一、https
双向认证原理
双向认证流程
- 客户端发起建立
HTTPS
连接请求,将SSL
协议版本的信息发送给服务端; - 服务器端将本机的公钥证书(
server.crt
)发送给客户端; - 客户端读取公钥证书(
server.crt
),取出了服务端公钥; - 客户端将客户端公钥证书(
client.crt
)发送给服务器端; - 服务器端使用根证书(
root.crt
)解密客户端公钥证书,拿到客户端公钥; - 客户端发送自己支持的加密方案给服务器端;
- 服务器端根据自己和客户端的能力,选择一个双方都能接受的加密方案;
- 使用客户端的公钥加密. 后发送给客户端;
- 客户端使用自己的私钥解密加密方案,生成一个随机数
R
,使用服务器公钥加密后传给服务器端; - 服务端用自己的私钥去解密这个密文,得到了密钥
R
; - 服务端和客户端在后续通讯过程中就使用这个密钥R进行通信了。
双向认证的目的主要是使得双方最终可以安全的得到秘钥R
,后面所有传输都是通过秘钥R
加密HTTPS
双向认证,不仅仅需要用户浏览器校验服务器数字证书,还需要服务器端验证用户是否是可信的。
二、证书生成
如果要把整个双向认证的流程跑通,最终需要8个证书文件:
- 根证书:
root.crt
;
- 服务器端公钥证书:
server.crt
; - 服务器端私钥文件:
server.key
; - 客户端公钥证书:
client.crt
; - 客户端私钥文件:
client.key
; - 客户端集成证书(包括公钥和私钥,用于浏览器访问场景):
client.p12
; - 客户端集成证书(包括公钥和私钥,用于
Spring
客户端访问场景):client.jks
; - 服务端集成证书(包括公钥和私钥,用于
Spring
服务端):localhost.jks
;
既然是双向验证,就需要双方的密钥,我们服务端称为server
,而客户端称为client
。
生成这一些列证书之前,我们需要先生成一个CA
根证书,然后由这个CA
根证书颁发服务器公钥证书和客户端公钥证书。
我们可以全程使用openssl
来生成一些列的自签名证书,自签名证书没有听过证书机构的认证,很多浏览器会认为不安全,但我们用来实验是足够的。需要在本机安装了openssl
后才能继续本章的实验。
2.1 生成根证书root.crt
shell
# 生成根证书私钥
openssl genrsa -out root.key 1024
# 根据私钥创建根证书请求文件,需要输入一些证书的元信息:邮箱、域名等
openssl req -new -out root.csr -key root.key
# 结合私钥和请求文件,创建根证书,有效期10年
openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650
经过上面三个命令行,我们最终可以得到一个签名有效期为10年的根证书root.crt,后面我们可以用这个根证书去颁发服务器证书和客户端证书。
2.2 生成服务端证书server.crt
和server.key
shell
# 创建服务端私钥
openssl genrsa -out server.key 1024
# 根据私钥生成请求文件
openssl req -new -out server.csr -key server.key
# 结合私钥和请求文件创建服务端证书,有效期10年
openssl x509 -req -in server.csr -out server.crt -signkey server.key -CA ./root.crt -CAkey ./root.key -CAcreateserial -days 3650
如果需要只需要部署服务端证书端话,就可以结束了。拿着server.crt
公钥和server.key
私钥部署在服务器上,然后解析域名到改服务器指向到IP
,证书就部署成功了。
2.3 生成客户端证书client.crt
和client.key
如果需要做双向验证的,也就是服务端要验证客户端证书的情况。那么需要在同一个根证书下再生成一个客户端证书。
shell
# 生成私钥
openssl genrsa -out client.key 1024
# 申请请求文件
openssl req -new -out client.csr -key client.key
# 生成证书
openssl x509 -req -in client.csr -out client.crt -signkey client.key -CA ./root.crt -CAkey ./root.key -CAcreateserial -days 3650
2.4 生成客户端PKCS12
shell
# 生成客户端集成证书pkcs12格式的文件,方便浏览器或者http客户端访问(密码:123456)
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
2.5 生成JKS
Springboot
项目中我们一般使用jks
格式的文件:
shell
openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -out server.p12
keytool -importkeystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass 123456 -alias server -deststorepass 123456 -destkeypass 123456 -destkeystore localhost.jks
keytool -importkeystore -srckeystore client.p12 -srcstoretype PKCS12 -srcstorepass 123456 -alias server -deststorepass 123456 -destkeypass 123456 -destkeystore client.jks
2.6 注意
根证书的Common Name
填写root
就可以,客户端和服务器端的证书这个字段需要填写域名,一定要注意的是,根证书的这个字段和客户端证书、服务器端证书不能一样。
三、 程序配置
3.1 Springboot
整合双向验证
shell
server:
ssl:
enabled: false
key-store-type: JKS
key-store: localhost.jks
key-store-password: 123456
key-alias: localhost
client-auth: need
trust-store: localhost.jks
trust-store-type: JKS
trust-store-provider: SUN
trust-store-password: 123456
3.2 Nginx
配置
有了上面的一些列证书,我们可以在Nginx
服务器上配置双向认证的HTTPS
服务了,具体配置方式如下:
shell
server {
listen 3001 ssl;
server_name www.yourdomain.com;
ssl on;
ssl_certificate /data/sslKey/server.crt; #server公钥证书
ssl_certificate_key /data/sslKey/server.key; #server私钥
ssl_client_certificate /data/sslKey/root.crt; #根证书,可以验证所有它颁发的客户端证书
ssl_verify_client on; #开启客户端证书验证
location / {
root html;
index index.html index.htm;
}
}
具体就是将服务器端的两个证书文件(server.crt/server.key
)和根证书文件(root.crt
)的路径配置到nginx
的server
节点配置中,并且把ssl_verify_client
这个参数设置为on
。
有一点需要注意的就是,如果客户端证书不是由根证书直接颁发的,配置中还需要加一个配置:ssl_verify_depth 1
.
配置完成后,执行nginx -s reload
重新加载下就生效了。
3.3 使用curl
作为客户端调用验证
使用curl
加上证书路径,可以直接测试Nginx
的HTTPS
双向认证是否配置成功。下面我们测试三个用例:
- 使用
client.crt/client.key
这一套客户端证书来调用服务器端; - 不使用证书来调用服务器端
3.3.1 携带证书
带证书的成功调用:
shell
#--cert指定客户端公钥证书的路径
#--key指定客户端私钥文件的路径
#-k不校验证书的合法性,因为我们用的是自签名证书,所以需要加这个参数
#可以使用-v来观察具体的SSL握手过程
curl --cert ./client.crt --key ./client.key https://xxxxxx.com -k -v
3.3.2 无证书
shell
curl https://xxxxx.com -k
<html>
<head><title>400 No required SSL certificate was sent</title></head>
<body>
<center><h1>400 Bad Request</h1></center>
<center>No required SSL certificate was sent</center>
<hr><center>nginx/1.17.5</center>
</body>
</html>
使用根证书颁发的客户端证书可以正常发起双向HTTPS
认证的调用。没有带客户端证书的调用会被服务器端拒绝服务。
参考文章:
[1] HTTPS
双向认证指南
[2] Https
双向验证与Springboot
整合测试-人来人往我只认你
[3] SSL/TLS
双向认证(一) -- SSL/TLS
工作原理