技术背景
HTTP双向认证过程中,每个用户都需要有自己惟一的证书,通过CA的级联证书模式,使所有的证书都对应同一个根证书。这样需要自己生成一套CA根级证书,再借助其生成二级证书作为client证书。此时client私钥签名不仅可以通过对应的client公钥验证,还可通过根证书的公钥进行验证。
单向验证与双向验证的区别
单向验证: 指客户端验证服务器端证书,服务器并不需要验证客户端证书。
双向验证:指客户端验证服务器端证书,而服务器也需要通过CA的公钥证书来验证客户端证书。
详细的握手过程
单向验证
1、浏览器发送一个连接请求给安全服务器。
2、服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。
3、客户浏览器检查服务器送过来的证书是否是由自己信赖的CA中心所签发的。如果是,就继续执行协议;如果不是,客户浏览器就给客户一个警告消息:警告客户这个证书不是可以信赖的询问客户是否需要继续。
4、接着客户浏览器比较证书里的消息,例如域名和公钥,与服务器刚刚发送的相关消息是否一致,如果是一致的,客户浏览器认可这个服务器的合法身份。
5、浏览器随机产生一个用于后面通讯的“通话密钥”,然后用服务器的公钥对其加密,然后将加密后的“预主密码”传给服务器。
6、服务器从客户发送过来的密码方案中,选择一种加密程度最高的密码方案,用服务器的私钥加密后通知浏览器。
7、浏览器针对这个密码方案,接着用服务器的公钥加过密后发送给服务器。
8、服务器接收到浏览器送过来的消息,用自己的私钥解密,获得。
9、服务器、浏览器接下来的通讯都是用对称密码方案,使用相同的对称密钥。
双向验证
1、浏览器发送一个连接请求给安全服务器。
2、服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。
3、客户浏览器检查服务器送过来的证书是否是由自己信赖的CA中心所签发的。如果是,就继续执行协议;如果不是,客户浏览器就给客户一个警告消息:警告客户这个证书不是可以信赖的询问客户是否需要继续。
4、接着客户浏览器比较证书里的消息,例如域名和公钥,与服务器刚刚发送的相关消息是否一致,如果是一致的,客户浏览器认可这个服务器的合法身份。
5、服务器要求客户的身份认证,用户可以建立一个随机数然后对其进行数字签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。
6、服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的CA 是否可靠,发行CA 的公钥能否正确解开客户证书的发行CA的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。
7、客户浏览器告诉服务器自己所能够支持的通讯对称密码方案。
8、服务器从客户发送过来的密码方案中,选择一种加密程度最高的密码方案,用客户的公钥加过密后通知浏览器。
9、浏览器针对这个密码方案,选择一个通话密钥,接着用服务器的公钥加过密后发送给服务器。
10、服务器接收到浏览器送过来的消息,用自己的私钥解密,获得通话密钥。
11、服务器、浏览器接下来的通讯都是用对称密码方案,使用相同的对称密钥。
安装前准备
1、准备安装包
获取PCRE(Perl Compatible Regular Expressions是一个Perl库,包括 perl 兼容的正则表达式库)、 OPENSSL(是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用)、 ZLIB(提供数据压缩用的函式库)的安装包。在本例中版本分别为pcre-8.36、openssl-1.0.2a、 zlib-1.2.8、 nginx-1.9.0。在安装NGINX软件之前需要依次安装以上软件,如果操作系统中包括上述软件,则不需要安装。
2、安装PCER
unzip "$CURRENT_PATH/$PCRE.zip" -d "$CURRENT_PATH" cd "$CURRENT_PATH/$PCRE" ./configure make make install
3、安装OPENSSL
tar -xvf "$CURRENT_PATH/$OPENSSL.tar.gz" -C "$CURRENT_PATH" cd "$CURRENT_PATH/$OPENSSL" ./config shared --prefix=/usr/local --openssldir=/usr/local/ssl make make install
注:OPENSSL的安装目录为/usr/local,OPENSSL的配制文件为/usr/local/ssl/目录下openssl.cnf。后续在CA部分需要使用到。
4、安装ZLIB
tar -xvf "$CURRENT_PATH/$ZLIB.tar.gz" -C "$CURRENT_PATH" cd "$CURRENT_PATH/$ZLIB" ./configure make make install
5、安装nginx(以上软件安装成功以后)
tar -xvf "$CURRENT_PATH/$NGINX.tar.gz" -C "$CURRENT_PATH" cd "$CURRENT_PATH/$NGINX" ./configure --prefix=$NGINX_PATH --with-http_ssl_module make make install
注:在NGINX安装中,必须要加上--with-http_ssl_module,否则无法配制HTTPS认证。
OPENSSL目录配置准备
1、配制OPENSSL需要的目录和文件
mkdir /etc/pki/ca_inorsight cd /etc/pki/ca_inorsight mkdir root server client newcerts echo 01 > serial echo 01 > crlnumber touch index.txt
2、修改openssl配置
vi /usr/local/ssl/openssl.cnf
修改里面的如下参数:
dir = /etc/pki/ca_inorsight certificate = $dir/root/ca.crt private_key = $dir/root/ca.key
创建CA根级证书
1、生成key:
openssl genrsa -out /etc/pki/ca_inorsight/root/ca.key
2、生成csr:
openssl req -new -key /etc/pki/ca_inorsight/root/ca.key -out /etc/pki/ca_inorsight/root/ca.csr
3、生成crt:
openssl x509 -req -days 3650 -in /etc/pki/ca_inorsight/root/ca.csr -signkey /etc/pki/ca_inorsight/root/ca.key -out /etc/pki/ca_inorsight/root/ca.crt
