负载均衡双向证书配置方法

最新推荐文章于 2024-01-16 21:41:11 发布
最新推荐文章于 2024-01-16 21:41:11 发布
阅读量707 收藏 1
点赞数
文章标签: 网络 数据库
原文链接:https://yq.aliyun.com/articles/68556
版权

本文目的

本文主要介绍在使用负载均衡服务中相关证书的含义,以及上传、配置方法。

说明

  • 服务器证书是用于用户浏览器检查服务器送过来的证书是否是由自己信赖的中心所签发的,服务器证书需要上传到 SLB 控制台;
  • CA 证书作用:服务器要求客户浏览器发送自己的证书,收到后服务器用 CA 证书验证客户浏览器的证书(即 Client 证书),如果没有通过验证,拒绝连接,
  • CA 证书在开启双向认证功能后也需要上传到 SLB 控制台,对于开启双向认证功能一般用户可以选择使用 openssl 生成自签 CA 证书和 Client 证书。 

服务器证书的生成

服务器证书可以到云盾 证书服务 购买,也可以到其他服务商处购买。

创建一个新的 CA 证书 

在 /root 目录下新建 ca 文件夹,进入 ca,创建几个子文件夹:
$ sudo mkdir ca
$ cd ca
$ sudo mkdir newcerts private conf server
newcerts 子目录将用于存放 CA 签署过的数字证书(证书备份目录);private 用于存放 CA 的私钥;conf 目录用于存放一些简化参数用的配置文件;server 存放服务器证书文件。

1. conf 目录新建 openssl.conf 文件 

编辑其内容如下:

[ ca ]
 
default_ca      = foo                   # The default ca section
 
 
 
[ foo ]
 
dir            = /root/ca         # top dir
 
database       = /root/ca/index.txt          # index file.
 
new_certs_dir  = /root/ca/newcerts           # new certs dir
 
 
 
certificate    = /root/ca/ private /ca.crt         # The CA cert
 
serial         = /root/ca/serial             # serial no file
 
private_key    = /root/ca/ private /ca.key  # CA private key
 
RANDFILE       = /root/ca/ private /.rand      # random number file
 
 
 
default_days   = 365                     # how long to certify for
 
default_crl_days= 30                     # how long before next CRL
 
default_md     = md5                     # message digest method to use
 
unique_subject = no                      # Set to 'no' to allow creation of
 
                                          # several ctificates with same subject.
 
policy         = policy_any              # default policy
 
 
 
[ policy_any ]
 
countryName = match
 
stateOrProvinceName = match
 
organizationName = match
 
organizationalUnitName = match
 
localityName            = optional
 
commonName              = supplied
 
emailAddress            = optional 


2 生成私钥 key 文件 

$ cd /root/ca
$ sudo openssl genrsa -out private /ca.key
输出
Generating RSA private key, 512 bit long modulus
..++++++++++++
.++++++++++++
e is 65537 ( 0x10001 )

private 目录下有 ca.key 文件生成。

注:openssl 默认生成 512 位的。一般是用 2048 位的。


3 生成证书请求 csr 文件

$ sudo openssl req - new -key private /ca.key -out private /ca.csr

提示输入 Country Name,输入 CN 并回车后:
提示输入 State or Province Name (full name),输入 ZheJiang并回车后:
提示输入 Locality Name,输入 HangZhou并回车后:
提示输入 Organization Name,输入 Aliyun并回车后:
提示输入 Organizational Unit Name,输入 Dev 并回车后:
提示输入 Common Name,如果没有域名的话,输入 xxx.xxx.cn 并回车后:

提示输入 Email Address,输入 Aliyun@aliyun.com 并回车后:

提示输入 A challenge password,这个是根证书口令。输入 123456 并回车后:

eb2e7667e05dfa7e4d44418081b5f58ab64ecb9f
private 目录下有 ca.csr 文件生成。


4 生成凭证 crt 文件

$ sudo openssl x509 -req -days 365 -in private /ca.csr -signkey private /ca.key -out private /ca.crt

