SSL双向认证的实现
2019獨角獸企業(yè)重金招聘Python工程師標準>>>
?環(huán)境
| 系統(tǒng):archlinux/centOS nginx:nginx/1.12.2 瀏覽器:火狐firefox ?前提:1.安裝nginx。 ? ? 2.安裝openssl。 |
生成證書
新建工作目錄
首先建立一個工作目錄,這里以我的工作目錄為例。(/home/yinghui/ssl/demoCA-my/),然后執(zhí)行如下命令。建立生成證書的路徑文件結(jié)構(gòu),這是由openssl的默認配置文件決定的。你可以修改配置。
mkdir demoCA-my cd demoCA-my touch ./{serial,index.txt} echo '01' > serial mkdir ./newcerts配置 openssl.cnf
????拷貝配置文件到工作目錄。當然前綴路徑要換成你自己的。
cp /usr/local/ssl/openssl.cnf ./修改配置文件。編輯openssl.cnf中的一些選項。
| unique_subject? = no ? (這樣一個CA可以同時簽多張證書) countryName = optional(把這些參數(shù)的匹配規(guī)則改為可選) stateOrProvinceName = optional organizationName? = optional organizationalUnitName? = optional |
效果:
??
修改dir配置:注意是CA_default 下面的dir
?
生成CA跟證書? ?
?現(xiàn)在我們來生成自己的CA跟證書
openssl req -days 365 -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf生成會話會讓你填入一些參數(shù),根據(jù)實際情況填寫。執(zhí)行完會發(fā)現(xiàn)工作目錄下會有ca.crt? ca.key兩個文件。截圖如下:
????大概說明一下上面各項的意思:?
| 輸入項 | 解釋 | 值 |
| AU | 國籍 | cn |
| state or province | 州 省份 | beijing |
| Lcality Name | 城市 | bj |
| O name(簡寫) | 公司 | jinxi |
| O ?U name(簡寫) | 組織 | jinxi360 |
| common name | 通用名 | 網(wǎng)址或者你的名字 |
| 你的郵箱 | 略 |
結(jié)果多了兩個文件:
? ????
生成server端證書
首先生成server端私鑰。執(zhí)行后會要求輸入解析私鑰文件的密碼。生成server.key。
openssl genrsa -des3 -out server.key 1024
生成證書請求
????生成會話會提示輸入一些請求信息,成功后生成server.csr
openssl req -new -key server.key -out server.csr -config openssl.cnf注意上圖中畫線的一行,這行輸入server端的域名(或者IP地址),這里是https://192.168.1.100 。否則簽發(fā)的服務(wù)端證書會被瀏覽器視為不是本站點的證書,最后兩項我這里直接回車。其他參考上面的解釋。
? ?????執(zhí)行后多出一個文件server.csr
?
現(xiàn)在用生成的CA給證書請求(server.csr)簽發(fā)證書(crt文件)。根據(jù)提示輸入相關(guān)密碼(之前設(shè)置好的)和兩個 y(yes)回車,成功后生成證書server.crt
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf生成的服務(wù)端證書文件:
????
????????到這里,我們已經(jīng)可以做單項認證了,來試試。
驗證單向認證
????????????配置nginx:vi /usr/local/nginx/conf/nginx.conf修改配置如下圖(注意證書和CA的路徑是我的工程路徑):
server {listen 443;#server_name abc.jinxi360.com;ssl on; ssl_certificate /home/yinghui/ssl/demoCA-my/server.crt; #服務(wù)端證書ssl_certificate_key /home/yinghui/ssl/demoCA-my/server.key; #服務(wù)端私鑰ssl_client_certificate /home/yinghui/ssl/demoCA-my/ca.crt; #跟CA證書ssl_session_timeout 5m;ssl_verify_client on; #開戶客戶端證書驗證ssl_prefer_server_ciphers on;#add_header Strict-Transport-Security 'max-age=31536000';#access_log /var/log/nginx/adm_access.log;#error_log /var/log/nginx/adm_error.log;location / {root html;index index.html index.htm;} }保存后驗證 nginx.conf配置文件:
啟動nginx
會要求輸入server端私鑰文件解析密碼,輸入生成時設(shè)置的密碼。
???在windows下打開firefox輸入https://192.168.1.100回車。
這說明nginx已經(jīng)向瀏覽器發(fā)送了自己的證書,但是這個證書不受信任。別急,現(xiàn)在我們把之前自己的CA導(dǎo)入瀏覽器。
打開 選項->高級->查看證書->證書機構(gòu)->導(dǎo)入。先擇CA后根據(jù)提示導(dǎo)入證書。成功后如下:
再次輸入https://192.168.1.100回車。
看見中間那行提示了嗎?中式英語翻譯過來就是-->沒有要求的ssl證書來發(fā)送。也就是說,client已經(jīng)成功認證了server端的證書,但是我們配置nginx為雙向認證,所以nginx要求瀏覽器出示證書,而瀏覽器沒有證書。
說明單項認證已經(jīng)OK,現(xiàn)在為client生成證書。
生成client證書
首先生成client端私鑰,執(zhí)行后會要求輸入解析私鑰文件的密碼,根據(jù)個人喜好設(shè)置。生成client.key。
openssl genrsa -des3 -out client.key 1024????
????生成證書請求。生成會話會提示輸入一些請求信息,成功后生成client.csr。
openssl req -new -key client.key -out client.csr -config openssl.cnf????? ? 上圖中畫線的是證書在瀏覽器中顯示的名字,這里使用域名地址作為證書的名稱,上面最后兩項我直接回車。
生成客戶端crt證書:
現(xiàn)在用之前生成的CA給證書請求(client.csr)簽發(fā)證書。根據(jù)提示輸入相關(guān)密碼(之前設(shè)置好的)和y(yes),成功后生成證書client.crt
openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf生成p12證書:? ?
firefox要求客戶端的證書格式是p12格式,所以我們把client.crt轉(zhuǎn)化為client.p12格式
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12? 轉(zhuǎn)pem格式
cat ca.crt ca.key > ca.pem cat server.crt server.key > server.pem cat client.crt client.key > client.pem????最后一步,把client.p12導(dǎo)入瀏覽器。
打開 選項->高級->查看證書->您的證書->導(dǎo)入。根據(jù)提示導(dǎo)入,導(dǎo)入成功后如圖:
查看證書信息:
輸入https://192.168.68.173:8080回車。
?
OK!!!
go go go!
?
附:
? ? 最終目錄下的文件列表:
?
?
轉(zhuǎn)載于:https://my.oschina.net/iyinghui/blog/1832914
總結(jié)
以上是生活随笔為你收集整理的SSL双向认证的实现的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 软件测试之黑盒测试-等价类划分法
- 下一篇: canvas绘制图像image