SSL双向认证

已于 2022-09-28 17:54:06 修改
阅读量1.4k 收藏 1
点赞数 1
分类专栏: 技术预演 文章标签: ssl php
于 2019-08-28 15:09:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kemosisongge/article/details/100119727
版权

概念

  1. 首先要有一个CA根证书,然后用CA根证书来签发用户证书
  2. 用户进行证书申请:一般先生成一个私钥,然后用私钥生成证书请求(证书请求里应包含有公钥信息),再利用证书服务器的CA根证书来签发证书

文件

  • key:私有的密钥
  • pem:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式。
  • csr:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
  • crt:证书文件,certificte的缩写
  • crl:证书吊销列表,Certificate Revocation List的缩写

证书

根证书

根证书生成步骤:

生成私钥(key)–> 生成证书请求(csr) --> 用CA根证书签名得到证书(crt)

# 生成ca私有密钥
openssl genrsa -out ca.key 2048
# 生成csr文件
openssl req -new -key ca.key -out ca.csr
# 生成ca根证书
openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

服务端

服务端证书生成步骤:

生成私钥(key) --> 生成证书请求(csr) --> 用CA根证书签名来得到证书(crt)

# 生成私钥
openssl genrsa -des3 -out server.key 1024
# 生成csr文件
openssl req -new -key server.key -out server.csr
# 生成crt
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

# 去除server.key密码的口令
openssl rsa -in server.key -out server.key

# 生成pem文件
cat server.crt server.key > server.pem

客户端

# 生成私钥
openssl genrsa -des3 -out client.key 1024
# 生成csr文件
openssl req -new -key client.key -out client.csr
# 生成crt文件
openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

# 去除client,key的密码口令
openssl rsa -in client.key -out client.key

# 生成pem文件
cat client.crt client.key > client.pem

Notice Tip

  1. 问题描述:
    The mandatory stateOrProvinceName field was missing
    解决方法:

    # 在生成csr的时候,需要把信息填写完,不能填空,不然后面生成的crt文件会为空,导致pem出错
# 修改后的配置文件如下:
[ policy_match ]
countryName = optional
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

  2. 问题描述:
    Using configuration from /etc/pki/tls/openssl.cnf
    /etc/pki/CA/index.txt: No such file or directory
    unable to open ‘/etc/pki/CA/index.txt’
    解决方法:

    touch /etc/pki/CA/index.txt
touch /etc/pki/CA/serial

echo "01" > /etc/pki/CA/serial

实现

服务端

function generateSslSocket() {
    # 创建socket流
    $context = stream_context_create();
    
    stream_context_set_option($context, 'ssl', 'local_cert', 'server.pem'); # 服务端证书
    stream_context_set_option($context, 'ssl', 'cafile', 'ca.crt');         # ca根证书
    stream_context_set_option($context, 'ssl', 'allow_self_signed', true);  # 是否允许自签名证书,需要配合peer使用
    stream_context_set_option($context, 'ssl', 'verify_peer', true);        # 是否需要验证 SSL证书
    stream_context_set_option($context, 'ssl', 'verify_peer_name', true);   # 是否需要验证 peer name
    
    # socket监听端口
    $socket = stream_socket_server('ssl://127.0.0.1:8801', $errNo, $errStr,
        STREAM_SERVER_BIND|STREAM_SERVER_LISTEN,$context);
    if ($socket === False) {
        exit();
    }
    
    return $socket;
}

客户端

function sendDataToSslSocket() {
     $errStr = "";
    $retRes = "";

    $context = stream_context_create();

    stream_context_set_option($context, 'ssl', 'local_cert', 'client.pem');
    stream_context_set_option($context, 'ssl', 'cafile', 'ca.crt');
    
    # 这里客户端没有验证自签名,因为在创建证书的时候,我这边主动把签名删除了
    stream_context_set_option($context, 'ssl', 'allow_self_signed', true);
    stream_context_set_option($context, 'ssl', 'verify_peer', false);
    stream_context_set_option($context, 'ssl', 'verify_peer_name', false);

    $fp = stream_socket_client('ssl://127.0.0.1:8801', $errno, $errStr, 20, STREAM_CLIENT_CONNECT, $context);
        