控制台输出
b4640a534d30e336d0a7ff7e0902c05d8b5821c8
private 目录下有 ca.crt 文件生成。


5 为我们的 key 设置起始序列号

$ sudo echo FACE > serial

可以是任意四个字符


6 创建 CA 键库

$ sudo touch index.txt


7  "用户证书" 的移除创建一个证书撤销列表

$ sudo openssl ca -gencrl -out /root/ca/ private /ca.crl -crldays 7 -config "/root/ca/conf/openssl.conf"

输出

Using configuration from /root/ca/conf/openssl.conf

private 目录下有 ca.crl 文件生成。

客户端证书的生成

创建存放 key 的目录 users

$ sudo mkdir users

位置 /root/ca/users。

为用户创建一个 key

$ sudo openssl genrsa -des3 -out /root/ca/users/client.key 1024

要求输入 pass phrase,这个是当前 key 的口令,以防止本密钥泄漏后被人盗用。两次输入同一个密码(比如我这里输入 123456),users 目录下有 client.key 文件生成。

为 key 创建一个证书签名请求 csr 文件

$ sudo openssl req - new -key /root/ca/users/client.key -out /root/ca/users/client.csr

4a3826cc467093c257fdcb1995b12f0b7dd9881c
提示输入 pass phrase,即 client.key 的口令。将 3.2 步保存的 pass phrase 输入后并回车:
c47065cd7713d11a4d0d3a14b3eecd6d88be5c74
要求你输入和 2.3 步一样的那些问题。输入的内容要求完全一致。但 A challenge password 是客户端证书口令(请注意将它和 client.key 的口令区分开,这边设置密码为test),可以与服务器端证书或者根证书口令一致:  

06cecd6359378dfe3501d5b8cdd0063ede80c5cd

users 目录下有 client.csr 文件生成。

使用我们私有的 CA key 为刚才的 key 签名

$ sudo openssl ca -in /root/ca/users/client.csr -cert /root/ca/ private /ca.crt -keyfile /root/ca/ private /ca.key -out /root/ca/users/client.crt -config "/root/ca/conf/openssl.conf"

输出 

4635e151b86699fa091a31c5565fcd04c1802cea
两次都输入 y,users 目录下有 client.crt 文件生成。

将证书转换为大多数浏览器都能识别的 PKCS12 文件

$ sudo openssl pkcs12 -export -clcerts -in /root/ca/users/client.crt -inkey /root/ca/users/client.key -out /root/ca/users/client.p12

2237b7238650657a245922b373d6dbd543ea0f5f
要求输入 client.key 的 pass phrase,输入 2.3.2 步输入的 pass phrase 并回车后: 

4b17cb9a671ba29d9311de30cf122bafda6fe6e9
要求输入 Export Password,这个是客户端证书的保护密码(其作用类似于 3.3 保存的口令),在客户端安装证书的时候需要输入这个密码。我是输入client。
users 目录下有 client.p12 文件生成。

负载均衡配置证书

此处上传的为向证书服务商申请的服务器证书。

https://help.aliyun.com/document_detail/32336.html

https://help.aliyun.com/document_detail/32337.html

相关证书的FAQ

https://help.aliyun.com/document_detail/27661.html

双向认证FAQ

https://help.aliyun.com/document_detail/34952.html

这里需要配置的内容:

CA证书上传,即上传上述描述生成的CA根证书,即“2 创建一个新的 CA 证书”描述的内容。

客户端证书,是需要导入浏览器中,即“3 客户端证书的生成”描述的内容。

测试效果:

1、双向认证,但是没有导入客户端证书,访问效果如下图。

827ececd4307e7659303b5ca8ee860ff259f61f6

2、客户端证书导入过程,在此省略。

主要过程为:

下载客户端证书-》双击运行-》输入证书密码-》选择导入证书存储位置-》完成。

重启浏览器测试。


3、双向认证,导入客户端证书,访问效果如下图。


ccaa23874872d0501f520ff0af3555a7fcff4ad61b449931e4004718cec5abe32a03b17c7abcfb7f


weixin_33885676
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Https双向证书申请
思念
11-15 959
生成服务端证书执行keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650在D盘生成server.jks
负载均衡-如何布置证书
Away_D的博客
07-15 406
负载均衡环境里,如何布置ssl证书? mark.
多点双向重发布 之 双向负载均衡
weixin_33796205的博客
04-10 160
多点双向重发布 之 双向负载均衡 在R1-R2-R3之间配置OSPF 在R1-R4-R3之间配置EIGRP 在R1和R3上分别重发布OSPF到EIGRP 和 EIGRP 到 OSPF 这样配置后 R4-->R2负载均衡 R2-->R4不能负载均衡 原因:当在R1上线重发布后 它将通告区域内的其他路由器 使得区域的路由...
负载均衡 > 用户指南 > 证书管理 > 证书要求
荒野求生的博客
10-12 897
证书要求 更新时间:2020-09-04 15:22:17 编辑我的收藏 本页目录 Root CA机构颁发的证书 中级机构颁发的证书 证书公钥 RSA私钥格式要求 EC私钥格式要求 负载均衡只支持PEM格式的证书。在上传证书前,确保您的证书证书链和私钥符合格式要求。 Root CA机构颁发的证书 如果是通过Root CA机构颁发的证书,您拿到的证书是唯一的一份,不需要额外的证书配置的站点即可被浏览器等访问设备认为可信。 证书格式必须符合如下要求: 以-----BEGIN CERT
nginx证书颁发,和负载均衡
最新发布
m0_73298908的博客
01-16 943
root@web1 ~]# yum -y install openssl #如果没有查询到openssl执行yum安装。[root@web1 ~]# openssl version #查看版本。)删除/etc/nginx/conf/default.conf文件。11、创建web2网页目录/www,网页,删除default文件。
RadwareAlteon负载均衡器指导书v1.13.doc
12-24
应用加速配置中,SSL加速是关键,涉及SSL证书的创建、导入和策略配置,以及SSL双向认证的实施。此外,还包含了连接复用、压缩等性能优化措施。 特殊应用负载均衡如Radius负载均衡,展示了Alteon对特定服务的适应性...
Radware Alteon负载均衡器 v1.13.docx
06-19
- **配置负载均衡的基本流程**:包括设备的初始设置、网络配置、服务器和组的配置、健康检查以及虚拟服务器的配置等步骤。 - **地址规划**:包括负载均衡器自身的IP地址、服务器地址以及虚拟服务器的地址规划。 ###...
Apache 2 mod_jk tomcat 5 双向SSL认证 传递证书信息
03-06
标题 "Apache 2 mod_jk tomcat 5 双向SSL认证 传递证书信息" 描述了一种在Apache HTTP服务器和Tomcat应用服务器之间进行安全通信的方法,即使用mod_jk模块实现双向SSL(Secure Sockets Layer)认证。双向SSL认证是一...
实现基于阿里云负载均衡https证书
biosman的专栏
07-24 3591
一、https协议流程: 1、生成服务器证书: 1.1、生成秘钥文件mykey: keytool -genkey -alias tomcat7.0 -keyalg RSA -keystore mykey -storepass Zyg15328420313 -keypass Zyg15328420313 1.2、利用秘钥文件mykey制作并生成服务器证书server.cer: keytoo
阿里云ssl证书负载均衡配置
weixin_44656934的博客
12-18 861
1、购买证书(图片有误,应该是购买通配符证书): 2、申请证书: 填写证书绑定域名:*.tianya.com 联系人信息:xxx 在自己的域名管理平台配置txt记录值,通过dns的txt记录类型来验证信息 3、证书验证(根据上图中的DNS记录类型在域名管理平台进行txt记录验证,验证通过后点击上图中的验证按钮后会提示验证通过) 4、申请验证完成: 4.1点击验证后返回ssl证书管理平台页面会显示申请审核中 4.2审核通过后下载自己需要的相应的证书 备注:使用阿里云负载均衡进行https访问网站,
负载均衡如何部署SSL证书?什么是SSL证书多服务器许可证?
weixin_34212762的博客
01-23 686
