【HTTPS】双向认证 附demo

最新推荐文章于 2024-07-24 21:41:50 发布
最新推荐文章于 2024-07-24 21:41:50 发布
阅读量499 收藏 1
点赞数
分类专栏: python学知识 文章标签: https flask python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43215013/article/details/129623203
版权

HTTPS 双向认证

环境搭建

使用python3 来搭建demo, python相对c++ 实现功能很快。这里主要是讲下https 中 ssl/tls 的原理。 使用python 编写demo。

python3 安装需要的依赖

pip3 install flask

异常报错 timeout ,推荐使用
**pip --default-timeout=1688 install 库名称 -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com ** 进行安装

证书生成

#!/bin/bash

PROJECT_NAME="https Project"

# Generate the openssl configuration files.
cat > ca_cert.conf << EOF
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no

[ req_distinguished_name ]
 O                      = $PROJECT_NAME Certificate Authority
EOF

cat > server_cert.conf << EOF
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no

[ req_distinguished_name ]
 O                      = $PROJECT_NAME
 CN                     = httpsServer
EOF

cat > client_cert.conf << EOF
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no

[ req_distinguished_name ]
 O                      = $PROJECT_NAME Device Certificate
 CN                     = httpsClient
EOF

mkdir ca
mkdir server
mkdir client

# 生成私钥
openssl genrsa -out ca.key 1024
openssl genrsa -out server.key 1024
openssl genrsa -out client.key 1024

# 根据私钥创建证书请求文件,需要输入一些证书的元信息:邮箱、域名等
openssl req -out ca.req -key ca.key -new -config ./ca_cert.conf
openssl req -out server.req -key server.key -new -config ./server_cert.conf
openssl req -out client.req -key client.key -new -config ./client_cert.conf

# 结合私钥和请求文件,创建自签署证书,  此处建议使用二级证书来生成服务端和客户端证书
openssl x509 -req -in ca.req -out ca.crt -sha1 -days 5000 -signkey ca.key
openssl x509 -req -in server.req -out server.crt -sha1 -CAcreateserial -days 5000 -CA ca.crt -CAkey ca.key
openssl x509 -req -in client.req -out client.crt -sha1 -CAcreateserial -days 5000 -CA ca.crt -CAkey ca.key

mv ca.crt ca.key ca/
mv server.crt server.key server/
mv client.crt client.key client/

# rm *.conf
# rm *.req
# rm *.srl

需要先安装 openssl . 然后执行上面的脚本。

https 客户端 直接上代码

# 单项验证服务端证书
import urllib.request
import ssl

if __name__ == '__main__':
    # 客户端认证服务端证书需要ca 此处单项认证服务端
    CA_FILE = "caCert/ca/ca.crt"
    # CA_FILE = "caCert/client/client.crt"
    context = ssl.SSLContext(ssl.PROTOCOL_TLS)
    context.check_hostname = False
    context.load_verify_locations(CA_FILE)
    context.verify_mode = ssl.CERT_REQUIRED
    try:
        request = urllib.request.Request('https://127.0.0.1:8091/login')
        res = urllib.request.urlopen(request, context=context)
        print(res.code)
        print(res.read().decode("utf-8"))
    except Exception as ex:
        print("Found Error in auth phase:%s" % str(ex))

使用根证书验证签发的服务端证书

服务端验证客户端

from flask import Flask

import ssl

app = Flask(__name__)

# @app.route('/login')
# def hello_world():
#     return 'Hello World!'

# if __name__ == '__main__':
#     app.run(host="0.0.0.0", port=8091, ssl_context=('caCert/server/server.crt', 'caCert/server/server.key'))
    
    
# 方法改造 增加ssl 证书校验
@app.route('/login')
def hello_world():
    return 'Hello World!'

# 配置ssl上下文,关键函数 
def get_ssl_context():
    # ca根证书
    ca_crt_path = 'caCert/ca/ca.crt'
    # 吊销列表
    server_crl_path = ''
    # 服务端证书和密钥
    server_crt_path = 'caCert/server/server.crt'
    server_key_path = 'caCert/server/server.key'
    # server_crt_path = 'caCert/ca/ca.crt'
    # server_key_path = 'caCert/ca/ca.key'
    
