HTTPS双向认证

最新推荐文章于 2024-05-29 13:34:49 发布
最新推荐文章于 2024-05-29 13:34:49 发布
阅读量652 收藏 5
点赞数 1
文章标签: https 网络协议 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yao_zhuang/article/details/132134543
版权

双向认证,指的是客户端和服务器端都需要验证对方的身份,在建立HTTPS连接的过程中,握手的流程相对于单向认证多了几步。
单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。
双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。

1. 原理

1.1 单向认证流程

单向认证流程中,服务器端保存着公钥证书和私钥两个文件,整个握手过程如下:
在这里插入图片描述

  1. 客户端发起建立HTTPS连接请求,将SSL协议版本的信息发送给服务器端;
  2. 服务器端将本机的公钥证书(server.crt)发送给客户端;
  3. 客户端读取公钥证书(server.crt),取出了服务端公钥;
  4. 客户端生成一个随机数(密钥R),用刚才得到的服务器公钥去加密这个随机数形成密文,发送给服务端;
  5. 服务端用自己的私钥(server.key)去解密这个密文,得到了密钥R
  6. 服务端和客户端在后续通讯过程中就使用这个密钥R进行通信了。

1.2 双向认证流程

在这里插入图片描述

  1. 客户端发起建立HTTPS连接请求,将SSL协议版本的信息发送给服务端;
  2. 服务器端将本机的公钥证书(server.crt)发送给客户端;
  3. 客户端读取公钥证书(server.crt),取出了服务端公钥;
  4. 客户端将客户端公钥证书(client.crt)发送给服务器端;
  5. 服务器端使用根证书(root.crt)解密客户端公钥证书,拿到客户端公钥;
  6. 客户端发送自己支持的加密方案给服务器端;
  7. 服务器端根据自己和客户端的能力,选择一个双方都能接受的加密方案,使用客户端的公钥加密后发送给客户端;
  8. 客户端使用自己的私钥解密加密方案,生成一个随机数R,使用服务器公钥加密后传给服务器端;
  9. 服务端用自己的私钥去解密这个密文,得到了密钥R
  10. 服务端和客户端在后续通讯过程中就使用这个密钥R进行通信了。

2. 证书准备

整个双向认证的流程需要六个证书文件:

  • 服务器端公钥证书:server.crt
  • 服务器端私钥文件:server.key
  • 根证书:root.crt
  • 客户端公钥证书:client.crt
  • 客户端私钥文件:client.key
  • 客户端集成证书(包括公钥和私钥,用于浏览器访问场景):client.p12

3. 自签名证书

生成这一些列证书之前,我们需要先生成一个CA根证书,然后由这个CA根证书颁发服务器公钥证书和客户端公钥证书。为了验证根证书颁发验证客户端证书这个逻辑,我们使用根证书生成两套不同的客户端证书,然后同时用两个客户端证书来发送请求,看服务器端是否都能识别。下面是证书生成的内在逻辑示意图:在这里插入图片描述

3.1生成自签名根证书

(1)创建根证书私钥:

openssl genrsa -out root.key 1024

(2)创建根证书请求文件:

openssl req -new -out root.csr -key root.key

后续参数请自行填写,下面是一个例子:

Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:bj
Locality Name (eg, city) [Default City]:bj
Organization Name (eg, company) [Default Company Ltd]:alibaba
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your servers hostname) []:root
Email Address []:a.alibaba.com
A challenge password []:
An optional company name []:

(3)创建根证书:

openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650

在创建证书请求文件的时候需要注意三点,下面生成服务器请求文件和客户端请求文件均要注意这三点: 根证书的Common Name填写root就可以,所有客户端和服务器端的证书这个字段需要填写域名,一定要注意的是,根证书的这个字段和客户端证书、服务器端证书不能一样; 其他所有字段的填写,根证书、服务器端证书、客户端证书需保持一致最后的密码可以直接回车跳过。

