ca 證書驗證流程(CA雙向認證完整實現步驟)
2023-05-08 18:50:33 1
ca 證書驗證流程?一、基礎概念註:以下概念除專業名詞外,均為個人理解,不具備權威性,下面我們就來聊聊關於ca 證書驗證流程?接下來我們就一起去了解一下吧!
ca 證書驗證流程
一、基礎概念
註:以下概念除專業名詞外,均為個人理解,不具備權威性。
1、什麼是系統安全管理
置於公網的系統,通常都需要一定的安全管理,據我個人理解,這裡的安全管理主要分三個方面:
一是應用內的權限控制,比如具體應用的用戶名、密碼等;
二是應用數據傳輸過程中的安全機制,例如各種報文的加解密方案;
三是數據傳輸前的通訊安全機制,保證通訊雙方都是可靠可信任的,PKI就是其中一個解決方案。
2、什麼是PKI
PKI是 Public Key Infrastructure的簡稱,意思是公鑰基礎設施。
公鑰基礎設施是提供公鑰加密和數字籤名服務的系統或平臺,目的是為了管理密鑰和證書。通過證書和秘鑰來確認通訊雙方是否可信任。
3、什麼是CA
CA是Certificate Authority的簡稱,即證書的籤發機構,它是PKI的核心。
正常情況來說,CA是具有權威性的機構,通過CA獲取證書需要給錢。
但是有的時候可能不想用CA機構的證書,又想要使用https站點,那麼可能就需要自己生成證書,但是這種證書瀏覽器是認為不安全的,本文檔後邊的具體步驟即針對這種場景。
4、什麼是https
https是http ssl,通俗點說,就是採用http通訊的安全傳輸協議,用來保證http傳輸過程中數據的機密性、完整性和可靠性,ssl需要證書。
5、單向認證
網絡通訊是雙向的,但是安全認證不一定都是雙向。大多數情況下可能都是單向的,只需要客戶端確認服務端是可靠的,而服務端不管客戶端是否可靠。即客戶端,比如瀏覽器會驗證服務端證書,服務端不需要客戶端證書。
6、雙向認證
雙向認證相對於單向認證,即客戶端需要確認服務端是否可信,服務端也需要確認客戶端是否可信。雙方都要驗證對方的證書。
二、實現步驟
1、環境
本次技術調研過程全程都在自己的電腦上,採用物理機加虛擬機的方式:
物理機:win8 ie
虛擬機:redhat6.4 nginx tomcat openssl
2、nginx安裝
2.1、安裝包準備
nginx安裝需要依賴其他的一些組件,網上說有以下三個必要依賴:
openssl
pcre
zlib
但實際安裝過程發現只有openssl是必要的,其他兩個可以排除,因此實際安裝時下載了兩個安裝包:
nginx-1.12.2.tar.gz
openssl-1.0.0a.tar.gz
2.2、安裝openssl
2.2.1、解壓
tar -zxvf openssl-1.0.0a.tar.gz
2.2.2、配置
進入解壓後目錄
./configure
2.2.3、編譯
make
2.2.4、安裝
make install
2.3、安裝nginx
2.3.1、解壓
tar -zxvf nginx-1.12.2.tar.gz
2.3.2、配置
進入解壓後的文件夾配置,這裡需要注意的是,使用參數排除了pcre和zlib,同時指定了openssl的安裝目錄,並指定安裝ssl模塊
./configure --without-http_rewrite_module --without-http_gzip_module --with-http_ssl_module --with-openssl=/home/tuzongxun/openssl/openssl-1.0.0a
2.3.3、編譯
make
2.3.4、安裝
make install
安裝後會看到/usr/local目錄中多了一個nginx目錄,即nginx的安裝目錄
3、證書生成
3.1、生成根證書
mkdir ssl 創建證書存放的目錄
cd ssl 進入證書存放目錄
openssl genrsa -out ca.key 2048 生成根證書私鑰
製作根證書
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
3.2、生成服務端證書
先生成服務端私鑰
openssl genrsa -out server.pem 1024
openssl rsa -in server.pem -out server.key
生成籤發請求,注意這裡的common name必須是需要訪問的域名,其他的內容可以和根證書填寫的一樣
根據籤發請求和服務端私鑰生成服務端證書
openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt
4、單向認證
CA單向認證,只需要驗證服務端是否可信即可,因此也就只需要上邊的步驟生成了根證書和服務端證書即可,然後就可以配置nginx了。
4.1、nginx配置
進入nginx的安裝目錄找到nginx.conf文件更改配置
主要是更改server裡的內容,更改後如下:
主要更改如下:
默認的 listen 80為 listen 443 ssl;
server_name指向之前生成服務端證書時指向的域名blog.tzx.com;
使用 ssl on開啟ssl安全認證功能;
ssl_certificate指定服務端證書的地址,如/usr/local/nginx/ssl/server.crt;
ssl_certificate_key指定服務端私鑰地址,如/usr/local/nginx/ssl/server.key;
ssl_session_timeout設置ssl session超時時間5m;
更改默認的跟訪問路徑/的路由為實際需要訪問的資源,例如這裡指向了tomcat默認埠(啟動了tomcat才能訪問,或者其他具有8080埠的可訪問資源)。
