https單向驗證應用廣泛想必大家都很熟悉��,我已經在一篇博文中分享過,這次來看看Nginx如何實現雙向驗證��。
單向驗證與雙向驗證的區別:
單向驗證: 指客戶端驗證服務器端證書��,服務器并不需要驗證客戶端證書��。
雙向驗證:指客戶端驗證服務器端證書��,而服務器也需要通過CA的公鑰證書來驗證客戶端證書��。
詳細的握手過程:
單向驗證
瀏覽器發送一個連接請求給安全服務器��。
1��、服務器將自己的證書��,以及同證書相關的信息發送給客戶瀏覽器��。
2��、客戶瀏覽器檢查服務器送過來的證書是否是由自己信賴的CA中心所簽發的��。如果是��,就繼續執行協議��;如果不是��,客戶瀏覽器就給客戶一個警告消息:警告客戶這個證書不是可以信賴的詢問客戶是否需要繼續。
3��、接著客戶瀏覽器比較證書里的消息��,例如域名和公鑰��,與服務器剛剛發送的相關消息是否一致��,如果是一致的��,客戶瀏覽器認可這個服務器的合法身份��。
4��、瀏覽器隨機產生一個用于后面通訊的“通話密鑰”��,然后用服務器的公鑰對其加密��,然后將加密后的“預主密碼”傳給服務器��。
5��、服務器從客戶發送過來的密碼方案中��,選擇一種加密程度最高的密碼方案��,用服務器的私鑰加密后通知瀏覽器��。
6��、瀏覽器針對這個密碼方案��,接著用服務器的公鑰加過密后發送給服務器��。
7��、服務器接收到瀏覽器送過來的消息��,用自己的私鑰解密��,獲得��。
8��、服務器��、瀏覽器接下來的通訊都是用對稱密碼方案��,使用相同的對稱密鑰��。
雙向驗證
1��、瀏覽器發送一個連接請求給安全服務器。
2��、服務器將自己的證書��,以及同證書相關的信息發送給客戶瀏覽器��。
3��、客戶瀏覽器檢查服務器送過來的證書是否是由自己信賴的CA中心所簽發的��。如果是��,就繼續執行協議��;如果不是��,客戶瀏覽器就給客戶一個警告消息:警告客戶這個證書不是可以信賴的詢問客戶是否需要繼續��。
4��、接著客戶瀏覽器比較證書里的消息��,例如域名和公鑰��,與服務器剛剛發送的相關消息是否一致��,如果是一致的��,客戶瀏覽器認可這個服務器的合法身份��。
5��、服務器要求客戶的身份認證��,用戶可以建立一個隨機數然后對其進行數字簽名��,將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”一起傳給服務器��。
6��、服務器必須檢驗客戶證書和簽名隨機數的合法性��,具體的合法性驗證過程包括:客戶的證書使用日期是否有效��,為客戶提供證書的CA 是否可靠��,發行CA 的公鑰能否正確解開客戶證書的發行CA的數字簽名��,檢查客戶的證書是否在證書廢止列表(CRL)中��。檢驗如果沒有通過,通訊立刻中斷��;如果驗證通過��,服務器將用自己的私鑰解開加密的“預主密碼”��,然后執行一系列步驟來產生主通訊密碼(客戶端也將通過同樣的方法產生相同的主通訊密碼)��。
7��、客戶瀏覽器告訴服務器自己所能夠支持的通訊對稱密碼方案��。
8��、服務器從客戶發送過來的密碼方案中��,選擇一種加密程度最高的密碼方案��,用客戶的公鑰加過密后通知瀏覽器��。
9��、瀏覽器針對這個密碼方案��,選擇一個通話密鑰��,接著用服務器的公鑰加過密后發送給服務器。
10��、服務器接收到瀏覽器送過來的消息��,用自己的私鑰解密��,獲得通話密鑰��。
11��、服務器��、瀏覽器接下來的通訊都是用對稱密碼方案��,使用相同的對稱密鑰��。
一��、自建CA��,簽署證書
#openssl配置文件路徑vim/etc/pki/tls/openssl.cnf#下面只列出配置文件中和自建CA有關的幾個關鍵指令dir=/etc/pki/CA#CA的工作目錄database=$dir/index.txt#簽署證書的數據記錄文件new_certs_dir=$dir/newcerts#存放新簽署證書的目錄serial=$dir/serial#新證書簽署號記錄文件certificate=$dir/ca.crt#CA的證書路徑private_key=$dir/private/cakey.pem#CA的私鑰路徑
使用openssl制作CA的自簽名證書
#切換到CA的工作目錄cd/etc/pki/CA#制作CA私鑰(umask077;opensslgenrsa-outprivate/cakey.pem2048)#制作自簽名證書opensslreq-new-x509-keyprivate/cakey.pem-outca.crt#生成數據記錄文件��,生成簽署號記錄文件��,給文件一個初始號��。touchindex.txttouchserialecho'01'>serial#自建CA完成
準備服務器端證書
#制作服務器端私鑰(umask077;opensslgenrsa-outserver.key1024)#制作服務器端證書申請指定使用sha512算法簽名(默認使用sha1算法)opensslreq-new-keyserver.key-sha512-outserver.csr#簽署證書opensslca-inserver.csr-outserver.crt-days3650
