证书,CSP与Openssl
起因
最近在研究更安全的交互体系,自然想到的就是提供证书的交互方式。给用户分配一对公私钥,然后将私钥交给用户保管,用户在登录或者一些关键操作的时候通过私钥签名,从而保证其安全性。
鉴于团队的童鞋都没有开发usb key相关的经验,所以最开始的版本只考虑通过软证书实现。为了保证安全性,我们将用户的证书信息放置在windows系统的证书存储区里面,这样既减少证书被盗用的风险,同时通过windows的CSP(Cryptographic Service Provider)能让JS,APP都能读取到相关证书信息。
流程
当用户登录系统的时候,需要使用该用户对应的私钥进行签名,如果该用户现阶段还没有私钥,则会引导用户跳转到证书申请页面进行申请。申请成功之后,系统自动为用户安装证书,然后用户就能够使用该证书与服务器进行交互了。
证书生成
我们在服务器端通过openssl创建相关证书,主要有以下几个流程:
-
创建私钥