ca 證書驗證流程（CA雙向認證完整實現步驟）

2023-05-08 18:50:33 1

ca 證書驗證流程?一、基礎概念註：以下概念除專業名詞外，均為個人理解，不具備權威性，下面我們就來聊聊關於ca 證書驗證流程?接下來我們就一起去了解一下吧!

ca 證書驗證流程

一、基礎概念

註：以下概念除專業名詞外，均為個人理解，不具備權威性。

1、什麼是系統安全管理

置於公網的系統，通常都需要一定的安全管理，據我個人理解，這裡的安全管理主要分三個方面：

一是應用內的權限控制，比如具體應用的用戶名、密碼等；

二是應用數據傳輸過程中的安全機制，例如各種報文的加解密方案；

三是數據傳輸前的通訊安全機制，保證通訊雙方都是可靠可信任的，PKI就是其中一個解決方案。

2、什麼是PKI

PKI是 Public Key Infrastructure的簡稱，意思是公鑰基礎設施。

公鑰基礎設施是提供公鑰加密和數字籤名服務的系統或平臺，目的是為了管理密鑰和證書。通過證書和秘鑰來確認通訊雙方是否可信任。

3、什麼是CA

CA是Certificate Authority的簡稱，即證書的籤發機構，它是PKI的核心。

正常情況來說，CA是具有權威性的機構，通過CA獲取證書需要給錢。

但是有的時候可能不想用CA機構的證書，又想要使用https站點，那麼可能就需要自己生成證書，但是這種證書瀏覽器是認為不安全的，本文檔後邊的具體步驟即針對這種場景。

4、什麼是https

https是http ssl，通俗點說，就是採用http通訊的安全傳輸協議，用來保證http傳輸過程中數據的機密性、完整性和可靠性，ssl需要證書。

5、單向認證

網絡通訊是雙向的，但是安全認證不一定都是雙向。大多數情況下可能都是單向的，只需要客戶端確認服務端是可靠的，而服務端不管客戶端是否可靠。即客戶端，比如瀏覽器會驗證服務端證書，服務端不需要客戶端證書。

6、雙向認證

雙向認證相對於單向認證，即客戶端需要確認服務端是否可信，服務端也需要確認客戶端是否可信。雙方都要驗證對方的證書。

二、實現步驟

1、環境

本次技術調研過程全程都在自己的電腦上，採用物理機加虛擬機的方式：

物理機：win8 ie

虛擬機：redhat6.4 nginx tomcat openssl

2、nginx安裝

2.1、安裝包準備

nginx安裝需要依賴其他的一些組件，網上說有以下三個必要依賴：

openssl

pcre

zlib

但實際安裝過程發現只有openssl是必要的，其他兩個可以排除，因此實際安裝時下載了兩個安裝包：

nginx-1.12.2.tar.gz

openssl-1.0.0a.tar.gz

2.2、安裝openssl

2.2.1、解壓

tar -zxvf openssl-1.0.0a.tar.gz

2.2.2、配置

進入解壓後目錄

./configure

2.2.3、編譯

make

2.2.4、安裝

make install

2.3、安裝nginx

2.3.1、解壓

tar -zxvf nginx-1.12.2.tar.gz

2.3.2、配置

進入解壓後的文件夾配置，這裡需要注意的是，使用參數排除了pcre和zlib，同時指定了openssl的安裝目錄，並指定安裝ssl模塊

./configure --without-http_rewrite_module --without-http_gzip_module --with-http_ssl_module --with-openssl=/home/tuzongxun/openssl/openssl-1.0.0a

2.3.3、編譯

make

2.3.4、安裝

make install

安裝後會看到/usr/local目錄中多了一個nginx目錄，即nginx的安裝目錄

3、證書生成

3.1、生成根證書

mkdir ssl 創建證書存放的目錄

cd ssl 進入證書存放目錄

openssl genrsa -out ca.key 2048 生成根證書私鑰

製作根證書

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

3.2、生成服務端證書

先生成服務端私鑰

openssl genrsa -out server.pem 1024

openssl rsa -in server.pem -out server.key

生成籤發請求，注意這裡的common name必須是需要訪問的域名，其他的內容可以和根證書填寫的一樣

根據籤發請求和服務端私鑰生成服務端證書

openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt

4、單向認證

CA單向認證，只需要驗證服務端是否可信即可，因此也就只需要上邊的步驟生成了根證書和服務端證書即可，然後就可以配置nginx了。

4.1、nginx配置

進入nginx的安裝目錄找到nginx.conf文件更改配置

主要是更改server裡的內容，更改後如下：

主要更改如下：

默認的 listen 80為 listen 443 ssl；

server_name指向之前生成服務端證書時指向的域名blog.tzx.com；

使用 ssl on開啟ssl安全認證功能；

ssl_certificate指定服務端證書的地址，如/usr/local/nginx/ssl/server.crt;

ssl_certificate_key指定服務端私鑰地址，如/usr/local/nginx/ssl/server.key;

ssl_session_timeout設置ssl session超時時間5m;