原本根目錄配置如下,現在注釋掉:
# location / {
# root html;
# index index.html index.htm;
# }
修改之後配置如下:
location / {
proxy_pass http://172.23.130.205:8080/;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;
proxy_set_header HTTP_X_FORWARDED_FOR $remote_addr;
}
4.2、啟動nginx
在nginx的sbin目錄中啟動nginx
4.3、修改客戶端hosts文件,進行域名映射
由於上邊的blog.tzx.com為自己虛擬的一個域名,所以電腦是不認識的,需要在客戶端進行映射。
例如我這裡要在自己的windows的ie瀏覽器中訪問https://blog.tzx.com,就需要修改windows的hosts文件,C:\Windows\System32\drivers\etc\hosts,在文件中添加如下一行:
172.23.130.205 blog.tzx.com
這裡blog.tzx.com為虛擬域名,前邊的ip是nginx所在linux虛擬機的ip,意思是在這個windows機器中訪問blog.tzx.com時,實際要訪問172.23.130.205機器。
4.4、客戶端安裝根證書
上邊啟動nginx,並配置hosts之後,ie瀏覽器中就可以訪問https://blog.tzx.com了,但是會提示不安全的站點,點擊之後才能繼續訪問:
點擊繼續訪問之後如下:
成功打開tomcat默認訪問頁面,但是url欄會提示證書錯誤,這是因為客戶端根本無法判斷服務端證書的正確性,沒有依據,所以需要在瀏覽器安裝根證書。
以ie為例,步驟依次是:
設置——》internet 選項——》內容——》證書
點擊證書之後選擇「受信任的根證書頒發機構」——》」導入」——》「下一步」——》「瀏覽」,然後選擇根證書進行安裝,這裡的根證書即在linux中生成的ca.crt,需要先從linux中下載過來。
安裝完成之後看到我們自己的CA機構信息:
清楚ie緩存,重新啟動ie之後,再訪問https://blog.tzx.com會看到可以直接訪問了,並且沒有了證書錯誤的提示,單向認證完畢:
5、雙向認證
單向認證是客戶端根據ca根證書驗證服務端提供的服務端證書和私鑰;雙向認證還要服務端根據ca根證書驗證客戶端證書和私鑰,因此雙向認證之前還需要生成客戶端證書和私鑰。
5.1、生成客戶端證書
客戶端證書生成步驟和服務端基本一樣,需要注意的就是在生成籤發請求的時候填寫的信息中,comm name也要是訪問的域名,其他信息最好是和服務端的不一樣。
客戶端證書比服務端稍微多一步的就是,需要對客戶端證書和私鑰進行打包處理,這裡方便安裝以後後續訪問時候攜帶,一般都是使用pkcs12進行打包:
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
打包時需要輸入證書密碼
5.2、nginx配置
雙向認證,需要在nginx中開啟服務端對客戶端的認證,需要在server裡加入如下的配置:
ssl_client_certificate /usr/local/nginx/ssl/ca.crt;
指定客戶端認證時使用的根證書路徑,用來驗證客戶端證書的正確性,作用應該等同上邊瀏覽器安裝的根證書;
ssl_verify_client on;開啟客戶端認證。
重啟nginx,目前我的nginx沒有安裝成服務,因此是先kill進程,再啟動。
5.3、客戶端認證
上邊的步驟之後,再次到ie中訪問https://blog.tzx.com無法訪問,結果如下:
原因就是nginx已經開啟了客戶端CA認證,但是這一次的訪問沒有攜帶客戶端證書等信息。
解決辦法就是在ie中安裝之前打包的pkcs12個人證書和秘鑰,之後訪問的時候可以選擇攜帶這個證書及秘鑰,就可以認證通過。
安裝類似之前的ca根證書安裝:
設置——》internet 選項——》內容——》證書,然後選擇個人中的導入,輸入密碼後進行安裝:
證書安裝完成後,再次清楚ie緩存,然後重啟瀏覽器訪問,會看到如下彈窗:
點擊確定後,瀏覽器就會發送這個證書給nginx服務端,然後正常顯示tomcat界面:
至此,整個CA雙向認證過程實現完畢。
5.4、java客戶端認證
以java程序作為客戶端,原理是一樣的,也需要客戶端請求時攜帶客戶端證書和秘鑰,並且客戶端需要保存根證書,用來驗證服務端證書的可靠性,所以首先需要安裝根證書。
5.4.1、根證書安裝
根證書可以使用jdk的keytool工具安裝,方式有很多種,這裡只選用庫文件的模式。
首先,把根證書ca.crt複製一份,重命名為ca.cer,然後把這個文件複製到jdk的jre\lib\security目錄下,在這個目錄中進行根證書的安裝:
keytool -keystore test.truststore -keypass 131112 -storepass 131112 -alias DemoCA -import -trustcacerts -file ca.cer
其中,test.truststore可以自定義名稱,密碼自定義,DemoCA別名自定義,ca.cer即剛才複製過來的文件,最後需要輸入一個y確認信任。
如上圖,便代表安裝成功,這個證書就會被jdk信任。(理論上說,也可使用代碼調用keytool安裝證書)
5.4.2、java客戶端代碼
