前言
大部分HTTPS的站点都只是单向认证,即只有客户端校验服务端。那么一种更安全的做法则是双向认证,即客户端服务端互相验证。
网上介绍https双向认证原理的帖子很多,就不做赘述!
重要
是否需要双向认证是服务端决定的
双向认证的客户端证书和服务端ssl证书没有关系
自签CA
首先ssl证书是受CA信任的三方机构颁发,并预装到主流浏览器中的,网站拥有合法的ssl证书可以规避浏览器的不安全警告,数据传输更安全。
但这里我们只探讨器原理,所以不去纠结ssl证书是否合法
创建根证书私钥:
openssl genrsa -out root.key 1024
创建根证书请求文件:
openssl req -new -out root.csr -key root.key
这里会让你填一些东西,随便填就行,我举个例子:
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:sc
Locality Name (eg, city) [Default City]:cd
Organization Name (eg, company) [Default Company Ltd]:phaoer
Organizational Unit Name (eg, section) []:phaoer
Common Name (eg, your name or your servers hostname) []:root
Email Address []:
A challenge password []:
An optional company name []:
注意:在生成服务端和客户端请求文件的时候也会要求填写这些信息,Common Name填写域名即可
创建根证书(有效期10年):
openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650