https双向认证

一、https双向认证原理

双向认证流程

1. 客户端发起建立HTTPS连接请求，将SSL协议版本的信息发送给服务端；
2. 服务器端将本机的公钥证书(server.crt)发送给客户端；
3. 客户端读取公钥证书(server.crt)，取出了服务端公钥；
4. 客户端将客户端公钥证书(client.crt)发送给服务器端；
5. 服务器端使用根证书(root.crt)解密客户端公钥证书，拿到客户端公钥；
6. 客户端发送自己支持的加密方案给服务器端；
7. 服务器端根据自己和客户端的能力，选择一个双方都能接受的加密方案；
8. 使用客户端的公钥加密. 后发送给客户端；
9. 客户端使用自己的私钥解密加密方案，生成一个随机数R，使用服务器公钥加密后传给服务器端；
10. 服务端用自己的私钥去解密这个密文，得到了密钥R；
11. 服务端和客户端在后续通讯过程中就使用这个密钥R进行通信了。

双向认证的目的主要是使得双方最终可以安全的得到秘钥R，后面所有传输都是通过秘钥R加密HTTPS双向认证，不仅仅需要用户浏览器校验服务器数字证书，还需要服务器端验证用户是否是可信的。

二、证书生成

如果要把整个双向认证的流程跑通，最终需要8个证书文件：

• 根证书：root.crt；

• 服务器端公钥证书：server.crt；
• 服务器端私钥文件：server.key;
• 客户端公钥证书：client.crt；
• 客户端私钥文件：client.key；
• 客户端集成证书(包括公钥和私钥，用于浏览器访问场景)：client.p12；
• 客户端集成证书(包括公钥和私钥，用于Spring客户端访问场景)：client.jks；
• 服务端集成证书(包括公钥和私钥，用于Spring服务端)：localhost.jks；

既然是双向验证，就需要双方的密钥，我们服务端称为server，而客户端称为client。

生成这一些列证书之前，我们需要先生成一个CA根证书，然后由这个CA根证书颁发服务器公钥证书和客户端公钥证书。

我们可以全程使用openssl来生成一些列的自签名证书，自签名证书没有听过证书机构的认证，很多浏览器会认为不安全，但我们用来实验是足够的。需要在本机安装了openssl后才能继续本章的实验。

2.1 生成根证书root.crt

# 生成根证书私钥
openssl genrsa -out root.key 1024

# 根据私钥创建根证书请求文件，需要输入一些证书的元信息：邮箱、域名等
openssl req -new -out root.csr -key root.key

# 结合私钥和请求文件，创建根证书，有效期10年
openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650

经过上面三个命令行，我们最终可以得到一个签名有效期为10年的根证书root.crt，后面我们可以用这个根证书去颁发服务器证书和客户端证书。

2.2 生成服务端证书server.crt和server.key

# 创建服务端私钥
openssl genrsa -out server.key 1024

# 根据私钥生成请求文件
openssl req -new -out server.csr -key server.key

# 结合私钥和请求文件创建服务端证书，有效期10年
openssl x509 -req -in server.csr -out server.crt -signkey server.key -CA ./root.crt -CAkey ./root.key -CAcreateserial -days 3650

如果需要只需要部署服务端证书端话，就可以结束了。拿着server.crt公钥和server.key私钥部署在服务器上，然后解析域名到改服务器指向到IP，证书就部署成功了。

2.3 生成客户端证书client.crt和client.key

如果需要做双向验证的，也就是服务端要验证客户端证书的情况。那么需要在同一个根证书下再生成一个客户端证书。

# 生成私钥
openssl genrsa -out client.key 1024

# 申请请求文件
openssl req -new -out client.csr -key client.key

# 生成证书
openssl x509 -req -in client.csr -out client.crt -signkey client.key -CA ./root.crt -CAkey ./root.key -CAcreateserial -days 3650

2.4 生成客户端PKCS12

# 生成客户端集成证书pkcs12格式的文件，方便浏览器或者http客户端访问(密码：123456)
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

2.5 生成JKS

Springboot项目中我们一般使用jks格式的文件：

openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -out server.p12

keytool -importkeystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass 123456 -alias server -deststorepass 123456 -destkeypass 123456 -destkeystore localhost.jks

keytool -importkeystore -srckeystore client.p12 -srcstoretype PKCS12 -srcstorepass 123456 -alias server -deststorepass 123456 -destkeypass 123456 -destkeystore client.jks

2.6 注意

根证书的Common Name填写root就可以，客户端和服务器端的证书这个字段需要填写域名，一定要注意的是，根证书的这个字段和客户端证书、服务器端证书不能一样。

三、 程序配置

3.1 Springboot整合双向验证

server:
  ssl:
    enabled: false
    key-store-type: JKS
    key-store: localhost.jks
    key-store-password: 123456
    key-alias: localhost
    client-auth: need
    trust-store: localhost.jks
    trust-store-type: JKS
    trust-store-provider: SUN
    trust-store-password: 123456

3.2 Nginx配置

有了上面的一些列证书，我们可以在Nginx服务器上配置双向认证的HTTPS服务了，具体配置方式如下：

server {
        listen       3001 ssl;
        server_name  www.yourdomain.com;
        ssl                  on;  
        ssl_certificate      /data/sslKey/server.crt;  #server公钥证书
        ssl_certificate_key  /data/sslKey/server.key;  #server私钥
        ssl_client_certificate /data/sslKey/root.crt;  #根证书，可以验证所有它颁发的客户端证书
        ssl_verify_client on;  #开启客户端证书验证  

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

具体就是将服务器端的两个证书文件(server.crt/server.key)和根证书文件(root.crt)的路径配置到nginx的server节点配置中，并且把ssl_verify_client这个参数设置为on。

有一点需要注意的就是，如果客户端证书不是由根证书直接颁发的，配置中还需要加一个配置：ssl_verify_depth 1.

配置完成后，执行nginx -s reload重新加载下就生效了。

3.3 使用curl作为客户端调用验证

使用curl加上证书路径，可以直接测试Nginx的HTTPS双向认证是否配置成功。下面我们测试三个用例：

• 使用client.crt/client.key这一套客户端证书来调用服务器端；
• 不使用证书来调用服务器端

3.3.1 携带证书

带证书的成功调用：

#--cert指定客户端公钥证书的路径
#--key指定客户端私钥文件的路径
#-k不校验证书的合法性，因为我们用的是自签名证书，所以需要加这个参数
#可以使用-v来观察具体的SSL握手过程

curl --cert ./client.crt --key ./client.key https://xxxxxx.com -k -v

3.3.2 无证书

curl https://xxxxx.com -k
<html>
<head><title>400 No required SSL certificate was sent</title></head>
<body>
<center><h1>400 Bad Request</h1></center>
<center>No required SSL certificate was sent</center>
<hr><center>nginx/1.17.5</center>
</body>
</html>

使用根证书颁发的客户端证书可以正常发起双向HTTPS认证的调用。没有带客户端证书的调用会被服务器端拒绝服务。

参考文章：

[1] HTTPS双向认证指南

[2] Https双向验证与Springboot整合测试-人来人往我只认你

[3] SSL/TLS 双向认证(一) -- SSL/TLS 工作原理

[4] Nginx证书配置：tomcat证书jks文件转nginx证书.cet和key文件

[5] 自签SSL证书以及https的双向认证