前言
大部分HTTPS的站点都只是单向认证,即只有客户端校验服务端。那么一种更安全的做法则是双向认证,即客户端服务端互相验证。
网上介绍https双向认证原理的帖子很多,就不做赘述!
重要
是否需要双向认证是服务端决定的
双向认证的客户端证书和服务端ssl证书没有关系
自签CA
首先ssl证书是受CA信任的三方机构颁发,并预装到主流浏览器中的,网站拥有合法的ssl证书可以规避浏览器的不安全警告,数据传输更安全。
但这里我们只探讨器原理,所以不去纠结ssl证书是否合法
创建根证书私钥:
1 | openssl genrsa -out root.key 1024 |
创建根证书请求文件:
1 | openssl req -new -out root.csr -key root.key |
这里会让你填一些东西,随便填就行,我举个例子:
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:sc
Locality Name (eg, city) [Default City]:cd
Organization Name (eg, company) [Default Company Ltd]:phaoer
Organizational Unit Name (eg, section) []:phaoer
Common Name (eg, your name or your servers hostname) []:root
Email Address []:
A challenge password []:
An optional company name []:
注意:在生成服务端和客户端请求文件的时候也会要求填写这些信息,Common Name填写域名即可
创建根证书(有效期10年):
1 | openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650 |
服务端证书
如果你的网站目前已经拥有合法的ssl证书,略过这一步即可。
生成服务端证书私钥:
1 | openssl genrsa -out server.key 1024 |
生成服务端证书请求文件:
1 | openssl req -new -out server.csr -key server.key |
生成服务端公钥证书:
1 | openssl x509 -req -in server.csr -out server.crt -signkey server.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650 |
客户端证书
生成客户端证书私钥:
1 | openssl genrsa -out client.key 1024 |
生成客户端证书请求文件(各个参数需要和server相同):
1 | openssl req -new -out client.csr -key client.key |
生成客户端公钥证书:
1 | openssl x509 -req -in client.csr -out client.crt -signkey client.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650 |
nginx配置
1 | ...... |
客户端证书提供给终端使用
浏览器
生成一个p12文件供终端安装
1 | openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12 |
curl
curl双向认证请求需要将客户端证书和私钥转换成pem格式
crt转pem
1 | openssl x509 -in client.crt -out client.der -outform der |
key转pem
1 | openssl rsa -in client.key -out client.der -outform DER |
