搭建http2 mTLS通道,实现本地/远程端口转发(gost)

已于 2023-12-26 16:10:26 修改
阅读量1.3k 收藏 2
点赞数
文章标签: mTLS
于 2022-11-07 16:03:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzp1986/article/details/127731987
版权

文章目录

一、制作证书

mTLS认证要求两端都提供证书并证明拥有对应的key,并且要求对方的证书是由自己认可的CA签发的

(一)自制根CA证书

https://learn.microsoft.com/zh-cn/azure/application-gateway/self-signed-certificates
1、准备RSA密钥
输出的key文件里实际同时包含公钥和私钥

openssl genrsa -out wzp-ca.key 2048
# 查看上述密钥文件里的公钥;可用于检查“证书里的公钥”和“密钥文件的公钥”是否一致
openssl rsa -pubout -in wzp-ca.key

2、准备签名请求
输出的csr文件里包含CA的公钥、CA的名称

openssl req -new -key wzp-ca.key -out wzp-ca.csr -config <(
cat <<-EOF
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[ dn ]
CN=wzp-ca
EOF
)
# 查看上述签名请求文件里的名称、公钥信息
openssl req -in wzp-ca.csr -noout -text

3、准备证书扩展配置
主要是申明是CA,并可以用于签发证书

tee wzp-ca_ext.cnf <<-'EOF'
basicConstraints = CA:TRUE
keyUsage = digitalSignature, keyEncipherment, keyCertSign
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
EOF

4、制作CA

openssl x509 -req -days 1000 -in wzp-ca.csr -extfile wzp-ca_ext.cnf -signkey wzp-ca.key -out wzp-ca.crt

(二)自签发服务端证书

1、准备RSA密钥

2、准备签名请求
提供给签发方的csr文件,不含私钥信息,无需担心安全问题

openssl req -new -key wzp-server.key -out wzp-server.csr -config <(
cat <<-EOF
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[ dn ]
CN=wzp.com
EOF
)

3、准备证书扩展配置
申明增强密钥用法:serverAuth
请求端验证证书合法性时,是检查服务端证书里的备用名称subjectAltName是否和请求地址匹配,而不是检查Subject里的CN

tee wzp-server_ext.cnf <<-'EOF'
basicConstraints = CA:FALSE
nsCertType = server
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1= wzp.com
DNS.2 = *.wzp.com
IP.1 = 127.0.0.1
EOF

4、签发证书

openssl x509 -req -days 1000 -in wzp-server.csr -extfile wzp-server_ext.cnf -CA wzp-ca.crt -CAkey wzp-ca.key -CAcreateserial -out wzp-server.crt
#验证证书是否由某个CA签发
openssl verify -CAfile wzp-ca.crt -verbose wzp-server.crt

(三)客户端证书

1、准备RSA密钥

2、准备签名请求

3、准备证书扩展配置
关键是申明增强密钥用法:clientAuth

tee wzp-client_ext.cnf <<-'EOF'
basicConstraints = CA:FALSE
nsCertType = client, email
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection
EOF

4、签发证书

5、制作PKCS#12证书安装文件
pfx文件里包含证书和私钥,可被浏览器等请求端导入,用于在mTLS通讯时向服务端证明自己身份

openssl pkcs12 -export -out wzp-client.pfx -inkey wzp-client.key -in wzp-client.crt

二、使用gost进行端口转发

gost v2

(一)本地端口转发

访问转发客户端所在机器的端口,相当于从转发服务器发起对指定地址的访问
1、服务端:准备转发通道

gost -L="http2://:443?cert=/wzp-server.crt&key=/wzp-server.key&ca=/wzp-ca.crt"

转发通道要求客户端进行TLS握手时,持有wzp-ca签发的证书

2、客户端:申请监听并映射客户端机器的端口
假设转发服务器地址是a.a.a.a,在转发客户端本地hosts配置里把mtls.wzp.com解析到地址a.a.a.a;

gost -L="tcp://:2222/b.b.b.b:443" \
     -L="tcp://:3333/c.c.c.c:443" \
     -F="http2://mtls.wzp.com:443?cert=/wzp-client.crt&key=/wzp-client.key&secure=true&ca=/wzp-ca.crt"

用户访问转发客户端机器的2222端口,相当于从转发服务器a.a.a.a发起对b.b.b.b:443的访问;
用户访问转发客户端机器的3333端口,相当于从转发服务器a.a.a.a发起对c.c.c.c:443的访问

