https双向认证

最新推荐文章于 2024-05-29 13:34:49 发布
最新推荐文章于 2024-05-29 13:34:49 发布
阅读量3.4k 收藏 17
点赞数 4
文章标签: https ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37079898/article/details/132411367
版权

目录

前言

一、认证原理

1、单向认证流程

2、 双向认证流程

二、证书准备

1、生成自签名根证书

2、生成自签名客户端证书

3、生成自签名服务器端证书

三、配置修改

 1、nginx配置,完成单向认证

2、nginx配置,完成双向认证

四、测试验证

1、curl测试 

2、浏览器测试

总结

前言

双向认证,顾名思义,客户端和服务器端都需要验证对方的身份,在建立HTTPS连接的过程中,握手的流程比单向认证多了几步。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。

一、认证原理

1、单向认证流程

单向认证流程中,服务器端保存着公钥证书和私钥两个文件,整个握手过程如下:

  1. 客户端发起建立HTTPS连接请求,将SSL协议版本的信息发送给服务器端;

  2. 服务器端将本机的公钥证书(server.crt)发送给客户端;

  3. 客户端读取公钥证书(server.crt),取出了服务端公钥;

  4. 客户端生成一个随机数(密钥R),用刚才得到的服务器公钥去加密这个随机数形成密文,发送给服务端;

  5. 服务端用自己的私钥(server.key)去解密这个密文,得到了密钥R

  6. 服务端和客户端在后续通讯过程中就使用这个密钥R进行通信了。

2、 双向认证流程

 

  1. 客户端发起建立HTTPS连接请求,将SSL协议版本的信息发送给服务端;

  2. 服务器端将本机的公钥证书(server.crt)发送给客户端;

  3. 客户端读取公钥证书(server.crt),取出了服务端公钥;

  4. 客户端将客户端公钥证书(client.crt)发送给服务器端;

  5. 服务器端使用根证书(root.crt)解密客户端公钥证书,拿到客户端公钥;

  6. 客户端发送自己支持的加密方案给服务器端;

  7. 服务器端根据自己和客户端的能力,选择一个双方都能接受的加密方案,使用客户端的公钥加密后发送给客户端;

  8. 客户端使用自己的私钥解密加密方案,生成一个随机数R,使用服务器公钥加密后传给服务器端;

  9. 服务端用自己的私钥去解密这个密文,得到了密钥R

  10. 服务端和客户端在后续通讯过程中就使用这个密钥R进行通信了。

二、证书准备

从上一章内容中,可以总结出来,整个双向认证的流程需要六个证书文件:

  • 服务器端公钥证书:server.crt

  • 服务器端私钥文件:server.key

  • 根证书:root.crt

  • 客户端公钥证书:client.crt

  • 客户端私钥文件:client.key

  • 客户端集成证书(包括公钥和私钥,用于浏览器访问场景):client.p12

所有的这些证书,我们都可以向证书机构去申请签发,一般需要收取一定的证书签发费用,此时我们需要选择大型的证书机构去购买。如果只是企业内部使用,不是给公众使用,也可以自行颁发自签名证书。

1、生成自签名根证书

(1)创建根证书私钥:

openssl genrsa -out root.key 1024

(2)创建根证书请求文件:

openssl req -new -out root.csr -key root.key

 

后续参数需要自行填写,以下为参考示例:

Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:fj
Locality Name (eg, city) [Default City]:fj
Organization Name (eg, company) [Default Company Ltd]:xxx
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your servers hostname) []:root
Email Address []:123456@qq.com
A challenge password []:123456
An optional company name []:

(3)创建根证书:

openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650

在创建证书请求文件的时候需要注意三点,下面生成服务器请求文件和客户端请求文件均要注意这三点: 根证书的Common Name填写root就可以,所有客户端和服务器端的证书这个字段需要填写域名,一定要注意的是,根证书的这个字段和客户端证书、服务器端证书不能一样; 其他所有字段的填写,根证书、服务器端证书、客户端证书需保持一致最后的密码可以直接回车跳过或者也可以设置自己想要设置密码,如果有设置密码需要记住这个密码,后续测试会用到。