    # 发送数据
    fwrite($this->fp, json_encode($data));
    $retRes = fread($this->fp, 2048);
    
    # 关闭连接
    fclose($this->fp);
    return $retRes;
}

总结

我最终的目标是完成一个SSL认证的代理,该代理可以**[接收请求]、[处理请求]、[多进程自动处理]、[任务进程监控]**。
准备使用的技术包括 SSL、Libevent、ftok、thread、pipe、semphore,目前只是完成了第一步,生成SSL证书,客户端和服务端socket连接。

ps:
该文章已经同步到简书:https://www.jianshu.com/p/bb739a2a0511

yooKnight
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
SSL双向认证(高清版)
Linvo's blog
06-26 1万+
上一篇介绍了SSL双向认证的一些基本问题,以及使用Nginx+PHP基于它搭建https的Webservice。 之前的方式只是实现1:1的模式,昨天同事继续实现了n:1的模式,这里我再整理记录下。 由于nginx的ssl_client_certificate参数只能指定一个客户端公钥,如果增加一个客户端进行通信就要重新配一个server。 n:1的模式是通过CA的级联证书模式实现的,首先自
SSL双向认证SSL双向认证
03-02
SSL双向认证过程中,以下是一些重要的知识点: 1. **证书与身份验证**:在SSL连接建立时,双方都需要提供数字证书来证明自己的身份。服务器的证书通常由权威的证书颁发机构(CA)签发,而客户端的证书可能由内部...
SSL双向认证与单向认证
m0_51514815的博客
05-29 4736
参考:https://www.cnblogs.com/bluestorm/p/10571989.html整理双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书。
Netty SSL双向验证
最新发布
crazy_rays的专栏
05-29 1353
server端:ca.crt、server.crt、pkcs8_server.key。client端:ca.crt、client.crt、pkcs8_client.key。
服务器双向认证 原理,什么叫SSL双向认证 SSL双向认证过程是怎样的
weixin_39622655的博客
07-31 1089
我们都知道SSL认证能够分成SSL双向认证SSL单向认证。那么,什么是SSL双向认证SSL双向认证过程又是怎样的?小编就在接下来的内容为各位详细讲述。什么叫SSL双向认证SSL双向认证则是需要是服务端需要客户端提供身份认证,只能是服务端允许的客户能去访问,安全性相对于要高一些。SSL双向认证协议的具体通讯过程,这种情况要求服务器和客户端双方都有证书。SSL双向认证的全过程① 电脑浏览器推送1个...
SSL认证过程介绍
03-04 8473
1、SSL概述 安全套接层(Secure Socket Layer,SSL )是一种在两台机器之间提供安全通道的协议。它具有保护传输数据以及识别通信机器的功能。安全通道是透明的,意思就是说它对传输的数据不加变更。客户与服务器之间的数据是经过加密的,一端写入的数据完全是另一端读取的内容。透明性使得几乎所有基于TCP 的协议稍加改动就可以在SSL 上运行,非常方便。 Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标准,目前已有3.0版本。SSL采用公开密钥技术。其目标是保证两个应用间通
https ssl单项认证双向认证以及证书生成
感冒石头的博客
09-21 1169
非对称加密: 加密和解密使用不同的密钥,这两个密钥形成有且仅有唯一的配对,叫公钥和私钥。(3)客户端读取CA证书的明文信息,采用相同的hash散列函数计算得到信息摘要(hash目的:验证防止内容被修改),然后用操作系统带的CA的公钥去解密签名(因为签名是用CA的私钥加密的),对比证书中的信息摘要。(3)客户端读取CA证书的明文信息,采用相同的hash散列函数计算得到信息摘要(hash目的:验证防止内容被修改),然后用操作系统带的CA的公钥去解密签名(因为签名是用CA的私钥加密的),对比证书中的信息摘要。
易语言SSL双向认证
08-20
易语言SSL双向认证是针对网络通信安全的一种实现方式,它主要应用于需要高度安全性的网络通信场景,例如在线交易、敏感信息传输等。SSL(Secure Socket Layer)是安全套接层的缩写,现在通常指的是其升级版TLS...
Java实现SSL双向认证的方法
09-01
Java中的SSL双向认证是一种安全通信机制,用于确保服务器和客户端之间的通信不仅加密,而且双方的身份都得到验证。这种机制在需要高安全性交互的应用场景中,如金融交易、企业内部网络通信等,尤其重要。 SSL...
SSL双向认证.rar
04-05
SSL双向认证中,不仅服务器需要验证客户端的身份,客户端也需要验证服务器的身份,这种模式通常被称为“mutual authentication”或“two-way authentication”。 在SSL双向认证中,涉及以下关键知识点: 1. **...
HTTPS双向认证指南(亲测可行)
springdk2009的博客
03-17 1635
HTTPS双向认证方式通信在一些安全级别较高的场景非常有用,拥有合法证书的客户端才能正常访问业务。实现这个场景需要以下几步:生成根公钥证书和私钥文件(root.crt/root.key);使用根证书和根证书私钥(root.crt/root.key)配合服务器端私钥颁发服务器端证书(server.crt);使用根证书和根证书私钥(root.crt/root.key)配合客户端私钥颁发客户端证书(server.crt);
