本文介绍通过NGINX配置实现WEB服务器单双向混合认证:
- 实现HTTPS服务器证书认证
- 对于一般网络客户端,强制客户端证书认证
- 对于信任网络,可以免除客户端证书认证
背景
对信息安全要求较高的互联网应用,除了传统的HTTPS之外,还引入了客户端证书认证,变成双向认证,比如银行客户端专业版软件,通常需要配合类似USB KEY的数字证书,才能使用。
随着对安全的越来越重视,一般企业应用引入双向认证的案例也越来越多。本文介绍的案例是面向代理商的应用,代理商大小不一,有的有专门IT人员规范公司IT,安全性较高,有的则全靠前端门店店员自己管理。
客户引入双向认证除了确保通信安全外,还有一个重要考虑是确保员工岗位变动或离职,引起的账户泄露风险,有客户端证书(USB KEY)之后,只要集中管理好客户端证书就可以了。
但同时也存在一些问题:
- 发行客户端证书需要费用还要走申请流程(向外部CA申请的话,申请资料邮寄,发行制作,邮寄证书等)
- 为识别客户端证书通常需要安装专门驱动软件,这可能不符合组织安全政策,另外因系统升级容易破坏驱动的兼容性,导致证书不可用。
为解决上述问题,在不增加成本前提下,本文尝试探讨NGINX单双向混合认证。
方案示意图
实现步骤
安装NGINX
sudo apt install nginx
更改配置文件
sudo vi /etc/nginx/sites-enabled/default
用以下类容替换原来的
upstream backend {
server 10.100.99.195:8080; #后端APP应用地址
}
geo $is_in_white_list {
default NO; #默认拒绝
10.100.99.221 YES; #白名单用户,通过
}
server {
listen 443 ssl default_server;
include snippets/snakeoil.conf; #服务器证书设置,偷懒使用NGINX安装自带证书
ssl_client_certificate /home/simon/root/root-cert.pem; #客户端认证证书CA,需要自己制作,请自行百度
ssl_verify_client optional; #请求提供客户端证书,但不强制
location / {
if ($is_in_white_list = YES) { #白名单用户,通过
proxy_pass http://backend;
break;
}
#客户端证书验证未通过
if ($ssl_client_verify != "SUCCESS") { return 400 ;}
proxy_pass http://backend;
}
}
启动nginx(服务器地址10.100.99.195)
sudo systemctl start nginx
启动后端APP
(这里在同一台机器用的docker容器启动tomcat,各位根据实验条件自己设置,只要设置的地址能访问后端服务即可)
sudo docker run --rm -p8080:8080 tomcat &>/dev/null &
验证一下
- 在10.100.99.221用IE访问https://10.100.99.195
-
在10.100.99.221以外地址用IE访问https://10.100.99.195
服务器证书错误,请无视
无证书,非白名单,被拒了 -
在10.100.99.221以外地址持客户端证书,用IE访问https://10.100.99.195,
(证书需要提前制作,注意需要经过上文提到的客户端认证证书CA签名)
客户端证书
再次访问服务器
IE自动弹出匹配的客户端证书
有证书,非白名单,访问成功
总结
本文介绍了通过NGINX实现单双向混合认证,既保证通讯安全,又能灵活添加信任网络,因为信任网络以外都需要客户端证书访问,还防止员工离职变动带来的账户泄露风险,关键还是零成本,设备0添加(码农的劳动免费啦)。有需要的朋友可以参考一下。
参考
