pem 1024
openssl rsa -in server.pem -out server.key
openssl req -new -key server.pem -out server.csr
使用CA证书进行签发
openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt
签发后,产生了我们需要的 crt 和 key 文件
编辑:/etc/nginx/conf.d/default.conf
server {
listen 443 ssl;
server_name www.example.com;
#charset koi8-r;
#access_log /var/log/nginx/host.access.log main;
ssl on;
ssl_certificate /etc/nginx/ssl/server.crt; # 服务端HTTPS的证书,不能自己产生,否则会提示证书不安全,该配置与客户端证书无关
ssl_certificate_key /etc/nginx/ssl/server.key; # 服务端HTTPS的证书,不能自己产生,否则会提示证书不安全,该配置与客户端证书无关
location / {
proxy_pass_header Server;
proxy_pass_header X-Scheme;
proxy_set_header Host $http_host;
proxy_set_header X-SSL-CERT $ssl_client_escaped_cert;
proxy_set_header X-SSL-CERT-DN $ssl_client_s_dn;
proxy_set_header X-SSL-CERT-VERIFY $ssl_client_verify;
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://192.168.10.100:5000/;
}
}
验证使用HTTPS访问
# 因证书自签必须使用insecure忽略证书风险,提示否则curl会返回证书不安全测试失败的结果
curl --insecure 'https://www.example.com' -v
客户端证书一般就采用自己配置根证书来签发自己的客户端证书,签发客户端证书会包含几个重要的属性,分别是
制作客户端证书的流程一般为
首先要编辑默认CA创建规则,根据需要自行修改一下默认的参数
编辑/etc/pki/tls/openssl.cnf
/etc/pki/CA/ # 所有资料全存放在此目录下
/etc/pki/CA/certs/ # 存放CA证书
/etc/pki/CA/crl/ # 存放证书吊销列表
/etc/pki/CA/index.txt # 存放可用、不可用证书的数据库
/etc/pki/CA/newcerts # 存放CA的新目录
/etc/pki/CA/cacert.pem # 生成的自签名证书
/etc/pki/CA/serial # 下个证书的编号,16进制,多从00或01开始
/etc/pki/CA/crlnum # 下一个吊销证书的编号
/etc/pki/CA/crl.pem # 下一个吊销列表
/etc/pki/CA/private/cakey.pem # 默认密钥
# 匹配策略的可选值
match # 必须匹配,默认是国家、州(省)、组织名称
supplied # 必填,为哪个主机申请证书,一般对应域名
optional # 可选
根据具体的环境调整好上述的参数之后,我们就可以开始制作客户端证书
文件夹位置根据实际情况自行调整
生成创建证书所必须的基本文件
# 生成数据库文件,记录证书信息(包含序列号、序号、证书自定义CN信息等)
touch /etc/pki/CA/index.txt
# 生成存放证书编号的文件(一般存储即将颁发的下一个证书序号)
echo 00 > /etc/pki/CA/serial
切换到/etc/pki/CA,开始生成签证客户端的根证书
openssl req -new -x509 -key private/cakey.pem -days 3650 -out cacert.pem
接下来签发客户端的证书(此处有提供一键脚本执行)
# 创建存放客户端证书的文件夹
mkdir /etc/nginx/client_ssl
# 切换到存放客户端证书的目录
cd /etc/nginx/client_ssl
# 创建客户端证书私钥
(umask 066; openssl genrsa -out client_01.key 1024)
# 创建请求根证书签证的文件
openssl req -new -key client_01.key -out client_01.csr
# 创建客户端证书
openssl ca -in client_01.csr -out client_01.crt -days 730
client_01.crt 就是客户端证书
编辑:/etc/nginx/conf.d/default.conf
server {
listen 443 ssl;
server_name www.example.com;
#charset koi8-r;
#access_log /var/log/nginx/host.access.log main;
ssl on;
ssl_certificate /etc/nginx/ssl/server.crt; # 服务端HTTPS的证书,不能自己产生,否则会提示证书不安全,该配置与客户端证书无关
ssl_certificate_key /etc/nginx/ssl/server.key; # 服务端HTTPS的证书,不能自己产生,否则会提示证书不安全,该配置与客户端证书无关
ssl_client_certificate /etc/nginx/ssl/ca.crt; # 客户端的CA根证书,由自己的机器OPENSSL生成