    # 创建ssl上下文
    ssl_context = ssl.SSLContext(protocol=ssl.PROTOCOL_TLSv1_2)
    # 选择认证模式
    # ssl_context.verify_mode = ssl.CERT_REQUIRED
    ssl_context.verify_mode = ssl.CERT_NONE
    # 不校验域名
    ssl_context.check_hostname = False
    # 吊销证书校验,只检查对端,不检查中间CA
    # ssl_context.verify_flags = ssl.VERIFY_CRL_CHECK_LEAF
    # ssl_context.load_verify_locations(server_crl_path)
    
    # 加密套件
    ssl_context.set_ciphers = ("HIGH:!SSLv3:!TLSv1:!aNULL:@STRINGTH")
    
    # 加载根证书
    ssl_context.load_verify_locations(ca_crt_path)
    # 加载服务端证书密钥,用于通信时使用
    ssl_context.load_cert_chain(certfile=server_crt_path, keyfile=server_key_path)
    
    return ssl_context



if __name__ == '__main__':
    ssl_context = get_ssl_context()
    app.run(host="0.0.0.0", port=8091, ssl_context=ssl_context)

细节可以参考:
https://www.cnblogs.com/Zzbj/p/15868210.html
https://blog.51cto.com/u_15127652/4590575

postman 验证测试

在这里插入图片描述
** 添加客户端证书**

完成:
在这里插入图片描述

IMG-飞
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ftps和https双向认证demo
05-31
ftps和https双向认证 使用pfx和jks证书
python flask 和浏览器实现 websocket 双向通讯- flask-socketio
集电极
09-03 2544
python flask 和浏览器实现 websocket 双向通讯- flask-socketio
JAVA实现发送HTTPS请求(SSL双向认证
qq_36313856的博客
12-20 2万+
一、项目背景 Java项目需要作为客户端发起HTTPS请求访问服务端,并且需要携带证书进行SSL双向认证,当前提供的证书相关文件有:ca.crt、ca.key、client.crt、client.key、server.crt、server.key 二、实现步骤 1、对客户端证书和私钥进行打包处理(需要输入密码,之后在代码中需要用到该密码) openssl pkcs12 -export clcerts -in client.crt -inkey client.key -out client.p12 2、.p
Https、SSL、TLS传输安全协议?(双向认证测试代码)
小小木的博客
03-01 768
一、所以HTTPS是HTTP+SSL/TCP的简称。 SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。 TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议和TLS握手协议。
java ssl编程_JAVA实现的SSL/TLS双向认证源代码
weixin_35698659的博客
02-13 398
【实例简介】压缩包里有客户端源码和服务器端源码,支持TCP的双向认证,也支持WEBSOCKET的双向认证,内测试 wss的测试例子, 需要生成PKCS12的证书,导入浏览器才可以测试。【实例截图】【核心代码】javadev├── TeslaSSLClient│ ├── bin│ │ ├── com│ │ │ └── tesla│ │ │ └── web...
RabbitMQ理解及入门使用(详细示例demo
weixin_42956626的博客
11-28 905
1. RabbitMQ概述 RabbitMQ 是一个由 Erlang 语言开发的 AMQP 的开源实现。 AMQP :Advanced Message Queue,高级消息队列协议。它是应用层协议的一个开放标准,为面向消息的中间件设计,基于此协议的客户端与消息中间件可传递消息,并不受产品、开发语言等条件的限制。 1.1消息模型 所有 MQ 产品从模型抽象上来说都是一样的过程: 消费者(consum...
