1. 双向认证
双向认证顾名思义:即客户端要验证服务端的证书是否合法,服务端也要验证客户端的证书是否合法,相对于单项的https来说,通信过程中多了一步校验对方公钥是否合法的过程。
看图说明:
双向认证.png
Nginx 配置双向认证
server{
listen 19999 ssl ; # 开启
server_name test.ssl.com;
ssl_certificate /nginx/ssl/server.crt; # 服务端公钥信息
ssl_certificate_key /nginx/ssl/server.key; #服务端私钥信息
ssl_client_certificate /nginx/ssl/testServer.crt; # 客户端公钥信息
ssl_verify_client on ; #开启客户端证书校验
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on ;
error_log /nginx/logs/test.ssl.com_error.log;
access_log /nginx/logs/test.ssl.com_access.log;
location / {
......
}
2. 自签证书、颁发证书
什么是SSL证书,这里不赘述了,主要介绍一下再使用过程中自签证书和颁发证书的一些区别。
- 颁发的证书
颁发证书,是第三方机构颁发的,你也可以理解为 “官方” 颁发的,正常情况是需要购买的,当然阿里云也可以申请1年免费的;颁发的证书之所以更安全是因为存在证书链,证书链(certificate chain)可以有任意环节的长度:CA证书包括根CA证书、二级CA证书(中间证书)、三级证书.....(证书链越长,加载速度越慢,信任度越差),CA中心对该证书里面的信息的签名。我们在验证证书的有效性的时候,会逐级去寻找签发者的证书,直至根证书为结束,然后通过公钥一级一级验证数字签名的正确性。
如图:
image.png
或者你可以用浏览器访问一个HTTPS的网站也可以看到签名过程:
image.png
自签证书
- 自签证书是使用者自己手动生成的,如果你访问一个自签证书的HTTPS网站,虽然你能够访问的到,但是浏览器也会弹出不安全的告警。一般使用自签证书为了省事都只是生成公私钥信息,而不会根据证书链一级一级的签发,虽然也可以生成证书链。
- 自签证书生成证书链 原内容来自:http://t.zoukankan.com/jifeng-p-2053519.html
1.签发根CA
openssl genrsa -des3 -out myrootca.key 1024
openssl req -new -key myrootca.key -out myrootca.req
openssl x509 -req -days 7305 -extfile rootca.conf -signkey myrootca.key -in myrootca.req -out myrootca.crt
2.签发中级CA
openssl genrsa -out subca.key 1024
openssl req -new -key subca.key -out subca.req
openssl x509 -req -days 3650 -sha1 -extfile subca.conf -CA myrootca.crt -CAkey myrootca.key -CAserial myrootca.srl -CAcreateserial -in subca.req -out subca.crt
1.使用中级CA签发一个服务器证书
openssl x509 -req -days 3650 -sha1 -extfile server.conf -CA subca.crt -CAkey subca.key -CAserial subca.srl -CAcreateserial -in certreq.txt -out serverbysubca.crt
1.使用根CA签发一个服务器证书
openssl x509 -req -days 3650 -sha1 -extfile server.conf -CA myrootca.crt -CAkey myrootca.key -CAserial myrootca.srl -CAcreateserial -in myhost.req -out myhost.crt
rootca.conf:
basicConstraints = CA:true
keyUsage = keyCertSign, cRLSign
subca.conf
basicConstraints = CA:true,pathlen:0
keyUsage = keyCertSign, cRLSign
nsCertType = sslCA, emailCA, objCA
server.conf
basicConstraints = CA:false
keyUsage=digitalSignature,keyEncipherment,dataEncipherment, keyAgreement
nsCertType = server
extendedKeyUsage = serverAuth, msSGC, nsSGC
- 生成服务端公私钥信息:
#生成私钥信息
openssl genrsa -out server.key 2048
#生成公钥信息,
#依次会要求输入国家、省市、公司单位、域名、邮箱等信息。最关键的是域名信息Common Name,这里可以填泛域名来签发证书如。
openssl req -new -x509 -key server.key -out server.crt -days 36500
3. 反向代理校验代理端服务端公钥信息
这套环境的架构是:
image.png
- 在搭建这套环境时,因为不太了解证书验签过程,因为此配置使用自签证书和机构颁发证书时NGINX配置有所不同所以绕了不少的弯路
3.1 Nginx配置中自签证书主要问题:
-
使用自签证书时必须 在proxy_ssl_name参数中指定证书中的域名信息,因为自签证书无法被公网DNS所解析,所以NGINX代理时需要指定SNI信息(common name),否则在证书验签过handshaking失败。
proxy_ssl_name :允许覆盖用于验证代理HTTPS服务器的证书的服务器名称。建立与代理HTTPS服务器的连接时,也会通过SNI传递此值。
3.2 Nginx配置中机构颁发证书主要问题
使用机构颁发的证书至少要使用中级证书做校验(浏览器访问时可以可以看到证书级别),如果不行就要换成根证书,服务器级别的公钥证书不可以。
NGINX 中有一个参数需要指定证书验签层级 至少要为2 才可以。proxy_ssl_verify_depth 2Nginx配置中机构颁发证书主要问题
使用机构颁发的证书至少要使用中级证书做校验(浏览器访问时可以可以看到证书级别),如果不行就要换成根证书,服务器级别的公钥证书不可以。
NGINX 中有一个参数需要指定证书验签层级 至少要为2 才可以。proxy_ssl_verify_depth 2
3.3 如何拿到机构颁发的中级以上证书?