ssl_verify_client optional; # 是否启用客户端验证,ON为启用,OFF为不启用,如需自定义验证结果处理则填入optional
if ($ssl_client_verify = NONE) {
return 303 http://www.example.com/error;
}
location / {
proxy_pass_header Server;
proxy_pass_header X-Scheme;
proxy_set_header Host $http_host;
proxy_set_header X-SSL-CERT $ssl_client_escaped_cert; # 转发证书信息
proxy_set_header X-SSL-CERT-DN $ssl_client_s_dn; # 转发证书的CN信息
proxy_set_header X-SSL-CERT-VERIFY $ssl_client_verify; # 转发证书的验证结果,成功为success
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://192.168.10.100:5000/;
}
}
测试客户端证书能否正常访问网页
# -v参数可以打印详细信息以便我们核查证书的详细信息
curl --insecure --key ./client.key --cert ./client.crt 'https://www.example.com' -v
以上步骤我整理为一个简易的客户端证书脚本,如下
#!/bin/bash -e
# 运行脚本前请记得设置好openssl.cnf配置文件
# 运行成功返回0,运行失败(缺少参数)返回-1
show_help() {
echo "$0 [-h|-?|--help] [--ou ou] [--cn cn] [--email email]"
echo "-h|-?|--help 显示帮助"
echo "--ou 设置组织或部门名"
echo "--cn 设置证书的DN信息"
echo "--email 设置证书的邮箱信息"
echo "--days 设置证书的有效时间"
echo "--out 设置证书的输出目录(含文件名)"
}
while [[ $# -gt 0 ]]; do
case $1 in
-h | -\? | --help)
show_help
exit 0
;;
--ou)
OU="${2}"
shift
;;
--cn)
CN="${2}"
shift
;;
--email)
emailAddress="${2}"
shift
;;
--days)
days="${2}"
shift
;;
--out)
out="${2}"
shift
;;
--)
shift
break
;;
*)
echo -e "Error: $0 invalid option '$1'\nTry '$0 --help' for more information.\n" >&2
exit -1
;;
esac
shift
done
# 创建客户端证书
# 非交互式方式创建以下内容:
# 国家名(2个字母的代号)
C=CN
# 省
ST=GuangDong
# 市
L=GuangDong
# 公司名
O=TY
# 部门名
OU=${OU:-未知}
# DN信息
CN=${CN:-未知}
# 邮箱地址
emailAddress=${emailAddress:-virtual@example.com}
# 创建私钥
openssl req -utf8 -nodes -newkey rsa:2048 -keyout "${out}.key" -new -days "${days}" -out "${out}.csr" -subj "/C=${C}/ST=${ST}/L=${L}/O=${O}/OU=${OU}/CN=${CN}/emailAddress=${emailAddress}"
# 使用根证书进行进行签证
openssl ca -utf8 -batch -days 36500 -in "${out}.csr" -out "${out}.crt"
# 转换客户端证书的类型为浏览器支持的模式
openssl pkcs12 -export -inkey "${out}.key" -in "${out}.crt" -passout pass: -out "${out}.pfx"
exit 0
SSL证书常用格式转换方法
# crt转pfx(p12)
openssl pkcs12 -export -inkey server.key -in server.crt -out server.pfx
# csr转pfx(p12)
openssl pkcs12 -export -inkey server.key -in server.csr -out server.pfx
# pfx转jks
keytool -importkeystore -v -srckeystore client.pfx -srcstoretype pkcs12 -destkeystore client.keystore -deststoretype jks
# jks转p12(pfx)
keytool -importkeystore -srckeystore client_pri.keystore -destkeystore client_pri.p12 -srcstoretype JKS -deststoretype PKCS12 -srcalias imgo.tv -destalias imgo.tv -noprompt
# pfx转x509
openssl pkcs12 -in onovps.com.pfx -nodes -out onovps.com.pem
openssl rsa -in onovps.com.pem -out onovps.com.key
openssl x509 -in onovps.com.pem -out onovps.com.crt
资料参考