SSL双向认证构建安全的Socket
mike_caoyong的专栏
07-15 2208
转载地址:http://blog.csdn.net/yangdelong/article/details/4575983   SSL(安全套接层)是 Netscape公司在1994年开发的,最初用于WEB浏览器,为浏览器与服务器间的数据传递提供安全保障,提供了加密、来源认证和数据完整性的功能。现在SSL3.0得到了普遍的使用,它的改进版TLS(传输层安全)已经成为互联网标准。SSL本身和TCP
SSL握手通信详解及linux下c/c++ SSL Socket(另SSL双向认证客户端代码)
热门推荐
轻飘飞扬
03-11 3万+
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。   安全证书既包含了用于加密数据的密钥,又包含了用于证实身份的数字签名。安全证书采用公钥加密技术。公钥加密是指使用一对非对称的密钥进行加密或解密。每一对密钥由公钥
Android TLS1.2双向认证demo
08-15
本文将深入探讨如何在Android客户端和PC服务端之间实现基于TLS1.2的双向认证。TLS(Transport Layer Security)是一种网络安全协议,用于确保网络通信的安全性,防止中间人攻击和其他形式的数据篡改。 首先,我们要...
详解iOS开发 - 用AFNetworking实现https单向验证,双向验证
08-31
接下来,我们探讨**双向验证**,也称为客户端认证,它不仅验证服务器,还需要客户端向服务器证明自己的身份。这通常用于需要更高安全性的场景,例如银行应用或内部企业应用。实现步骤如下: 1. **创建客户端证书**...
Java ssl socket 双向认证
04-18
双向认证,也称为客户端和服务器端的相互认证,是一种更高级的安全策略,它要求不仅服务器需要验证客户端的身份,客户端也需要验证服务器的身份。 在这个场景中,我们讨论的是如何在Java中设置和实现SSL套接字的...
mina双向通信demo
04-12
自己写的demo,完成了mina的双向通信功能,比较简单的一个demo,扩展性强
IOS双向验证、代码注入
qq_39153421的博客
07-28 459
双向验证 首先开发者电脑上有公钥M、私钥M,苹果服务器上有私钥A(Apple),iphone手机上有公钥A,app上会有app签名和苹果颁发的证书,他的认证过程是这样的: Mac电脑(开发者)拿着公钥M通过CSR文件向苹果服务器申请证书,会把公钥M发给苹果服务器,然后苹果服务器就会给其返回一个证书,里面了公钥M和公钥M的hash值,开发的app中有苹果颁发的证书...
https改造-python https 改造
杨杨杨~~的博客
07-24 370
如果您觉得有用的话,记得给,写作不易啊^ _ ^。而且听说,实在白嫖的话,那欢迎常来啊!!!
我去,怎么http全变https
qq_17105113的博客
07-19 9063
HTTP的。
学习笔记13:怎么申请https 证书
最新发布
ALex_zry的博客
07-24 1010
申请 HTTPS 证书(也称为 SSL/TLS 证书)是一个涉及多个步骤的过程,主要目的是为网站提供安全加密和身份验证。
Http 和 Https 的区别(图文详解)
栗筝i的博客
07-22 1513
HTTP(Hypertext Transfer Protocol)和 HTTPS(Hypertext Transfer Protocol Secure)是用于在网络上进行通信的协议。它们的主要区别在于安全性和加密方式。
代理协议解析:如何根据需求选择HTTP、HTTPS或SOCKS5?
Ssm2022的博客
07-23 1017
代理IP协议主要用于分组交换计算机通信网络的互联系统中使用,只负责数据的路由和传输,不负责处理数据内容,主要目的是在网络通信中引入代理,从而实现一些特定的功能,比如访问受限制的内容、提高网络安全性、提供缓存服务等。综上所述,HTTP代理、HTTPS代理和SOCKS5代理各有其独特的功能和适用场景,选择合适的代理取决于您的具体需求,包括协议支持、安全需求以及使用的应用类型。与HTTP代理类似,但能够处理加密的HTTPS流量,适合需要对HTTPS请求进行代理和监控的场景。专门用于代理HTTP协议的请求和响应。
js手写一个双向绑定demo
06-01
好的,以下是一个简单的双向绑定 demo 实现: ```html <!DOCTYPE html> 双向绑定 Demo <label for="message">Message: 您输入的消息是:<span id="output"></span> // 定义一个数据对象 const data ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值