一、前置条件
拥有域名且备案的服务器一台(域名并不是绝对条件,根据购买CA的证书类型决定;备案是因为CA认证域名所有者的方式中,如果采用文件认证的方式,需要服务器开通80端口,CA会访问域名:80 下的文件来验证域名所有者身份;当然,如果你在HK那就无需备案)
受信CA的证书(受信的意思是CA机构的根证书必须受各个操作系统信任,安卓IOSWINDOWS系统中都有一个信任证书列表,存放所有可信的根证书;不受信的CA机构当然也有,例如12306的证书颁发者是不受信的,所以要手动添加不受信的CA根证书到系统受信列表中)
知识储备:CA 证书 根证书 自建CA证书 证书签发 签名 非对称加密 对称加密 散列
二、NGINX配置
1. 单向配置(客户端认证服务器是否合法有效)
过程:客户端发起https请求 => 服务端返回证书文件 => 客户端校验证书的颁发机构是否在系统中受信 => 受信则根据证书中的公钥加密一个随机数(后续通信中对称加密的key)=> 服务端使用私钥解密拿到key,后面与客户端的通信皆使用该key对称加解密信息 => ...
server {
server_name ssl.demo.com;
listen 443;
ssl on; # 开启ssl认证,即https
ssl_certificate ca-demo/server/server.crt; # CA机构颁发的证书文件路径,后缀是cer或crt都可以,CA下载的文件中包含此文件
ssl_certificate_key ca-demo/server/server.key; # CA机构颁发的证书对应的私钥文件路径,CA下载的文件中包含此文件
location / {
root html;
index index.html index.htm;
}
}
此时,浏览器访问该域名https://ssl.demo.com
,会发现浏览器地址栏显示绿色小锁头,表示证书受信,单向配置成功。
题外话:一般app或者网站都会采用单向认证,而不采用双向认证,并不是由于双向认证多了一个认证过程耗时,而是由于一般服务器对客户端的认证都会在登录时进行验证,登陆成功即认为客户端有效,因此市面上app很少见到双向认证的。
补充:关于原生是否要预埋服务端证书的问题。阿里聚安全建议采用预埋证书的方式防止中间人攻击(例如Fiddler调试HTTPS),问过别的同事他们产品中也采用了预埋证书的方式,解释一下预埋证书,即将服务端证书(不论证书是否受信任)打包到app中,当app请求服务器端时,比对本地的证书与服务端响应回来的证书是否一致,验证通信的服务器是否正确无误。但是,预埋证书同样有问题,如果服务端证书失效续期后,客户端必须重新打包续期后新的证书,必须要求所有用户强制升级客户端。
2. 双向配置(服务端认证客户端是否有效合法)
过程:使用keytool或者openssl生成一个证书(client.crt)和key(client.p12 P12格式),专门用于服务端校验客户端身份,证书放到服务端,key(client.p12)打包到客户端
。
server {
server_name ssl.demo.com;
listen 443;
ssl on;
ssl_certificate ca-demo/server/server.crt;
ssl_certificate_key ca-demo/server/server.key;
ssl_client_certificate ca-demo/client.crt; # 客户端crt
ssl_verify_client on; # 开启客户端身份校验
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
补充:原生如果不预埋服务端证书(server.crt),那么代码中仅需要配置一个证书(P12),IOS比较方便,直接使用P12证书即可,安卓貌似比较麻烦(好像要将P12生成keystore,然后才可以使用)
三、双向认证详细说明
服务端证书说明
1. 1_ca.com.cn_bundle.crt
CA机构颁发,从CA网站下载
2. 2_ca.com.cn.key
CA机构颁发,从CA网站下载
2. server.cer
使用openssl将1_ca.com.cn_bundle.crt转换为server.cer文件
命令:
openssl x509 -in 1_ca.com.cn_bundle.crt -out server.cer -outform der
3. App预埋服务端信任证书:
将server.cer发给安卓与IOS
客户端证书
1. 生成客户端证书库 client.p12
"C:\Java\jdk170\bin\keytool" -validity 36500 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore client.p12 -dname "CN=clients.itjoyee.com,OU=jiajianfa,O=jiajianfa,L=Hefei,ST=Anhui,c=cn" -storepass 123456 -keypass 123456
2. 从客户端证书库中导出客户端证书 client.cer
"C:\Java\jdk170\bin\keytool" -export -v -alias client -keystore client.p12 -storetype PKCS12 -storepass 123456 -rfc -file client.cer
3. 将client.p12转换为client.bks
请参考下面文章:
http://blog.csdn.net/zhangyong125/article/details/50402183
4. 将client.cer加入nginx配置中
ssl_client_certificate client.crt;
5. 证书分发原生
将client.p12发给IOS,client.bks发给安卓