以下代碼來自網絡:https://www.cnblogs.com/dreamingodd/p/7491098.html
@Service
public class SSLService {
// 客戶端證書路徑,用了本地絕對路徑,需要修改
private final static String CLIENT_CERT_FILE = "C:\\Users\\tzx\\Desktop\\client.p12";
// 客戶端證書密碼
private final static String CLIENT_PWD = "131112";
// 信任庫路徑,即keytool生成的那個自定義名稱的庫文件
private final static String TRUST_STRORE_FILE = "D:\\Java\\jdk1.8.0_131\\jre\\lib\\security\\test.truststore";
// 信任庫密碼,即keytool時的密碼
private final static String TRUST_STORE_PWD = "131112";
private static String readResponseBody(InputStream inputStream) throws IOException {
try {
BufferedReader br = new BufferedReader(new inputStreamReader(inputStream, Charset.forName("UTF-8")));
StringBuffer sb = new StringBuffer;
String buff = null;
while ((buff = br.readLine) != null) {
sb.append(buff "\n");
}
return sb.toString;
} finally {
inputStream.close;
}
}
public static void httpsCall throws Exception {
// 初始化密鑰庫
KeyManagerFactory keyManagerFactory = KeyManagerFactory
.getInstance("SunX509");
KeyStore keyStore = getKeyStore(CLIENT_CERT_FILE, CLIENT_PWD, "PKCS12");
keyManagerFactory.init(keyStore, CLIENT_PWD.toCharArray);
// 初始化信任庫
TrustManagerFactory trustManagerFactory = TrustManagerFactory
.getInstance("SunX509");
KeyStore trustkeyStore = getKeyStore(TRUST_STRORE_FILE, TRUST_STORE_PWD, "JKS");
trustManagerFactory.init(trustkeyStore);
// 初始化SSL上下文
SSLContext ctx = SSLContext.getInstance("SSL");
ctx.init(keyManagerFactory.getKeyManagers, trustManagerFactory
.getTrustManagers, null);
SSLSocketFactory sf = ctx.getSocketFactory;
HttpsURLConnection.setDefaultSSLSocketFactory(sf);
String url = "https://blog.tzx.com";
URL urlObj = new URL(url);
HttpsURLConnection con = (HttpsURLConnection) urlObj.openConnection;
con.setRequestProperty("User-Agent", "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 "
"(KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36");
con.setRequestProperty("Accept-Language", "zh-CN;en-US,en;q=0.5");
con.setRequestMethod("GET");
String res = readResponseBody(con.getInputStream);
System.out.println(res);
}
/**
* 獲得KeyStore
*/
private static KeyStore getKeyStore(String keyStorePath, String password, String type)
throws Exception {
FileInputStream is = new FileInputStream(keyStorePath);
KeyStore ks = KeyStore.getInstance(type);
ks.load(is, password.toCharArray);
is.close;
return ks;
}
public static void main(String[] args) throws Exception {
httpsCall(null);
}
}
運行上邊的main方法,即可看到列印出字符串歌手的tomcat首頁的html代碼。
,