经过上面三个命令行,最终可以得到一个签名有效期为10年的根证书root.crt,后面我们可以用这个根证书去颁发服务器证书和客户端证书。

2、生成自签名客户端证书

(1)生成客户端证书密钥:

openssl genrsa -out client.key 1024

(2) 生成客户端证书请求文件,过程和注意事项参考根证书:

openssl req -new -out client.csr -key client.key

(3) 生客户端证书

openssl x509 -req -in client.csr -out client.crt -signkey client.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

(4) 生客户端pfx格式证书,需要输入一个密码,选一个好记的,比如123456

openssl pkcs12 -export -out client.pfx -inkey client.key -in   client.crt -certfile root.crt

重复使用上面的命令,我们得到两套客户端证书:

client.key:客户端的私钥文件

client.crt :有效期十年的客户端证书

使用根证书和客户端私钥一起生成 client.pfx,这个证书文件包含客户端的公钥和私钥,主要用来给浏览器访问使用

3、生成自签名服务器端证书

步骤和生成自签名客户端证书一致,命名上注意修改一下即可,由于我这边已经有签发好的服务端证书,本步骤不再详细描述。

三、配置修改

 1、nginx配置,完成单向认证

(1)导入配置所需的服务端pem和key文件

(2)修改nginx的ssl配置

(3)保存后,重启nginx配置

(4) 测试验证,可以正常完成单向认证

2、nginx配置,完成双向认证

 (1)在单项认证的基础上,开启客户端认证

ssl_client_certificate  root.crt;  #此处需要填写客户端证书对应的根证书,用于服务端验证客户端证书的有效性
ssl_verify_client on;

 (3)保存后,重启nginx配置

四、测试验证

1、curl测试 

(1)请求不携带客户端证书,得到400错误状态码

 (2)请求携带客户端证书(client.crt)和私钥(client.key),响应200

curl -v https://www.oufc.top --cert client.crt --key client.key

2、浏览器测试

(1)请求不携带客户端证书,得到400错误状态码

(2)将客户端证书(client.crt)和私钥(client.key)转换为pfx格式的证书

 openssl pkcs12 -export -out client.pfx -inkey client.key -in   client.crt -certfile root.crt

(3)将转换好的pfx格式证书下载到本地后,双击进行安装

 

 此处的密码填写的就是之前设置的密码,例如123456

 

 

(4)再次访问,提示需要选择证书

(5)点击确定后,即可以正常访问

 

总结

以上就是https双向认证的大致原理和测试过程,相比于单向认证,双向认证可以进一步有效的保护网站信息安全,防止信息被不法分子盗用,但同时也会导致整个通信过程较长,客户端验证服务器端的证书,客户端也将自己的证书上传到服务器端进行验证。