(二)远程端口转发

访问转发服务器的端口,相当于从转发客户端机器发起对指定地址的访问
1、服务端:准备转发通道

gost -L="h2://:443?cert=/wzp-server.crt&key=/wzp-server.key&ca=/wzp-ca.crt"
gost -L="socks5://127.0.0.1:18080"

第一个转发通道用于和客户端建立mTLS握手的多路复用长连接;
第二个转发通道用于在转发服务器本地打开映射端口,因为只有socks5协议支持远程端口转发

2、客户端:申请监听并映射转发服务器的端口
假设转发服务器地址是a.a.a.a,在转发客户端本地hosts配置里把mtls.wzp.com解析到地址a.a.a.a;

gost -L="rtcp://:28080/d.d.d.d:8080" \
     -F="h2://mtls.wzp.com:443?cert=/wzp-client.crt&key=/wzp-client.key&secure=true&ca=/wzp-ca.crt" \
     -F="socks5://127.0.0.1:18080"

第二个-F参数表示进行第二级转发,即由转发服务器本地的socks5服务在转发服务器上开启监听28080端口;
用户访问转发服务器a.a.a.a的28080端口,相当于在转发客户端机器发起对d.d.d.d:8080的访问

百战天王
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hello-mtls:演示各种技术中相互TLS配置的文档
02-05
你好mTLS 该软件包包含有关如何配置多种技术以执行相互TLS的文档。 它是项目的一部分,该项目旨在提高开发人员对公钥基础结构的认识,将其作为常见安全问题的潜在解决方案。 如果您发现任何过时,丢失或错误的文档,...
mtls-best-friend:一个轻量级的网站,用于同时测试客户端和服务器的mTLS
05-16
mTLS最好的朋友 一个轻量级的网站用于测试MTLS作为客户端和服务器,与Next.js建 该项目是为初次贡献者和开源初学者而设计的 该项目遵循,是其社区原则和政策的一部分,将所有决策和互动重点放在为开源初学者提供...
服务器实现端口转发的N种方式
xuxian的博客
07-05 1994
在一些实际的场景里,我们需要通过利用一些端口转发工具,比如系统自带的命令行工具或第三方小软件,来绕过网络访问限制触及目标系统。下文为大家总结了linux系统和windows系统端口转发常用的一些方法。
【内网渗透】全网最详细的端口转发教程
TT小子的博客
06-22 1351
最近在真实环境测试和编写靶场实战教程时,总会遇到内网主机无法直接访问,需要通过转发端口、建立代理隧道等方式去访问,以方便后续进一步的横向渗透测试。本文章主要介绍一些端口转发工具的使用。
mTLS: TLS/CA/证书 简介
Mr_rain的专栏
03-02 1251
简称英文全称中文全称CA证书颁发机构PCA私有证书颁发机构,又名私有 CASSL安全套接字层协议TLS传输层安全性协议HTTP超文本传输协议HTTPS超文本传输安全协议EV SSLEV 证书,又名扩展验证证书OV SSLOV 证书,又名组织验证证书DV SSL证书,又名域验证证书通配符证书MDC多域 SSL 证书UCC统一通信证书TLD顶级域PKI公钥基础设施OCSP在线证书状态协议CSP加密服务提供商Public key公钥私钥。
如何用 Nginx 在公网上搭建加密数据通道
程序猿DD
03-17 599
最近在跨机房做一个部署,因为机房之间暂时没有专线,所以流量需要经过公网。对于经过公网的流量,我们一般需要做以下的安全措施:只能允许已知的 IP 来访问;流量需要加密;第一项很简单,一般的防...
在kong上,自行实现mTLS
wzp1986的专栏
01-05 1308
准备DB-less模式的kong服务器使用全局插件,在certificate阶段要求获取客户端证书,在rewrite阶段验证客户端证书 本文基于kong2.5版本,目标是根据tls协商的域名,让kong从配置里(而不是本地证书文件)选择对应的服务端证书以及用于验证客户端证书的CA证书。 准备DB-less模式的kong服务器 使用配置文件比较容易看清全局配置,在开发阶段,也容易清理和初始化全部kong规则 _format_version: "2.1" _transform: false servic
用 Nginx 在公网上搭建加密数据通道
云原生实验室
03-16 1118
最近在跨机房做一个部署,因为机房之间暂时没有专线,所以流量需要经过公网。对于经过公网的流量,我们一般需要做以下的安全措施:只能允许已知的 IP 来访问;流量需要加密;第一项很简单,一般的防...
『每周译Go』手把手教你用 Go 实现一个 mTLS
Go中国
12-07 438
想知道什么是 mTLS(双向 TLS)?来吧,让我们用 Golang 和 OpenSSL 实现一个 mTLS。介绍TLS(安全传输层协议简称)为网络通信的应用程序提供必要的加密。HTTPS...
如何优雅的用 Nginx 在公网上快速搭建一个加密数据通道
easylife206的专栏
04-12 1998
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !最近在跨机房做一个部署,因为机房之间暂时没有专线,所以流量需要经过公网。对于经过公网的流量,我们一般需要做以下的安全措施:只能允许已知的 IP 来访问;流量需要加密;第一项很简单,一般的防火墙,或者 Iptables 都可以做到。对于加密的部分,最近做了一些实验和学习,这篇文章总结加密的实现...
如何使用Nginx在公网上搭建加密数据通道
Docker的专栏
04-15 3770
