阿里云 CDN HTTPS 最佳实践——客户端证书认证

最新推荐文章于 2021-02-01 17:14:31 发布
最新推荐文章于 2021-02-01 17:14:31 发布
阅读量494 收藏 2
点赞数
原文链接:https://yq.aliyun.com/articles/272484
版权

背景

我们在使用 HTTPS 时经常接触到的是服务器证书认证(单向认证),很少用到客户端证书认证(双向认证),这是因为对于 web 网站来说,用户数目广泛,使用服务器证书认证就够了,无需在 SSL 层做用户身份验证,对于需要验证的页面再在应用逻辑层来做用户身份验证(比如常见的账号密码登录),使用客户端证书认证反而影响用户体验。但是对于一些特殊企业客户,在涉及到资金、股票等等金融业务交易时,考虑到其业务的安全性,他们在原有业务可能已经用了客户端证书认证,对于这类客户在接入 CDN 时,必然也要支持客户端证书认证。

简单来说,客户端证书认证就是在单向认证 SSL 握手流程中加入了两个流程:

  1. 服务器发送 Certificate Request 消息,表明本次 SSL 握手需要做客户端证书认证(如下图第3步)。
  2. 客户端收到服务器发送的 Certificate Request 消息后,需要将客户端证书通过 Certificate 消息发送给服务器(如下图第4步)。服务器收到该消息时会对客户端证书做合法性校验,包括:客户端证书是否过期,发行该证书的 CA 是否可信,用其 CA 公钥对该证书的签名做校验是否成功,该证书是否已经被吊销。若其合法性校验成功则继续后面的握手流程,否则服务器会握手失败并中断连接。

https6_1

但是,如果客户端没有发送客户端证书,服务器也会握手成功,这就需要在应用程序中做判断是否有客户端证书,若客户端没有发送则要关闭连接并清除 session 缓存(代码请参考 Tengine 的 ngx_http_process_request 函数)。

实现

Tengine 是很容易配置客户端证书认证的,相关的几个指令如下:

ssl_verify_client        on;   #是否启用客户端证书认证
ssl_verify_depth         1;    #对客户端证书证书链的认证深度
ssl_client_certificate   /opt/tengine/conf/xxx.crt;  #指定用于校验客户端证书的CA证书
weixin_34272308
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Https双向证书申请
思念
11-15 946
生成服务端证书执行keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650在D盘生成server.jks
秒懂边缘云 | CDN基础入门:HTTPS配置
Maxineeez的博客
08-05 1464
本章节我们共同学习HTTPS相关功能及配置,如果您的业务有相关访问诉求,可以关注下文的实践指导内容。
购买阿里云服务器数字证书后, 使用openssl命令,编写linux shell脚本,实现自己给 客户快速颁发证书
zx1323的博客
03-21 812
起因:公司项目使用了HTTPS协议,且针对不同地区的分公司需要进行划分,使用数字证书提高安全性阿里云购买的证书:客户用浏览器打开网站,自动有小锁的标志,不会提示不安全给客户颁发的证书:用于区分客户,不同的客户,颁发不同的证书,有密码保护安全系数高(比防火墙好的地方在于,不需要频繁配置防火墙了)以上均为个人拙见。参考:spring boot https双向认证 http://horde.i-dudu...
腾讯云内容分发网络 CDN 产品认证课程笔记(三)——腾讯云CDN操作指引
lime2019的博客
02-01 809
课程地址:内容分发网络 CDN 产品认证——腾讯云CDN操作指引 腾讯云CDN操作指引1. 腾讯云CDN基本配置1.1 开通腾讯云CDN服务1.2 使用CDN加速业务2. 腾讯云CDN域名管理2.1 CDN域名操作2.2 CDN域名检索3. 腾讯云CDN源站及回源管理3.1 源站配置3.2 中间源配置3.3 Range回源配置3.4 回源跟随301/302配置 1. 腾讯云CDN基本配置 1.1 开通腾讯云CDN服务 腾讯云要求只有进行实名认证才可开通CDN服务。 腾讯云:内容分发网络 CDN 在腾.
腾讯云内容分发网络 CDN 产品认证课程笔记(一)——CDN概述
lime2019的博客
02-01 874
课程地址:内容分发网络 CDN 产品认证——CDN的概述 CDN的基本概念1. CDN的由来2. CDN的原理2.1 内容推送过程2.2 CDN加速的WEB请求过程3. CDN的分类3.1 网页加速3.2 流媒体加速3.3 大文件加速3.4 应用协议加速3.5 主动推送3.6 被动获取4. CDN的应用场景 1. CDN的由来 CDN的全称是Content Delivery NetWork,即内容分发网络。 由上图(用户访问服务器的拓扑图)可知,CDN使用此种拓扑结构,使用户可以就近获得所需内容.
阿里云CDN金融政企CDN最佳实践.pdf
08-29
阿里云视频云产品架构师 南淼在2018云栖大会·上海峰会中做了题为《阿里云CDN-金融政企CDN最佳实践》的分享,就阿里云CDN、金融政企主要产品与解决方案、阿里云CDN阿里云CDN服务体系等方面的内容做了深入的分析。
阿里云CDN加速配置
11-10
阿里云CDN(内容分发网络)是一种分布式网络服务,旨在通过将静态资源缓存到全球各地的边缘节点,提高用户访问速度,降低源站压力。以下是对阿里云CDN加速配置的详细说明: 一、基于源站域名加速 1. Nginx配置说明...
华为云、阿里云、腾讯云——三种云计算各自的特点
05-11
腾讯云的产品线包括云服务器CVM、云数据库TDSQL、CDN内容分发网络等。核心技术有TencentOS Tiny轻量级物联网操作系统、TKE容器服务等。腾讯云的基础架构基于腾讯自身的大规模数据中心,保证了服务的稳定和快速。在...
阿里云CDN相关术语及解释
最新发布
03-27
阿里云CDN相关术语及解释 阿里云CDN相关术语及解释是阿里云提供的一系列云解析服务的术语解释,涵盖了域名系统、域名解析、DNS记录、域名格式等多方面的知识点。以下是对阿里云CDN相关术语及解释的详细解释: 一、...
阿里云OSS+CDN使用教程.zip
01-09
阿里云OSS+CDN使用教程.zip 网站文件动静分离 加快访问速度
Https双向认证+加密狗配置教程
01-06
Https双向认证+ET199加密狗配置usb硬件证书认证,如果有其他问题 下载过文档的同学肯定一帮到底!
CXF实现SSL安全验证
01-19
CXF实现SSL安全验证,实现https的WebService
cxf与spring发布WebService
12-15
cxf与spring发布WebService
借助腾讯云CDN开启全站https及问题解决分享
qian_xiaoqian的博客
11-02 5544
版权声明:本文由张戈原创文章,转载请注明出处:  文章原文链接:https://www.qcloud.com/community/article/78 来源:腾云阁 https://www.qcloud.com/community 自从百度推荐全站 https 以来,一直就想让博客跟上这个节奏。可惜,国内所有的免费CDN都不支持https。所以要开启https势必要暴露网
HTTPS环境使用第三方CDN证书难题与最佳实践 | 高可用CDN架构详解(二)
weixin_45583158的博客
08-08 330
上一篇《CDN对流媒体和应用分发的支持及优化》发出后得到了业界广泛的关注(点击文末“阅读原文”可进),文章介绍的CDN架构都是基于HTTP的,在目前互联网环境,基于安全的...
Cxf跳过Https安全认证
Clare Tung
03-16 5627
自定义类实现:ClientLifeCycleListener public class SkipSecurityAuthenticationListener implements ClientLifeCycleListener { @Override public void clientCreated(Client client) { if (client.getConduit()...
CDN 常见问题】CDN HTTPS配置及常见问题
weixin_34236869的博客
03-06 3926
CDN提供了HTTPS的加密传输方式保证在客户端访问CDN的L1节点的链路上对传输数据进行加密避免被恶意查看和篡改。客户通过将自行向证书CA机构申请的SSL证书上传到CDN上,CDN会完成对所有的L1节点的配置同步保证后续所有的L1节点支持HTTPS方式访问。那么在配置CDNHTTPS协议时有哪些是需要特别注意的呢?本文就阐述HTTPS配置需要注意的内容...
阿里云 CDN HTTPS 最佳实践系列——动态证书(一)
zhoushuntian的博客
11-14 3463
背景 了解阿里云 CDN 架构的朋友应该知道,阿里云 CDN 7层的接入组件是 Tengine,我们知道 Tengine 原生是支持 SSL 的,只需要在配置文件中配置证书和私钥即可。在 CDN HTTPS 产品化以前,要开通 HTTPS 的域名需要把证书私钥给我们,我们在 Tengine 静态配置中配置,然后再同步到所有 CDN 边缘节点,显然这种方式在越来越多的域名开通 HTTPS 后,
https 单向认证双向认证
茅坤宝骏氹的博客
06-10 2936
转载自   https 单向认证双向认证 一、Http HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。 使用TCP端口为:80 二、Https Hyper Text Transfer Protocol ov...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值