经过上面三个命令行,我们最终可以得到一个签名有效期为10年的根证书root.crt,后面我们可以用这个根证书去颁发服务器证书和客户端证书。

3.2 生成自签名服务器端证书

(1)生成服务器端证书私钥:

openssl genrsa -out server.key 1024

(2) 生成服务器证书请求文件,过程和注意事项参考根证书,本节不详述:

openssl req -new -out server.csr -key server.key

(3) 生成服务器端公钥证书

openssl x509 -req -in server.csr -out server.crt -signkey server.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

经过上面的三个命令,我们得到:

server.key:服务器端的密钥文件 server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成

3.3 生成自签名客户端证书

(1)生成客户端证书密钥:

openssl genrsa -out client.key 1024
openssl genrsa -out client2.key 1024

(2) 生成客户端证书请求文件,过程和注意事项参考根证书,本节不详述:

openssl req -new -out client.csr -key client.key
openssl req -new -out client2.csr -key client2.key

(3) 生客户端证书

openssl x509 -req -in client.csr -out client.crt -signkey client.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650
openssl x509 -req -in client2.csr -out client2.crt -signkey client2.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

(4) 生客户端p12格式证书,需要输入一个密码,选一个好记的,比如123456

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
openssl pkcs12 -export -clcerts -in client2.crt -inkey client2.key -out client2.p12

重复使用上面的命令,得到两套客户端证书:

  • client.key / client2.key:客户端的私钥文件
  • client.crt / client2.key:有效期十年的客户端证书

使用根证书和客户端私钥一起生成 client.p12/client2.p12,这个证书文件包含客户端的公钥和私钥,主要用来给浏览器访问

参考资料:

https://help.aliyun.com/zh/api-gateway/user-guide/mutual-tls-authentication

zeloas
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
iOS实用教程之Https双向认证详解
08-30
iOS实用教程之Https双向认证详解 本篇文章主要介绍了iOS中Https双向认证的相关知识点,它对大家具有非常重要的参考学习价值。 什么是Https双向认证 Https双向认证是一种安全认证机制,它可以确保客户端与服务端...
https 单向认证双向认证
茅坤宝骏氹的博客
06-10 2941
转载自   https 单向认证双向认证 一、Http HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。 使用TCP端口为:80 二、Https Hyper Text Transfer Protocol ov...
https 双向认证开发实践
森林里的一天
11-30 1万+
https双向认证 证书如何使用 概念介绍 1.https协议介绍 与http协议的区别 https协议简单来说就是http协议的基础上增加了SSL协议 ,从而来保证数据传输的安全性。 SSL协议: SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输
HTTPS双向认证流程详解与联想
最新发布
2401_84466316的博客
05-29 1323
理解HTTPS协议的认证流程,可以增加对安全的理解,HTTPS认证的过程,核心思想与Kerberos协议的认证也是互通的,是具有相似性的。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取。
当Retrofit遇上HTTPS--关于HTTPS的那些事
smily的博客
02-12 7778
* 本篇文章已授权微信公众号 guolin_blog (郭霖)独家发布 由于前不久苹果公司已经强制IOS应用必须使用HTTPS协议开发,虽然Google没有强制开发者使用HTTPS,但相信不久的将来Android也会跟随IOS全面转向HTTPS。因此,HTTPS的学习也是相当重要。本篇文章涉及到的代码不多,主要内容是对HTTPS协议的讲解,最后将结合Retrofit实现HTTPS的单双向认证。 .........
证书类型、自签CA证书、https双向认证(一篇就懂系列)
MX__LL的博客
06-16 7166
证书类型、自签CA证书、https双向认证(一篇就懂系列)
彻底弄懂 https 原理本质(四)数字证书
csdn_aiyang的博客
03-27 462
信息的传输过程中,如何保证内容不被篡改,即信息的完整性?结合前面学到的加密知识,我们可以用单向加密算法。比如,用 md5 加密算法,小明👦给小花👧发的内容用 md5 作一次加密运算,会生成一个唯一的字符串,我们把这个字符串起个名,叫做“摘要🍎”。小明👦会把单向加密算法 md5, 以及md5运算的结果摘要🍎,一块发给小花👧。小花收到内容后,用md5对内容进行加密算法,生成新的摘要。小花👧将新的摘要🍎和原先的摘要进行对比,如果相等,说明没有被人篡改过。如果不相等,说明内容被别人修改过了。
https双向认证
热门推荐
u014644574的博客
08-07 1万+
https双向认证
Https单向认证双向认证
青鸟飞鱼
05-24 899
客户端收到服务端返回的加密方案密文后,使用自己的私钥进行解密,获取具体加密方式,而后,产生该加密方式的随机码,用作加密过程中的密钥,使用之前从服务端证书中获取到的公钥进行加密后,发送给服务端。服务端收到客户端发送的消息后,使用自己的私钥进行解密,获取对称加密的密钥,在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全。客户端接收到服务端返回的加密方式后,使用该加密方式生成产生随机码,用作通信过程中对称加密的密钥,使用服务端返回的公钥进行加密,将加密后的随机码发送至服务器。
【网络】https单向认证双向认证
ALLEN'Blog
12-02 3183
1.单向认证还是有必要先说下单向认证,单向认证是我刚开始接触https的时候就了解到的。下面看一下执行流程图(图是网上找的)再用文字描述下:首先建立链接 -> 验证服务端身份 -> 用服务端公钥加密得到后期通信用的密钥 -> 服务端用私钥解密,拿到密钥 - -> 双方使用密钥通信在上面这个过程中,我们可以看到仅仅是验证了服务端的身份,如果有人冒充了客户端,那该怎么办,就是下面要说的双向认证。2.https双向认证首先看图较于单向认证来说,双向认证多了验证客户端身份的这一环节。下面用文字再描述一下:首先建
https双向认证ukey管理软件
10-14
HTTPS双向认证UKey管理软件是用于确保网络安全和数据完整性的专业工具,特别是在金融、医疗、政府等对数据安全要求极高的行业中广泛应用。该软件的主要功能是管理UKey(USB Key),这是一种硬件设备,通常用于存储...
C语言https客户端双向认证
09-04
本文将深入探讨如何使用C语言实现一个支持双向认证HTTPS客户端。 首先,双向认证(Mutual Authentication)是网络安全的一种机制,它要求客户端和服务端都必须提供有效的身份证明才能进行通信。在HTTPS双向认证...
https双向认证 .doc
08-19
Java实现HTTPS双向认证详解 HTTPS双向认证是指客户端和服务端都需要拥有证书,并且双方都需要互换证书,客户端安装服务端证书,服务端安装客户端证书。这种情况下,并不是所有用户都可以访问服务端的。只有服务端...
Https双向认证+加密狗配置教程
01-06
Https双向认证+ET199加密狗配置usb硬件证书认证,如果有其他问题 下载过文档的同学肯定一帮到底!
TLS及CA证书申请流程
阿里云专家博主,51CTO专家博主、2022年博客之星Top96,嵌入式与物联网赛道Top2
12-04 2990
TLS及CA证书申请流程
SSL双向认证与单向认证
m0_51514815的博客
05-29 4996
参考:https://www.cnblogs.com/bluestorm/p/10571989.html整理双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书。
HTTPS证书管理与双向认证
云原生运维
09-10 605
单向认证,只有一方需要验证对方的身份。通常是客户端验证服务器的身份。这种情况下,客户端会检查服务器提供的数字证书是否有效,以确定服务器是否合法。服务器不会验证客户端的身份。这种情况下,客户端可以确认它正在与合法的服务器进行通信,但服务器不能确定其与合法客户端通信。单向认证通常用于一些对服务器身份验证要求较高,但对客户端身份验证要求相对较低的场景,如网站访问。客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。
https 双向认证
08-10
HTTPS双向认证是一种通过SSL/TLS协议进行通信的安全机制。在这种机制中,服务器和客户端都需要使用证书进行身份验证。 具体的双向认证流程如下: 1. 将服务器证书和客户端证书导入到浏览器中。服务器证书应该导入到受信任的根证书颁发机构,而客户端证书应该导入到个人证书存储区域。123 #### 引用[.reference_title] - *1* *2* [【HTTPS双向加密认证】](https://blog.csdn.net/weixin_33724046/article/details/86336789)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *3* [https 双向认证开发实践](https://blog.csdn.net/dtlscsl/article/details/50118225)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zeloas

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值