最近在跨机房做一个部署,因为机房之间暂时没有专线,所以流量需要经过公网。对于经过公网的流量,我们一般需要做以下的安全措施:只能允许已知的 IP 来访问;流量需要加密。第一项很简单,一般的防火墙,或者 Iptables 都可以做到。对于加密的部分,最近做了一些实验和学习,这篇文章总结加密的实现方案,假设读者没有 TLS 方面的背景知识,会简单介绍原理和所有的代码解释。—1...
理解mTLS
vimin_1314的博客
12-14 9589
为 Ingress-nginx 配置双向认证(mtls) 转载:为 Ingress-nginx 配置双向认证(mtls) - 知乎 (zhihu.com) 首先什么是 mtls (双向认证)?它是一个过程,在这个过程中,客户机和服务器都通过证书颁发机构彼此验证身份。 相信 tls 大家都比较熟悉,就是 server 端提供一个授信证书,当我们使用 https 协议访问server端时,client 会向 server 端索取证书并认证(浏览器会与自己的授信域匹配或弹出不安全的页面)。 mtls 则.
MTLS-SVM.rar_SVM_mtls_svm 预测_svm预测
09-23
在标题"MTLS-SVM.rar_SVM_mtls_svm 预测_svm预测"中,我们可以推断这个压缩包可能包含了一个实现多任务学习(Multi-task Learning, MTLS)与SVM结合的预测模型。多任务学习是机器学习领域的一个分支,其目标是通过...
gae_requests_mtls_demo:在GAE上请求通过双向TLS(MTLS)认证的远程HTTPS资源的一个小示例
05-20
GAE请求库MTLS身份验证演示 一个通过库在Google App Engine上通过双向TLS(MTLS)认证的远程HTTPS资源的小示例。 为什么? 相互TLS与其他两方身份验证方法(例如OAuth2)相比,具有几个主要优点。 速度:加密操作...
open-banking-client-authentication-tool:简单的命令行工具,演示了TPP如何通过MTLS通道使用private_key_jwt在ASPSP令牌端点进行身份验证
05-19
工具: 生成私钥JWT 通过相互认证的通道向ASPSP提交认证请求用法要运行该工具: 确保客户端已在ASPSP中注册从GitHub下载并解压缩源代码或克隆源在src / main / resources / configuration.properties文件中更改以下...
煎蛋.rar
最新发布
08-04
小程序的设计源码通常包含多个文件和文件夹,组织结构清晰,以便开发者能够快速上手并进行定制化开发。主要文件和文件夹包括: 页面文件夹:存放小程序的各个页面,每个页面通常由.wxml、.wxss、.js和.json文件组成。WXML文件负责页面的结构,类似于HTML;WXSS文件负责样式,类似于CSS;JS文件负责页面的逻辑和交互;JSON文件用于页面的配置,如导航栏标题等。 组件文件夹:存放可复用的UI组件。组件与页面类似,也由.wxml、.wxss、.js和.json文件组成。通过组件化设计,可以提高代码的复用性和维护性,减少重复工作。 静态资源文件夹:存放图片、音频、视频等静态资源,便于在小程序中引用。这些资源通常放在一个名为assets或static的文件夹中。 配置文件:小程序的根目录下通常有一个app.json文件,用于全局配置,如页面路径、导航栏样式、底部Tab栏等。此外,还有app.wxss和app.js文件,分别用于全局样式和全局逻辑。 工具文件夹:存放一些工具函数和库文件,便于在小程序中调用。这些文件通常放在一个名为utils的文件夹中。
DirectX修复工具,(DirectX Repair)是一款系统级工具软件, 简便易用 【修复完成后重启电脑】
08-04
安装包
下半年工作总结PPT模板.pptx
08-04
【作品名称】:述职报告,工作计划,工作总结,计划书,商务计划,转正报告 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
如何使用java进行配置和实现mtls
05-13
MTLS(Mutual TLS)是一种双向的TLS(Transport Layer Security)认证方式,即客户端和服务端都需要验证对方的身份。Java中可以使用JSSE(Java Secure Socket Extension)实现MTLS。 下面是一个简单的实现MTLS的示例代码: ```java import java.io.FileInputStream; import java.io.IOException; import java.io.InputStream; import java.net.InetSocketAddress; import java.security.KeyStore; import java.security.cert.CertificateException; import java.security.cert.X509Certificate; import javax.net.ssl.KeyManagerFactory; import javax.net.ssl.SSLContext; import javax.net.ssl.SSLException; import javax.net.ssl.SSLServerSocket; import javax.net.ssl.SSLServerSocketFactory; import javax.net.ssl.TrustManager; import javax.net.ssl.TrustManagerFactory; import javax.net.ssl.X509TrustManager; public class MTLSExample { private static final String KEYSTORE_PATH = "keystore.jks"; private static final String KEYSTORE_PASSWORD = "password"; private static final String TRUSTSTORE_PATH = "truststore.jks"; private static final String TRUSTSTORE_PASSWORD = "password"; private static final int PORT = 8443; public static void main(String[] args) throws Exception { // Load the key store KeyStore keyStore = KeyStore.getInstance("JKS"); try (InputStream is = new FileInputStream(KEYSTORE_PATH)) { keyStore.load(is, KEYSTORE_PASSWORD.toCharArray()); } // Create key manager factory KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); keyManagerFactory.init(keyStore, KEYSTORE_PASSWORD.toCharArray()); // Load the trust store KeyStore trustStore = KeyStore.getInstance("JKS"); try (InputStream is = new FileInputStream(TRUSTSTORE_PATH)) { trustStore.load(is, TRUSTSTORE_PASSWORD.toCharArray()); } // Create trust manager factory TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); trustManagerFactory.init(trustStore); // Create SSL context SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), null); // Create a server socket SSLServerSocketFactory sslServerSocketFactory = sslContext.getServerSocketFactory(); SSLServerSocket sslServerSocket = (SSLServerSocket) sslServerSocketFactory.createServerSocket(); sslServerSocket.bind(new InetSocketAddress(PORT)); // Set up a trust manager that trusts all certificates sslServerSocket.setNeedClientAuth(true); TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { public X509Certificate[] getAcceptedIssuers() { return null; } public void checkClientTrusted(X509Certificate[] certs, String authType) throws CertificateException { } public void checkServerTrusted(X509Certificate[] certs, String authType) throws CertificateException { } } }; sslContext.init(keyManagerFactory.getKeyManagers(), trustAllCerts, null); // Start accepting connections while (true) { System.out.println("Waiting for client connection..."); try (var socket = sslServerSocket.accept()) { System.out.println("Client connected"); } catch (IOException e) { System.out.println("Failed to accept client connection: " + e.getMessage()); } } } } ``` 在这个示例中,我们加载了一个包含服务端和客户端证书的JKS格式的密钥库和信任库,然后创建了一个SSLContext对象,用于创建SSLServerSocket。`sslContext.init()`方法的第二个参数是一个TrustManager数组,用于验证客户端证书。在这个示例中,我们使用了一个简单的实现,它信任所有的客户端证书。在实际应用中,你需要使用一个更安全的实现。 在SSLServerSocket上调用`sslServerSocket.setNeedClientAuth(true)`方法,表示必须要验证客户端证书。如果客户端没有提供证书或者证书验证失败,那么连接将被拒绝。 当客户端与服务端建立连接后,服务端可以使用`socket.getPeerCertificates()`方法获取客户端证书。你可以使用这个证书来验证客户端的身份。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值