鉴于目前已经有许多大型网站开始部署 SSL 证书,就不可避免地涉及到同一张 SSL 证书在多台物理服务器 ( 物理设备 ) 上使用的问题,此情况是需要购买多服务器许可证的。为了帮助广大用户理解多服务器许可证,特整理此文档,敬请广大用户注意:一张 SSL证书只能用于一台物理服务器,不可以在多台服务器上使用;否则,会带来法律风险和证书使用安全风险。 什么是多服务器许可...
haproxy配置基于ssl证书的https负载均衡
reblue520的专栏
05-11 1366
本实验全部在haproxy1.5.19版本进行测试通过,经过测试1.7.X及haproxy1.3版本以下haproxy配置参数可能不适用,需要注意版本号。 一、业务要求现在根据业务的实际需要,有以下几种不同的需求。如下: 1.1 http跳转https 把所有请求http://www.chinasoft.com的地址全部跳转为https//:www.chinasoft.com这个地...
阿里云SLB HTTPS证书配置
zjy105的专栏
03-15 4442
进入阿里云负载均衡后,先进入证书管理,创建一个新证书证书类型选择服务器证书,然后将pem文件的内容贴入到证书内容里,将key文件的内容贴入到私钥内容里。 然后创建负载均衡实例,选择服务器证书时,选择刚刚创建的证书就好了~ 问题来了: PC和IOS访问正常,可是安卓确报了这个错误 java.security.cert.CertPathValidatorException: Tr
haproxy配置自签名双向认证ssl
yin_slin的专栏
07-20 4203
本文承接上一篇博文:https://blog.csdn.net/yin_slin/article/details/81130568 为emq集群前端haproxy配置ssl双向认证,采用的方案为:客户端通过ssl访问haproxy,haproxy转发请求到后端不使用ssl。 一、生成自签名证书: 1、生成根证书私钥: openssl genrsa -out ca.key 2048 -pass...
Nginx的浏览器/服务器双向SSL证书认证配置
rosw的专栏
12-03 1万+
最近的项目中需要安全性控制,而我又懒得改动后台的程序代码,故而想在反向代理层加入SSL证书验证。一直在用Nginx做反向代理,但是其SSL的配置只用过普通的服务端单向证书。在Google,百度狂搜一通之后,一无所获,依旧是那老三样,只有单向认证的示例。浏览器端双向认证的配置好像从没人写过。无奈之下,只好从OpenSSL的客户端证书开始学起,一点一点啃,大段大段的E文让我这半瓶子醋看的头晕眼晕。最后
https 双向认证基本配置学习
pzqingchong的专栏
11-22 4324
https 双向认证基本配置学习 一 证书密钥格式 1.1         DER 格式 公钥,证书文件信息格式,通常后缀名是der,cer,crt,内容是二进制数据。 1.2         PEM 格式 私钥,证书,公钥信息格式,通常后缀名是pem,cer,crt,内容是二进制数据base64编码   以上截图是利用openssl 工具生成的传统pem格式的私钥文件内容。(注
证书双向认证
chenzhi5174的博客
09-05 858
服务端 Nginx配置 server { listen 8800 ssl; server_name 127.0.0.1; ssl_certificate /usr/local/NSP/nginx/certificate/nginx.crt; ssl...
配置HTTPS监听(双向认证)
fjz_lihuapiaoxiang的博客
12-26 496
本指南将引导您配置HTTPS双向认证的负载均衡服务。本指南中使用自签名的CA证书为客户端证书签名。 完成以下操作配置HTTPS监听(双向认证): 准备服务器证书使用OpenSSL生成CA证书生成客户端证书上传服务器证书和CA证书安装客户端证书配置负载均衡实例测试负载均衡服务 步骤一: 准备服务器证书 服务器证书用于用户浏览器检查服务器发送的证书是否是由自己信赖的中心签发的。在配
几种常用的Web安全认证方式
热门推荐
一只猿的自我修养
05-26 2万+
1. Http Basic Auth 这是一种最古老的安全认证方式,这种方式就是简单的访问API的时候,带上访问的username和password,由于信息会暴露出去,所以现在也越来越少用了,现在都用更加安全保密的认证方式,可能某些老的平台还在用。 如下图所示,弹出一个框,让你填写用户名密码。这就是Tomcat自带的HTTPBasic认证。 当用户名密码输入错误后,会返回401 Una...
CentOS6.5配置Nginx1.6.2全攻略:SSL、负载均衡与反向代理
"本文主要介绍了如何在CentOS 6.5环境下配置Nginx 1.6.2,包括SSL双向认证、负载均衡和反向代理的设置步骤。" 在开始配置Nginx之前,首先确保系统环境是CentOS 6.5,并且在虚拟机(如VMware 11)中准备了必要的工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值