一般的HTTPS业务场景只对服务器做认证,因此只需要配置服务器的证书即可。某些关键业务(如银行支付),需要对通信双方的身份都要做认证,即双向认证,以确保业务的安全性。
此时,除了配置服务器的证书之外,还需要配置客户端的证书,以实现通信双方的双向认证功能。
本章节以自签名证书为例,介绍如何配置HTTPS双向认证。但是自签名证书存在安全隐患,建议客户使用SSL证书管理服务购买证书、或购买其他权威机构颁发的证书。
cd ca
[ req ] distinguished_name = req_distinguished_name prompt = no [ req_distinguished_name ] O = ELB
openssl genrsa -out ca.key 2048
openssl req -out ca.csr -key ca.key -new -config ./ca_cert.conf
openssl x509 -req -in ca.csr -out ca.crt -sha1 -days 5000 -signkey ca.key
用户可以用权威CA签发的证书或者自签名的证书,这里以自签名证书为例说明如何创建服务器证书。
cd server
[ req ] distinguished_name = req_distinguished_name prompt = no [ req_distinguished_name ] O = ELB CN = www.test.com
CN字段可以根据需求改为服务器对应的域名、IP地址。
openssl req -out server.csr -key server.key -new -config ./server_cert.conf
openssl x509 -req -in server.csr -out server.crt -sha1 -CAcreateserial -days 5000 -CA ../ca/ca.crt -CAkey ../ca/ca.key
cd client
[ req ] distinguished_name = req_distinguished_name prompt = no [ req_distinguished_name ] O = ELB CN = www.test.com
CN字段可以根据需求改为对应的域名、IP地址。
openssl genrsa -out client.key 2048
openssl req -out client.csr -key client.key -new -config ./client_cert.conf
openssl x509 -req -in client.csr -out client.crt -sha1 -CAcreateserial -days 5000 -CA ../ca/ca.crt -CAkey ../ca/ca.key
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
该命令执行时需要输入导出密码,请输入并记住该密码,在证书导入浏览器时需要使用。
复制内容时请将最后的换行符删除,避免保存时报错。
服务器证书和私钥内容只支持上传pem格式。
复制内容时请将最后的换行符删除,避免保存时报错。
CA证书内容只支持上传pem格式。
添加后端服务器
请参考后端服务器相关操作指导,此处不展开描述。
浏览器方式功能测试
Curl工具方式功能测试
把客户端证书client.crt和客户端私钥文件client.key拷贝到新目录,如目录/home/client_cert。
curl -k --cert /home/client_cert/client.crt --key /home/client_cert/client.key https://XXX.XXX.XXX.XXX:XXX/ -I
如果可以正确获得响应码,如图12说明验证成功。
大数据是计算机将海量数据筛选收集的结果。就是将移动智能设备、云端、物联网收...
背景 某程序有读写对象存储文件的业务逻辑 该程序一直正常运行 可正常读写对象存...
哈喽各位同学们大家好呀 小编今天带着开发者学院中课程“微服务架构常用RPC协议...
1. 接口描述 接口请求域名: tke.tencentcloudapi.com 。 查询集群路由 默认接口...
【51CTO.com原创稿件】作为最重要的基础技术之一,腾讯云大数据技术有效地支撑着...
本期导读 【JindoTable 计算加速】第二十讲 主题 Spark 对 OSS 上的 ORC 数据进...
随着IDC行业的迅速发展,互联网上出现了一些现象, 服务器租用 的主流配置价格是...
想了解更多内容,请访问: 51CTO和华为官方战略合作共建的鸿蒙技术社区 https://...
作者 | 荞峰 来源 | 阿里技术公众号 经过几十年发展,嵌入式技术已经用在了我们...
域名 没实名认证怎么办?域名如果不进行实名认证,将会被禁止解析。 域名注册 后...