curl+个人证书(又叫客户端证书)访问https站点
目前,大公司的OA管理系統(俗稱內網),安全性要求較高,通常采用https的雙向 認證模式。
?
首先,什么是https,簡單的說就是在SSL協議之上實現的http協議(get、post等操作)。更多的介紹參看這里。
?
什么是雙向認證模式?對于面向公眾用戶的https的網站,大部分屬于單向認證模式,它不需要對客戶端進行認證,不需要提供客戶端的個人證書,例如https://www.google.com。而雙向認證模式,為了驗證客戶端的合法性,要求客戶端在訪問服務器時,出示自己的client certificate。
?
以下,為SSL握手過程:
?
單向認證模式與雙向認證模式的區別,就在于第⑤、第⑥步是否要求對客戶的身份認證。單向不需要認證,雙向需要認證。
?
現在介紹如何使用curl來訪問雙向認證的https站點。
一、準備工作
1、首先,因為要進行客戶端認證,你應該具有了客戶端的個人證書(對于公司內網,通常是由IT的管理員頒發給你的),只要你能夠順利的訪問雙向認證的https站點,你就具有了個人證書,它藏在瀏覽器上。我們要做的工作,只是把它從瀏覽器中導出來。從IE瀏覽器導出來的格式,通常為.pfx格式,從firefox導出來的格式通常為.p12格式,其實pfx=p12,它們是同一個東西,對于curl而言這種格式稱為PKCS#12文件。
2、把p12格式轉換為pem格式(假設你的p12文件名為:xxx.p12):
?
在執行過程中,可能需要你輸入導出證書時設置的密碼。執行成功后,我們就有了這些文件:client.pem——客戶端公鑰,key.pem——客戶端私鑰,或者二合一的all.pem。
?
3、確保你安裝的curl版本正確(本人折騰了兩天,全因為fedora13下的curl-7.20.1有問題,更新到curl-7.21.0.tar.gz問題解決)。
?
?
?
二、執行curl命令
1、使用client.pem+key.pem
curl -k --cert client.pem --key key.pem https://www.xxxx.com
?
2、使用all.pem
curl -k --cert all.pem ?https://www.xxxx.com
?
使用-k,是不對服務器的證書進行檢查,這樣就不必關心服務器證書的導出問題了。
轉載于:https://www.cnblogs.com/mtcnn/p/9410088.html
總結
以上是生活随笔為你收集整理的curl+个人证书(又叫客户端证书)访问https站点的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: epoll 原理
- 下一篇: powerdesigner 技巧