记录一次使用CA证书搭建双向认证过程

一、前置条件

  1. 拥有域名备案的服务器一台(域名并不是绝对条件,根据购买CA的证书类型决定;备案是因为CA认证域名所有者的方式中,如果采用文件认证的方式,需要服务器开通80端口,CA会访问域名:80 下的文件来验证域名所有者身份;当然,如果你在HK那就无需备案)

  2. 受信CA的证书(受信的意思是CA机构的根证书必须受各个操作系统信任,安卓IOSWINDOWS系统中都有一个信任证书列表,存放所有可信的根证书不受信的CA机构当然也有,例如12306的证书颁发者是不受信的,所以要手动添加不受信CA根证书到系统受信列表中)

  3. 知识储备:CA 证书 根证书 自建CA证书 证书签发 签名 非对称加密 对称加密 散列


二、NGINX配置

1. 单向配置(客户端认证服务器是否合法有效)

过程:客户端发起https请求 => 服务端返回证书文件 => 客户端校验证书的颁发机构是否在系统中受信 => 受信则根据证书中的公钥加密一个随机数(后续通信中对称加密的key)=> 服务端使用私钥解密拿到key,后面与客户端的通信皆使用该key对称加解密信息 => ...

 server {
   server_name ssl.demo.com;
   listen 443;
   ssl on; # 开启ssl认证,即https
   ssl_certificate ca-demo/server/server.crt; # CA机构颁发的证书文件路径,后缀是cer或crt都可以,CA下载的文件中包含此文件
   ssl_certificate_key ca-demo/server/server.key; # CA机构颁发的证书对应的私钥文件路径,CA下载的文件中包含此文件
   location / {
     root html;
     index index.html index.htm;
   }
}

此时,浏览器访问该域名https://ssl.demo.com,会发现浏览器地址栏显示绿色小锁头,表示证书受信,单向配置成功。

受信CA证书网站

题外话:一般app或者网站都会采用单向认证,而不采用双向认证,并不是由于双向认证多了一个认证过程耗时,而是由于一般服务器对客户端的认证都会在登录时进行验证,登陆成功即认为客户端有效,因此市面上app很少见到双向认证的。

补充关于原生是否要预埋服务端证书的问题。阿里聚安全建议采用预埋证书的方式防止中间人攻击(例如Fiddler调试HTTPS),问过别的同事他们产品中也采用了预埋证书的方式,解释一下预埋证书,即将服务端证书(不论证书是否受信任)打包到app中,当app请求服务器端时,比对本地的证书与服务端响应回来的证书是否一致,验证通信的服务器是否正确无误。但是,预埋证书同样有问题,如果服务端证书失效续期后,客户端必须重新打包续期后新的证书,必须要求所有用户强制升级客户端。

2. 双向配置(服务端认证客户端是否有效合法)

过程:使用keytool或者openssl生成一个证书(client.crt)和key(client.p12 P12格式),专门用于服务端校验客户端身份,证书放到服务端,key(client.p12)打包到客户端

server {
                server_name ssl.demo.com;
                listen 443;
                ssl on;
                ssl_certificate                 ca-demo/server/server.crt;
                ssl_certificate_key             ca-demo/server/server.key;

                ssl_client_certificate          ca-demo/client.crt; # 客户端crt
                ssl_verify_client               on; # 开启客户端身份校验

                ssl_session_cache               shared:SSL:1m;
                ssl_session_timeout             5m;
                ssl_ciphers                     HIGH:!aNULL:!MD5;
                ssl_prefer_server_ciphers       on;

                location / {
                        root html;
                        index index.html index.htm;
               }
        }

补充:原生如果不预埋服务端证书(server.crt),那么代码中仅需要配置一个证书(P12),IOS比较方便,直接使用P12证书即可,安卓貌似比较麻烦(好像要将P12生成keystore,然后才可以使用)

客户端未安装P12服务端将拒绝服务

三、双向认证详细说明

服务端证书说明

1. 1_ca.com.cn_bundle.crt

CA机构颁发,从CA网站下载

2. 2_ca.com.cn.key

CA机构颁发,从CA网站下载

2. server.cer

使用openssl将1_ca.com.cn_bundle.crt转换为server.cer文件

命令:

openssl x509 -in 1_ca.com.cn_bundle.crt -out server.cer -outform der

3. App预埋服务端信任证书:

将server.cer发给安卓与IOS

客户端证书

1. 生成客户端证书库 client.p12

"C:\Java\jdk170\bin\keytool" -validity 36500 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore client.p12 -dname "CN=clients.itjoyee.com,OU=jiajianfa,O=jiajianfa,L=Hefei,ST=Anhui,c=cn" -storepass 123456 -keypass 123456

2. 从客户端证书库中导出客户端证书 client.cer

"C:\Java\jdk170\bin\keytool" -export -v -alias client -keystore client.p12 -storetype PKCS12 -storepass 123456 -rfc -file client.cer

3. 将client.p12转换为client.bks

请参考下面文章:
http://blog.csdn.net/zhangyong125/article/details/50402183

4. 将client.cer加入nginx配置中

ssl_client_certificate          client.crt;

5. 证书分发原生

将client.p12发给IOS,client.bks发给安卓


四、参考文档

  1. 如何使用Java访问双向认证的Https资源

  2. Https、OpenSSL自建CA证书及签发证书、nginx单向认证、双向认证及使用Java访问

  3. 数字证书的原理是什么?

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
禁止转载,如需转载请通过简信或评论联系作者。
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,686评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,668评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,160评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,736评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,847评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,043评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,129评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,872评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,318评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,645评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,777评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,470评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,126评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,861评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,095评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,589评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,687评论 2 351

推荐阅读更多精彩内容