网关上实现https私有证书的管理

最新推荐文章于 2024-07-05 22:45:00 发布
最新推荐文章于 2024-07-05 22:45:00 发布
阅读量3.3k 收藏 3
点赞数
分类专栏: java 文章标签: https 证书 网关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hangdianfengzhizi/article/details/88051104
版权
本文详细介绍了API网关如何处理HTTPS私有证书,包括http的Basic、Token和Digest认证方式,HTTPS协议的安全性以及私有证书的导入与管理。通过解析私有证书并自定义X509TrustManager,实现了动态添加证书,以确保不重启应用即可进行安全的数据传输。
摘要由CSDN通过智能技术生成

api网关作为后端服务的代理,提供网络请求的反向代理,需要保证http请求的安全性。根据实际服务对安全性的不同要求,一般可以采用http协议结合认证方式来保证报文防篡改,或采用https协议保证数据传输的安全。

本文主要介绍http的几种认证方式、https的原理以及https私有证书的管理扩展。

http

http协议下,传输的报文是明文传输,对于敏感数据,需要服务提供方和消费方约定加密方式,对敏感数据进行加密后传输。采用一定的认证方式,保证客户端和服务端之间的报文一定程度上不被篡改。这些认证方式并不能完全保证信息安全,仍存在风险,对于安全要求高的服务需采用https协议。

Basic认证

basic认证方式:
客户端在http请求的时候,将accessKey信息和accessSecret信息以’:'拼接,并进行Base64加密得到Authorization报文头,添加在header中进行http请求。

服务端在收到请求后,对Authorization报文头进行Base64解密,提取出accessKey和accessSecret信息,并进行数据库校验,判断请求方是否合法。

Token认证

token认证是在http请求前,先根据用户名和密码向服务器请求一个token,token一般有一定的时效性。在后续请求时,把这个token以query参数的形式传给服务端,服务端根据这个token值来校验请求的合法性。

Digest认证

digest认证相比于basic认证和token认证比较复杂。摘要的格式、采用的算法可以由服务端约定。

客户端:

  • 将httpMethod parameters timestamp等信息进行拼接得到要加密的摘要信息
  • 将要加密的摘要和accessSecret进行加密,比如采用hmac-sha256算法
  • 加密后的信息再进行Base64加密得到signature,
  • 将算法、时间戳、accessKey信息和signature组成 Authorization加入到http的header中进行http请求。

服务端:

  • 从http的header中取出Authorization信息,进行解密
最低0.47元/天 解锁文章
SuperWang1993
关注
专栏目录
【云原生网关】apisix使用详解
congge
04-18 8554
apisix使用详解
云原生架构下的 API 网关实践: Kong (二)
aoho求索
08-26 730
Kong 是 Mashape 开源的一款云原生架构下的分布式 API 网关,其性能和可扩展性在同类组件中,表现都很优异。Kong 官方提供了很多直接可用的插件,此外,Kong 还可以通过插件扩展已有功能。 本文的主要内容: 什么是云原生网关? Kong 介绍 Kong 的基本架构 使用 Kong 构建服务网关 几种常用插件应用 自定义插件的实践 文章篇幅较长,后半部分内容将会在下一篇文章介绍,...
HTTPS证书管理与双向认证篇
云原生运维
09-10 625
单向认证,只有一方需要验证对方的身份。通常是客户端验证服务器的身份。这种情况下,客户端会检查服务器提供的数字证书是否有效,以确定服务器是否合法。服务器不会验证客户端的身份。这种情况下,客户端可以确认它正在与合法的服务器进行通信,但服务器不能确定其与合法客户端通信。单向认证通常用于一些对服务器身份验证要求较高,但对客户端身份验证要求相对较低的场景,如网站访问。客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。
Springboot 使用Https自建私有证书(类似12306发的证书)
laker的博客
12-04 696
目录 一、实现过程 1. 使用jdk 的 keytool 生成自建证书 1.1 生成服务器端证书 1.2 生成客户端证书 1.3 安装客户端证书 1.4 spring boot 配置 服务端证书 2. 利用 xca工具可视化提供生成文件 一、实现过程 1. 使用jdk 的 keytool 生成自建证书 1.1 生成服务器端证书 生成命令如下: keytool -genkey -alias tomcat -storetype PKCS12 -key...
Https网站如何申请免费的SSL证书及操作使用指南
最新发布
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
07-05 9389
ohttps.com提供了类似于acme.sh的功能,不过提供了友好的管理界面,可申请Let's Encrypt免费通配符类型证书,还提供了证书吊销、到期前提醒、自动更新、自动部署功能。另外比acme.sh增加了一些非常实用的功能,主要包括可自动部署至阿里云、腾讯云、七牛云的负载均衡、内容分发CDN、SSL证书列表等,并可自动部署至多个nginx容器中。
nginx 使用Https自建私有证书(类似12306发的证书)
laker的博客
12-04 1724
目录 一、自建证书制作 二、nginx 支持https搭建(centos) 一、自建证书制作 1、成功截图如下 滴滴滴 2、参考springboot + https 步骤 不一样的是 nginx 使用的文件格式为 crt key 所以 再导出服务端文件的时候 注意选择的类型即可 1、crt 文件 2、key文件导出 把后缀 pem 改成 key 即可,但是没测试过 不改行不行 二、nginx 支持https搭建(centos) 参考网址https://bl...
SSL证书管理
小迷糊
07-25 1667
SSL证书管理SSL证书管理什么是SSL证书管理SSL证书的作用使用场景相关概念数字证书SSL协议CA认证中心HTTPS常见问题主流数字证书有哪些格式查看证书文件的格式证书格式转换 SSL证书管理 什么是SSL证书管理 SSL证书管理(SSL Certificate Manager,SCM)是一个SSL(Secure Socket Layer)证书管理平台,平台联合全球知名数字证书服务机构为用户提供购买SSL证书的功能,用户也可以将本地的外部SSL证书上传到平台,实现用户对内部和外部SSL证书的统一管理
如何管理客户端的https证书
kjccs的博客
03-11 363
管理客户端的HTTPS证书是一个涉及多个步骤的过程,包括生成、分发、更新和撤销证书。通过遵循这些步骤和最佳实践,苹果企业签名可以有效地管理客户端的HTTPS证书,确保通信的安全性和完整性。
构建Openswan虚拟私有网关
# 1. 简介 ## 1.1 什么是Openswan?...虚拟私有网关是一种虚拟网络设备,它可以在公共互联网上为远程网络和用户提供加密和隧道服务。通过虚拟私有网关,用户可以安全地访问远程网络,就好像它们连接到了本地
计算机网络管理高级技术证书实践课程考试大纲.doc
06-01
计算机网络管理高级技术证书实践课程是一门旨在培养具备高级网络管理技能的专业考试。这门课程不仅要求考生具备深厚的理论基础,还要能运用所学知识解决实际网络管理问题。考核方式为笔试,需在3小时内完成关于网络...
私有ssl证书生成器,自动根据域名生成私有证书
05-24
linux下,私有ssl证书生成器,通过提示的方式,自动根据域名生成私有ssl证书,包括crt,key
HTTPS通信安全及证书管理
sun007700的专栏
07-31 569
https://blog.csdn.net/weixin_33729196/article/details/92270606 HTTPS基础 基于安全套接字协议(TLS/SSL)之上的HTTP通信协议 可用于抵御 窃听、篡改、冒充、劫持 攻击,实现 身份验证、信息加密、完整性校验 其在TCP协议三次握手之后增加了四次握手 PKI体系原理 CA机构审核服务商身份信息后利用私钥签名其证书请求来签发证书 客户端利用CA机构公钥校验服务商证书上的签名从而验证其身份 SSL/TLS SSL/TLS.
制作HTTPS私有证书HTTPS证书
Mr_XiMu的博客
05-11 968
制作HTTPS私有证书
https证书机制
baidu_40120883的博客
07-14 446
深入浅出https加密方式:对称加密、非对称加密、对称加密与非对称加密混合、对称加密与非对称加密混合+证书
制作HTTPS私有证书HTTPS证书,Golang基础开发与实践
2401_84267735的博客
04-16 1060
DN包含证书主体的身份信息,格式为一系列键值对,使用/分隔。这个subject参数包含的键值对有:- /C=CN:国家名称是CN(China)一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!-subj ‘/C=CN/ST=ZheJiang/L=HangZhou/O=HaHa/OU=HaHa/CN=192.168.3.220/emailAddress=电子邮箱’
配置ssl私有证书
s_daqing的博客
10-19 1468
一、生成证书 1.生成秘钥key,运行命令: 生成带密码的: openssl genrsa -des3 -out server.key 2048 然后你就获得了一个server.key文件. 以后使用此文件(通过openssl提供的命令或API)可能经常回要求输入密码,如果想去除输入密码的步骤可以使用以下命令: openssl rsa -in server.key -out server.key 生成不带密码的: openssl genrsa -out server.key 2048 2.创建服务器证书的申
私有接口添加HTTPS私有证书及客户端验证
司开星的专栏
08-26 3485
有些布在公网的私有接口不想被他人使用, 需要添加一些验证方式。 一般的公开接口只有客户端的TOKEN认证, 这样可以验证提交到接口的数据是否是允许的客户端提交的. 但这样无法验证接口的真实性, 也无法防止中间人攻击。 本文主要研究给私有接口添加HTTPS连接并验证客户端真实性。 服务器证书 生成私有证书 要生成证书首先要有个私钥: openssl genrsa -out ssl.k...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值