準備客戶端證書
#制作客戶端私鑰(umask077;opensslgenrsa-outkehuduan.key1024)#制作客戶端證書申請opensslreq-new-keykehuduan.key-outkehuduan.csr#簽署證書opensslca-inkehuduan.csr-outkehuduan.crt-days3650
注意事項:
1��、制作證書時會提示輸入密碼��,設置密碼可選��,服務器證書和客戶端證書密碼可以不相同��。
2��、服務器證書和客戶端證書制作時提示輸入省份��、城市��、域名信息等��,需保持一致��。
3��、以下信息根證書需要和客戶端證書匹配��,否則可能出現簽署問題��。
countryName = match stateOrProvinceName = match organizationName = match organizationalUnitName = match
如何指定簽署證書的簽名算法
<strong>opensslreqxx-[digest]Digesttosignwith(seeopenssldgst-hforlist)</strong>
查看使用的簽名算法:
<strong>#使用-sha256指定算法opensslreq-new-keyserver.key-sha256-outserver.csr</strong>
二��、提供Nginx配置文件
<strong>server{listen443;server_namepro.server.com;ssion;ssi_silent_errorson;ssi_typestext/shtml;sslon;ssl_certificate/data/server/nginx/ssl/self/server.crt;ssl_certificate_key/data/server/nginx/ssl/self/server.key;ssl_client_certificate/data/server/nginx/ssl/self/ca/ca.crt;ssl_verify_clienton;ssl_protocolsTLSv1TLSv1.1TLSv1.2;ssl_ciphersECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:!ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:!RC4-SHA:HIGH:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!CBC:!EDH:!kEDH:!PSK:!SRP:!kECDH;ssl_prefer_server_ciphersOn;indexindex.htmlindex.htmindex.php;root/data/www;location~.*/.(php|php5)?${#fastcgi_passunix:/tmp/php-cgi.sock;fastcgi_pass127.0.0.1:9000;fastcgi_indexindex.php;includefastcgi.conf;}location~.*/.(gif|jpg|jpeg|png|bmp|swf)${expires30d;}location~.*/.(js|css)?${expires1h;}###thisistouseopenwebsitelianjielikeonapache##location/{if(!-e$request_filename){rewrite^(.*)$/index.php?s=$1last;break;}keepalive_timeout0;}location~/.svn/{denyall;}###end##include/data/server/nginx/conf/rewrite/test.conf;access_log/log/nginx/access/access.log;}</strong> 客戶端證書格式轉換
<strong>#將文本格式的證書轉換成可以導入瀏覽器的證書opensslpkcs12-export-clcerts-inclient.crt-inkeyclient.key-outclient.p12</strong>
三、將證書導入瀏覽器��,這里以Chrome為例
1��、在瀏覽器窗口右上角找到設置
2��、在設置窗口中找到高級設置
3��、找到管理證書
4��、點擊導入證書��,然后選擇證書路徑就可以了
5��、在導入證書之后就可以正常訪問到服務器數據了
6��、如果沒有成功導入客戶端證書就訪問服務器的話��,那么服務器驗證客戶端證書這步就會失敗��,然后返回如下錯誤
由于用的是自簽證書不被公有CA信任��,所以https那里會有紅叉。
以上所述是小編給大家介紹的使用Nginx實現HTTPS雙向驗證的方法��,希望對大家有所幫助,如果大家有任何疑問請給我留言��,小編會及時回復大家的��。在此也非常感謝大家對VEVB武林網網站的支持��!