4、生成crl:
openssl ca -gencrl -out /etc/pki/ca_inorsight/root/ca.crl -crldays 7
生成的根级证书文件都在/etc/pki/ca_inorsight/root/目录下。
注:创建证书时,证书密码设置长度>=6位,因为java的keytool工具貌似对它有要求。
创建SERVER证书
1、生成key:
openssl genrsa -out /etc/pki/ca_inorsight/server/server.key
2、生成csr:
openssl req -new -key /etc/pki/ca_inorsight/server/server.key -out /etc/pki/ca_inorsight/server/server.csr
3、生成crt:
openssl ca -in /etc/pki/ca_inorsight/server/server.csr -cert /etc/pki/ca_inorsight/root/ca.crt -keyfile /etc/pki/ca_inorsight/root/ca.key -out /etc/pki/ca_inorsight/server/server.crt -days 3650
说明:
1、这里生成的crt是刚才ca根级证书下的级联证书,其实server证书主要用于配置正常单向的https,所以不使用级联模式也可以:
openssl rsa -in /etc/pki/ca_inorsight/server/server.key -out /etc/pki/ca_inorsight/server/server.key openssl x509 -req -in /etc/pki/ca_inorsight/server/server.csr -signkey /etc/pki/ca_inorsight/server/server.key -out /etc/pki/ca_inorsight/server/server.crt -days 3650
2、-days 参数可根据需要设置证书的有效期,例如默认365天。
创建CLIENT证书
1、生成key:
openssl genrsa -des3 -out /etc/pki/ca_inorsight/client/client.key 1024
2、生成csr:
openssl req -new -key /etc/pki/ca_inorsight/client/client.key -out /etc/pki/ca_inorsight/client/client.csr
3、生成crt:
openssl ca -in /etc/pki/ca_inorsight/client/client.csr -cert /etc/pki/ca_inorsight/root/ca.crt -keyfile /etc/pki/ca_inorsight/root/ca.key -out /etc/pki/ca_inorsight/client/client.crt -days 3650
说明:
1、这里就必须使用级联证书,并且可以重复该步骤,创建多套client证书。
2、生成crt时可能会遇到如下报错:
openssl TXT_DB error number 2 failed to update database
可参照这里进行操作,即将index.txt.attr中unique_subject = no,在实际应用场景中,证书subject应该有所不同。生产环境上不建议修改此值。
配置NGINX
1、在nginx.conf配置,在此指列出需要配置的server段部分代码:
ssl_certificate /etc/pki/ca_inorsight/server/server.crt;#server公钥 ssl_certificate_key /etc/pki/ca_inorsight/server/server.key;#server私钥 ssl_client_certificate /etc/pki/ca_inorsight/root/ca.crt;#根级证书公钥,用于验证各个二级client ssl_verify_client on;
2、重启nginx生效
nginx.conf代码片段
upstream connrub { sticky name=route; server 172.31.122.187:8081; #后端应用的IP,支持http和https端口,可配置多个 server 172.31.124.142:8082; #后端应用的IP,端口 check interval=3000 rise=2 fall=5 timeout=1000 type=http; check_http_send "GET / HTTP/1.0\r\n\r\n"; #返回节点状态的API,200为OK "GET or HEAD" "/ API路径" "1.0 HTTP协议" check_http_expect_alive http_2xx http_3xx http_4xx; } #http配置 server { listen 8080; #http访问端口 server_name localhost; location / { proxy_pass http://connrub; } location /nstatus { check_status; access_log off; allow 122.168.21.131; #允许进行后端服务器状态检查的ip allow all; #允许任意ip检查后端服务器状态。不建议配置 deny all; } } #https配置可选 #https配置 server { listen 8081 ssl; #8081为https端口 server_name localhost; #localhost修改为节点IP ssl_certificate ./ssl/nginx.pem; ssl_certificate_key ./ssl/nginx.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; ssl_client_certificate ./ssl/rootca.der; #双向认证时开启 ssl_verify_client on; #双向认证时开启 ssl_verify_depth 2; #双向认证时开启 location / { proxy_pass https://connrub; #后端应用开启https,如果后端服务器没有开启https,则为http://connrub } location /nstatus { check_status; access_log off; #allow 192.168.2.11; #允许进行后端服务器状态检查的ip #allow all; #允许任意ip检查后端服务器状态。不建议配置 deny all; } }