菜鸡小欧服
关注
  • 4
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
ssl双向认证_SSL双向认证SSL单向认证的区别
weixin_39598941的博客
12-09 514
什么是SSL双向认证?什么是SSL单向认证? 本文给大家介绍SSL双向认证SSL单向认证的具体过程以及他们两者之间的区别。SSL单向认证只要求站点部署了ssl证书就行,任何用户都可以去访问(IP被限制除外等),只是服务端提供了身份认证SSL单向认证具体过程① 浏览器发送一个连接请求给安全服务器。② 服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。③ 客户浏览器检查服务器送过来的证书是...
扯一扯HTTPS单向认证双向认证、抓包原理、反抓包策略
YvesHe的专栏
09-10 1137
HTTP(HyperText Transfer Protocol,超文本传输协议)被用于在Web浏览器和网站服务器之间传递信息,在TCP/IP中处于应用层。这里提一下TCP/IP的分层共分为四层:应用层、传输层、网络层、数据链路层; 分层的目的是:分层能够解耦,动态替换层内协议 各个层包含的内容: 应用层:向用户提供应用服务时的通讯活动(ftp,dns,http) 传输层:网络连接中两台计算机的数据传输(tcp、udp) 网络层:处理网络上流动的数据包,通过怎样的传输路径把数据包传送给对方(ip)
HTTPS双向认证
SecularBird的专栏
09-11 637
双向认证,指的是客户端和服务器端都需要验证对方的身份,在建立HTTPS连接的过程中,握手的流程相对于单向认证多了几步。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。
HTTPS双向认证流程详解与联想
最新发布
2401_84466316的博客
05-29 1297
理解HTTPS协议的认证流程,可以增加对安全的理解,HTTPS认证的过程,核心思想与Kerberos协议的认证也是互通的,是具有相似性的。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取。
SSL认证过程介绍
03-04 8896
1、SSL概述 安全套接层(Secure Socket Layer,SSL )是一种在两台机器之间提供安全通道的协议。它具有保护传输数据以及识别通信机器的功能。安全通道是透明的,意思就是说它对传输的数据不加变更。客户与服务器之间的数据是经过加密的,一端写入的数据完全是另一端读取的内容。透明性使得几乎所有基于TCP 的协议稍加改动就可以在SSL 上运行,非常方便。 Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标准,目前已有3.0版本。SSL采用公开密钥技术。其目标是保证两个应用间通
HTTPS双向认证指南(亲测可行)
springdk2009的博客
03-17 1841
HTTPS双向认证方式通信在一些安全级别较高的场景非常有用,拥有合法证书的客户端才能正常访问业务。实现这个场景需要以下几步:生成根公钥证书和私钥文件(root.crt/root.key);使用根证书和根证书私钥(root.crt/root.key)配合服务器端私钥颁发服务器端证书(server.crt);使用根证书和根证书私钥(root.crt/root.key)配合客户端私钥颁发客户端证书(server.crt);
springboot整合https实现双向认证
flyfun123的博客
09-08 1433
从创建证书到具体调用,亲手验证过了
iOS实用教程之Https双向认证详解
08-30
iOS实用教程之Https双向认证详解 本篇文章主要介绍了iOS中Https双向认证的相关知识点,它对大家具有非常重要的参考学习价值。 什么是Https双向认证 Https双向认证是一种安全认证机制,它可以确保客户端与服务端...
https双向认证ukey管理软件
10-14
HTTPS双向认证UKey管理软件是用于确保网络安全和数据完整性的专业工具,特别是在金融、医疗、政府等对数据安全要求极高的行业中广泛应用。该软件的主要功能是管理UKey(USB Key),这是一种硬件设备,通常用于存储...
C语言https客户端双向认证
09-04
本文将深入探讨如何使用C语言实现一个支持双向认证HTTPS客户端。 首先,双向认证(Mutual Authentication)是网络安全的一种机制,它要求客户端和服务端都必须提供有效的身份证明才能进行通信。在HTTPS双向认证...
https双向认证证书配置详解
11-02
针对网上不同作者写的有用cer有的是crt,有的用pem,有的用key所以容易被绕晕所以自己整理了一下 希望对刚接触证书以及需要配置双向认证的人有帮助,内含的ssl双向证书认证,如何为tomcat配置https单、双向请求认证,以及有关证书配置的详解!整理的可能不是很好,忘多多包涵!涉及的东西还是比较多的 需要自己多看看 理解理解!