方法一:
使用浏览器访问,点击一个🔐标识—>连接是安全的—>证书有效,可以看到证书,至少选择中间的中级证书存放到本地。
注意这时你下载下来的是一个cer格式的证书,需要转换为PEM格式证书。
证书格式转换:
将DER文件(.crt .cer .der)转换为PEM
openssl x509 -inform der -in certificate.cer -out certificate.pem
方法二:
访问此网站(https://curl.se/docs/caextract.html)选择最新日期的证书进行下载,这里是从 Mozilla CA 证书存储同步到的PEM 格式的证书库(注意这里存放的都是根证书)。
方法三:
openssl s_client -showcerts -servername 访问域名 -connect 域名:端口 </dev/null |sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' >nginx/clientcrt/xxx.crt
3.4 如何获取自签证书的客户端公钥信息(非自签证书链):
openssl s_client -connect IP:端口 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' >./server.crt
3.5 使用机构颁发证书的配置:
upstream proxy{
#替换为实际ip地址和端口,如果有多个则配置多个server
server IP:port;
}
server {
listen 19997;
server_name www.test.com;
# 使用机构颁发的证书至少要使用中级证书做校验(浏览器访问时可以可以看到证书级别),服务器级别的公钥证书不可以,亲试。
proxy_ssl_trusted_certificate /nginx/ssl/mid.pem ; #代理的服务器的中间证书
proxy_ssl_verify on; #开启代理时校验后端服务器公钥证书
proxy_ssl_server_name on; #代理HTTPS服务器建立连接时,是否传递SNI信息。
proxy_ssl_verify_depth 2; #当配置机构颁发证书时需要配置添加此配置,否则因层级原因找不到证书,至少值要为2;
error_log /nginx/logs/www.test.com_error.log;
access_log /nginx/logs/www.test.com_access.log;
location /xiaoxi{
proxy_pass https://proxy/uri;
}
}
- 验证 :通过抓包信息可以看到,只开启 proxy_ssl_server_name on;不通过proxy_ssl_name 指定common name 发现已经被解析了:
抓包验证.png
3.6 使用自签证书配置的配置
upstream proxy{
#替换为实际ip地址和端口,如果有多个则配置多个server
server IP:port;
}
server {
listen 19996;
server_name www.self.com;
proxy_ssl_trusted_certificate /nginx/ssl/server.crt; #服务端公钥证书
proxy_ssl_name test.ssl.com; #手动代理地址的服务器域名(也就是nginx要访问的域名;传递SNI信息)
proxy_ssl_verify on;
error_log /nginx/logs/https_self.conf_error.log;
access_log /nginx/logs/https_self.conf_access.log;
#双向认证
proxy_ssl_certificate /nginx/ssl/testServer.crt;
proxy_ssl_certificate_key /nginx/ssl/testServer.key;
location /self{
proxy_pass https://proxy/uri;
}
}
4. 使用tcpdump 抓包分析验证
tcpdump tcp -i eth1 -n -X -s 0 and host “访问地址” -w h2c.pcap #将抓包内容放在Wireshark进行展示