更改默認的跟訪問路徑/的路由為實際需要訪問的資源，例如這裡指向了tomcat默認埠（啟動了tomcat才能訪問，或者其他具有8080埠的可訪問資源）。

原本根目錄配置如下，現在注釋掉：

# location / {

# root html;

# index index.html index.htm;

# }

修改之後配置如下：

location / {

proxy_pass http://172.23.130.205:8080/;

proxy_set_header Host $http_host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;

proxy_set_header HTTP_X_FORWARDED_FOR $remote_addr;

}

4.2、啟動nginx

在nginx的sbin目錄中啟動nginx

4.3、修改客戶端hosts文件，進行域名映射

由於上邊的blog.tzx.com為自己虛擬的一個域名，所以電腦是不認識的，需要在客戶端進行映射。

例如我這裡要在自己的windows的ie瀏覽器中訪問https://blog.tzx.com，就需要修改windows的hosts文件，C:\Windows\System32\drivers\etc\hosts，在文件中添加如下一行：

172.23.130.205 blog.tzx.com

這裡blog.tzx.com為虛擬域名，前邊的ip是nginx所在linux虛擬機的ip，意思是在這個windows機器中訪問blog.tzx.com時，實際要訪問172.23.130.205機器。

4.4、客戶端安裝根證書

上邊啟動nginx，並配置hosts之後，ie瀏覽器中就可以訪問https://blog.tzx.com了，但是會提示不安全的站點，點擊之後才能繼續訪問：

點擊繼續訪問之後如下：

成功打開tomcat默認訪問頁面，但是url欄會提示證書錯誤，這是因為客戶端根本無法判斷服務端證書的正確性，沒有依據，所以需要在瀏覽器安裝根證書。

以ie為例，步驟依次是：

設置——》internet 選項——》內容——》證書

點擊證書之後選擇「受信任的根證書頒發機構」——》」導入」——》「下一步」——》「瀏覽」，然後選擇根證書進行安裝，這裡的根證書即在linux中生成的ca.crt，需要先從linux中下載過來。

安裝完成之後看到我們自己的CA機構信息：

清楚ie緩存，重新啟動ie之後，再訪問https://blog.tzx.com會看到可以直接訪問了，並且沒有了證書錯誤的提示，單向認證完畢：

5、雙向認證

單向認證是客戶端根據ca根證書驗證服務端提供的服務端證書和私鑰；雙向認證還要服務端根據ca根證書驗證客戶端證書和私鑰，因此雙向認證之前還需要生成客戶端證書和私鑰。

5.1、生成客戶端證書

客戶端證書生成步驟和服務端基本一樣，需要注意的就是在生成籤發請求的時候填寫的信息中，comm name也要是訪問的域名，其他信息最好是和服務端的不一樣。

客戶端證書比服務端稍微多一步的就是，需要對客戶端證書和私鑰進行打包處理，這裡方便安裝以後後續訪問時候攜帶，一般都是使用pkcs12進行打包：

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

打包時需要輸入證書密碼

5.2、nginx配置

雙向認證，需要在nginx中開啟服務端對客戶端的認證，需要在server裡加入如下的配置：

ssl_client_certificate /usr/local/nginx/ssl/ca.crt;