理论【2】SSL 单向和双向认证加密过程
剑影的博客
12-10 1147
1、学习博客 1原理网址 2单向和双向验证 2、概念 单向认证: 只有一个对象校验对端的证书合法性。通常都是client来校验服务器的合法性。那么client需要一个ca.crt,服务器需要server.crt,server.key 双向认证: 相互校验,服务器需要校验每个client,client也需要校验服务器。 server 需要 server.key 、server.crt 、ca.crt...
ssl双向验证— ssl_verify_depth的作用
weixin_44843710的博客
01-18 4143
前言 关键词:根证书、中间证书、验证深度、ssl_verify_depth 根证书与中间证书 在进行ssl验证前,服务器一般会向CA申请公钥证书,即将自己的公开密钥交给CA,CA用自己的私钥向服务器的公钥数字签名并返回公钥证书,在数字签名的过程中,CA一般会用根目录颁发证书,这种证书叫做根证书。 问题是,万一根目录颁发错了证书,或者需要撤销根,这时所有根目录颁发的证书都将失效,这样代价是巨大的,因此出现了中间根,顾名思义,CA用私钥对中间根进行签名,使它可信,因此由中间根颁发的证书也是可信的,即中间证书。当
加密之SSL和单双向认证
上善若泪
01-18 1567
文章目录1 SSL1.1 SSL了解1.2 导入证书1.3 tomcat配置SSL1.4 具体操作2 单向认证2.1 第三方签名3 双向认证3.1 引言3.2 使用openssl脚本 1 SSL 1.1 SSL了解 SSL配置是我们在实际应用中经常见到的场景 SSL(Secure Sockets Layer,安全套接层)是为通信提供安全及数据完整性的一种安全协议,SSL在网络传送层对网络连接进行加密。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通信提供安全支持。 SSL协议可分为两层: SS
Android实现SSL Socket双向认证
走马川行雪的博客
01-04 4877
1、生成服务端密钥 2、生成服务端证书 3、生成客户端密钥 4、生成客户端证书 5、将server端证书添加到serverTrust_ks.jks文件中 6、将client端证书添加到clientTrust_ks.jks文件中 (以上生成过程详见:https://blog.csdn.net/weixin_43192102/article/details/122214603) 7、将jks密钥转换为bks格式密钥(因为Android只支持.bks格式的密钥文件) ...
SSL认证:单向认证双向认证——密码学笔记(八)
热门推荐
傲娇的萌、的博客
04-16 1万+
SSL协议即用到了对称加密也用到了非对称加密(公钥加密),在建立传输链路时,SSL首先对对称加密的密钥使用非对称加密,链路建立好之后,SSL对传输内容使用对称加密。对称加密:速度高,可加密内容较大,用来加密会话过程中的消息公钥加密:加密速度较慢,但能提供更好的身份认证技术,用来加密对称加密的密钥一、SSL单向认证过程1、客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息2、服务端给客户...
OpenSSL安装及相关问题总结
sf_wilson
05-12 1294
【前言】:在使用Azure DevOps搭建SFDC CI/CD的时,配置Azure DevOps前,需要使用OpenSSL产生Certificates和Key,按照标准的3步骤操作时,报错如下: In your terminal/command prompt, type the following command. This creates the private key named ‘server.key’. openssl genpkey -algorithm RSA -pkeyopt r
openssl采用sm2进行自签名的方法
weixin_45548465的博客
05-20 4590
系统:centos7 oenssl官网:https://www.openssl.org/ openssl 版本高于1.1.1才支持sm2算法 1、编译安装 openssl 下载源码包 openssl-1.1.1n.tar.gz 解压 tar zxvf openssl-1.1.1n.tar.gz cd openssl-1.1.1n/ yum安装 gcc,编译安装需要使用 gcc yum install -y gcc gcc-c++ 指定安装路径 mkdir /usr/local/openssl .
MAC OpenSSL: OpenSSL CA Signing Error field needed to be the same in the CA certificate
坚果技术基地
07-06 2843
在MAC OS使用命令行OpenSSL生成SSL证书时,openssl报错: The stateOrProvinceName field needed to be the same in the CA certificate (Beijing) and the request (Beijing) 解决方法,编辑:/System/Library/OpenSSL/openssl.cnf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yooKnight

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值