最近公司项目跟第三方对接,对端要求通过VPN用内网IP对接,还要签名证书走HTTPS,顺便要求做客户端SSL鉴权认证!!
自签名证书
可以通过openssl命令生成RSA key,然后用这个key自己签名一个证书。
自签名证书和CA签名证书的主要区别是自签名证书安装后,客户端需要安装信任证书,否则浏览器还是会报https不安全。12306的证书应该就是自签名的,所以首页有为保障您顺畅购票,请下载安装根证书的提示。
Note:生成的自签名证书在Chrome 58之后会一直报err_cert_common_name_invalid并被标识为not secure,网上有说配置openssl Subject Alt Name能够解决,待验证
https://github.com/webpack/webpack-dev-server/issues/854
证书格式
SSL证书有多种格式:
- Apache、Nginx等,使用OpenSSL提供的密码库,生成pem、key、crt等格式的证书文件。
- Tomcat、Weblogic、JBoss等,使用Java提供的密码库。通过Java的Keytool工具,生成Java Keystore(jks)格式的证书文件。
常用证书格式信息:
-
*.der,*.cer,*.crt以二进制形式存放证书,只有公钥,不包含私钥。 -
*.csr证书请求,这个是需要发给CA用来签名正式证书用的。 -
*.pem一般是文本格式,可以放证书或私钥,或者两者都包含。 *.PEM如果只包含私钥,那一般用 *.KEY代替。 -
*.pfx,*.p12是二进制格式,同时含证书和私钥,一般有密码保护。
生成自签名证书
- 生成RAS Key:server.key
Note: 这个命令生成的是证书的Private Key要保存在安全的地方
$ openssl genrsa -out server.key 2048
如果加-des3参数,会要求输入密码,将来Apache加载了证书启动时候要输入这个密码。
$ openssl genrsa -des3 -out server.key 2048
通过如下命令可以查看
openssl rsa -noout -text -in server.key
- 执行以下命令生成自签名证书:server.crt
openssl req -new -x509 -nodes -sha1 -days 365 -key server.key -out server.crt -extensions usr_cert
-days是证书的有效期天数,可以是多年,例如,1825标识5年有效期
执行以上命令会要求输入如下信息,这些信息都会出现在最终生成的证书中,可以在浏览器直接查看。
Note: Comman Name必须跟真实访问的domain name一致
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:North
Locality Name (eg, city) []:City
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Test Ltd
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:test.com
Email Address []:support@test.com
- Apache配置
需要将如下配置增加的Apache Virtual Host配置里
SSLCertificateFile "/path/to/this/server.crt"
SSLCertificateKeyFile "/path/to/this/server.key"
配置之后可以执行sudo apachectl configtest检查配置是否正确。
通过sudo httpd -S检查Apache Virtual host信息。
客户端SSL鉴权认证
我们通常的https证书一般都是单向认证,即服务端认证。客户端认证可以提供一种对客户端鉴权的能力,只有持有证书的客户端才能访问Apache下的指定资源。
在Apache Virtual Host配置如下信息:
Note:此处SSLCACertificateFile 可以配置客户端的根证书
SSLCACertificateFile "/etc/pki/tls/cert/root.crt"
SSLVerifyClient require
SSLVerifyDepth 10