指定客戶端認證時使用的根證書路徑，用來驗證客戶端證書的正確性，作用應該等同上邊瀏覽器安裝的根證書；

ssl_verify_client on;開啟客戶端認證。

重啟nginx，目前我的nginx沒有安裝成服務，因此是先kill進程，再啟動。

5.3、客戶端認證

上邊的步驟之後，再次到ie中訪問https://blog.tzx.com無法訪問，結果如下：

原因就是nginx已經開啟了客戶端CA認證，但是這一次的訪問沒有攜帶客戶端證書等信息。

解決辦法就是在ie中安裝之前打包的pkcs12個人證書和秘鑰，之後訪問的時候可以選擇攜帶這個證書及秘鑰，就可以認證通過。

安裝類似之前的ca根證書安裝：

設置——》internet 選項——》內容——》證書，然後選擇個人中的導入，輸入密碼後進行安裝：

證書安裝完成後，再次清楚ie緩存，然後重啟瀏覽器訪問，會看到如下彈窗：

點擊確定後，瀏覽器就會發送這個證書給nginx服務端，然後正常顯示tomcat界面：

至此，整個CA雙向認證過程實現完畢。

5.4、java客戶端認證

以java程序作為客戶端，原理是一樣的，也需要客戶端請求時攜帶客戶端證書和秘鑰，並且客戶端需要保存根證書，用來驗證服務端證書的可靠性，所以首先需要安裝根證書。

5.4.1、根證書安裝

根證書可以使用jdk的keytool工具安裝，方式有很多種，這裡只選用庫文件的模式。

首先，把根證書ca.crt複製一份，重命名為ca.cer，然後把這個文件複製到jdk的jre\lib\security目錄下，在這個目錄中進行根證書的安裝：

keytool -keystore test.truststore -keypass 131112 -storepass 131112 -alias DemoCA -import -trustcacerts -file ca.cer

其中，test.truststore可以自定義名稱，密碼自定義，DemoCA別名自定義，ca.cer即剛才複製過來的文件，最後需要輸入一個y確認信任。

如上圖，便代表安裝成功，這個證書就會被jdk信任。（理論上說，也可使用代碼調用keytool安裝證書）

5.4.2、java客戶端代碼

以下代碼來自網絡：https://www.cnblogs.com/dreamingodd/p/7491098.html

@Service

public class SSLService {

// 客戶端證書路徑，用了本地絕對路徑，需要修改

private final static String CLIENT_CERT_FILE = "C:\\Users\\tzx\\Desktop\\client.p12";

// 客戶端證書密碼

private final static String CLIENT_PWD = "131112";

// 信任庫路徑，即keytool生成的那個自定義名稱的庫文件

private final static String TRUST_STRORE_FILE = "D:\\Java\\jdk1.8.0_131\\jre\\lib\\security\\test.truststore";

// 信任庫密碼，即keytool時的密碼

private final static String TRUST_STORE_PWD = "131112";

private static String readResponseBody(InputStream inputStream) throws IOException {

try {

BufferedReader br = new BufferedReader(new inputStreamReader(inputStream, Charset.forName("UTF-8")));

StringBuffer sb = new StringBuffer;

String buff = null;

while ((buff = br.readLine) != null) {

sb.append(buff "\n");

}

return sb.toString;

} finally {

inputStream.close;

}

}

public static void httpsCall throws Exception {

// 初始化密鑰庫

KeyManagerFactory keyManagerFactory = KeyManagerFactory

.getInstance("SunX509");

KeyStore keyStore = getKeyStore(CLIENT_CERT_FILE, CLIENT_PWD, "PKCS12");

keyManagerFactory.init(keyStore, CLIENT_PWD.toCharArray);

// 初始化信任庫

TrustManagerFactory trustManagerFactory = TrustManagerFactory

.getInstance("SunX509");

KeyStore trustkeyStore = getKeyStore(TRUST_STRORE_FILE, TRUST_STORE_PWD, "JKS");

trustManagerFactory.init(trustkeyStore);

// 初始化SSL上下文

SSLContext ctx = SSLContext.getInstance("SSL");

ctx.init(keyManagerFactory.getKeyManagers, trustManagerFactory

.getTrustManagers, null);

SSLSocketFactory sf = ctx.getSocketFactory;

HttpsURLConnection.setDefaultSSLSocketFactory(sf);

String url = "https://blog.tzx.com";

URL urlObj = new URL(url);

HttpsURLConnection con = (HttpsURLConnection) urlObj.openConnection;

con.setRequestProperty("User-Agent", "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 "

"(KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36");

con.setRequestProperty("Accept-Language", "zh-CN;en-US,en;q=0.5");

con.setRequestMethod("GET");

String res = readResponseBody(con.getInputStream);

System.out.println(res);

}

/**

* 獲得KeyStore

*/

private static KeyStore getKeyStore(String keyStorePath, String password, String type)

throws Exception {

FileInputStream is = new FileInputStream(keyStorePath);

KeyStore ks = KeyStore.getInstance(type);

ks.load(is, password.toCharArray);

is.close;

return ks;

}

public static void main(String[] args) throws Exception {

httpsCall(null);

}

}

運行上邊的main方法，即可看到列印出字符串歌手的tomcat首頁的html代碼。