Https双向认证+加密狗配置教程
01-06
Https双向认证+ET199加密狗配置usb硬件证书认证,如果有其他问题 下载过文档的同学肯定一帮到底!
理论【2】SSL 单向和双向认证加密过程
剑影的博客
12-10 1153
1、学习博客 1原理网址 2单向和双向验证 2、概念 单向认证: 只有一个对象校验对端的证书合法性。通常都是client来校验服务器的合法性。那么client需要一个ca.crt,服务器需要server.crt,server.key 双向认证: 相互校验,服务器需要校验每个client,client也需要校验服务器。 server 需要 server.key 、server.crt 、ca.crt...
服务器双向认证 原理,什么叫SSL双向认证 SSL双向认证过程是怎样的
weixin_39622655的博客
07-31 1092
我们都知道SSL认证能够分成SSL双向认证SSL单向认证。那么,什么是SSL双向认证SSL双向认证过程又是怎样的?小编就在接下来的内容为各位详细讲述。什么叫SSL双向认证SSL双向认证则是需要是服务端需要客户端提供身份认证,只能是服务端允许的客户能去访问,安全性相对于要高一些。SSL双向认证协议的具体通讯过程,这种情况要求服务器和客户端双方都有证书。SSL双向认证的全过程① 电脑浏览器推送1个...
【云原生】docker安全与https加密的超文本传输协议CA证书生成
liu_xueyin的博客
01-31 1181
HTTP协议无法加密数据,数据传输可能产生泄露、篡改或钓鱼攻击等问题,而启用HTTPS后,可帮助Web服务器和网站间建立可信的HTTPS协议加密链接,为网站安全加锁,保证数据安全传输。服务端会选择加密程度最高的方案,并通过明文方式发送给客户端(与双向认证的核心区别)1)在阿里云、华为云、腾讯云等云服务商那里申请一年有效期的免费证书或者购买证书。服务端会选择加密程度最高的方案,并通过客户端证书里的公钥加密后发送给客户端。用本地的CA证书校验服务端证书的有效性。https双向认证的访问流程。
服务器双向认证 原理,https认证方式以及HTTPS双向认证过程
weixin_32644565的博客
07-31 2504
https认证方式以及HTTPS双向认证过程分类:建站推广编辑:浏览量:1002021-07-15 14:29:14很多网站都配置了HTTPS而不是HTTP,因为安全性得到了极大的提高,如果要使用HTTPS证书,是否需要通过HTTPS对其进行身份验证?那么,接下来就让新网小编给朋友们讲一下关于https认证方式吧。HTTPSHTTPS (全称:Hyper Text Transfer Protoco...
https ssl单项认证双向认证以及证书生成
感冒石头的博客
09-21 1177
非对称加密: 加密和解密使用不同的密钥,这两个密钥形成有且仅有唯一的配对,叫公钥和私钥。(3)客户端读取CA证书的明文信息,采用相同的hash散列函数计算得到信息摘要(hash目的:验证防止内容被修改),然后用操作系统带的CA的公钥去解密签名(因为签名是用CA的私钥加密的),对比证书中的信息摘要。(3)客户端读取CA证书的明文信息,采用相同的hash散列函数计算得到信息摘要(hash目的:验证防止内容被修改),然后用操作系统带的CA的公钥去解密签名(因为签名是用CA的私钥加密的),对比证书中的信息摘要。
5.HTTPS双向认证指南
LiuWei
08-17 1315
1.转载 =====>> 原文 原理 双向认证,顾名思义,客户端和服务器端都需要验证对方的身份,在建立Https连接的过程中,握手的流程比单向认证多了几步。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。 单向认证流程 单向认证流程中,服务器端保存着公钥证书和私钥两个文件,
https 双向认证
08-10
HTTPS双向认证是一种通过SSL/TLS协议进行通信的安全机制。在这种机制中,服务器和客户端都需要使用证书进行身份验证。 具体的双向认证流程如下: 1. 将服务器证书和客户端证书导入到浏览器中。服务器证书应该导入到受信任的根证书颁发机构,而客户端证书应该导入到个人证书存储区域。123 #### 引用[.reference_title] - *1* *2* [【HTTPS双向加密认证】](https://blog.csdn.net/weixin_33724046/article/details/86336789)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *3* [https 双向认证开发实践](https://blog.csdn.net/dtlscsl/article/details/50118225)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值