ssl单向证书和双向证书校验测试及搭建流程

`零、前提准备`

首先了解下HTTP和HTTPS的区别：

HTTPS与HTTP有什么不同？

HTTP是过去很长一段时间我们经常用到的一种传输协议。HTTP协议传输的数据都是未加密的，这就意味着用户填写的密码、账号、交易记录等机密信息都是明文，随时可能被泄露、窃取、篡改，从而被黑客加以利用，因此使用HTTP协议传输隐私信息非常不安全。
HTTPS是一种基于SSL协议的网站加密传输协议，网站安装SSL证书后，使用HTTPS加密协议访问，可激活客户端浏览器到网站服务器之间的SSL加密通道（SSL协议），实现高强度双向加密传输，防止传输数据被泄露或篡改。简单讲，HTTPS=HTTP+SSL，即HTTPS是HTTP的安全版。

本次测试相关说明：
50.50.1.118作为服务端，系统是 linux，openssl版本是：OpenSSL 1.1.1f 31 Mar 2020。
50.50.1.116是客户端，系统是Windows10-64 bit。

1、CA机构之根证书的生成

# 生成CA私钥
openssl genrsa -out CA.key 2048
# 生成CA证书签名请求
openssl req -new -key CA.key -out CA.csr
# 生成CA的自签名证书, 即根证书
openssl x509 -req -in CA.csr -extensions v3_ca -signkey CA.key -out CA.crt

2、服务端准备

# 生成私钥key
openssl genrsa -des3 -out server.key
# 生成证书签名请求
openssl req -new -key server.key -out server.csr
# 向CA申请证书，生成带有CA签名的证书
openssl x509 -days 365 -req -in server.csr -extensions v3_req -CAkey ../CA/CA.key -CA ../CA/CA.crt -CAcreateserial -out server.crt

3、客户端准备

openssl genrsa -des3 -out client.key
openssl req -new -key client.key -out client.csr
openssl x509 -days 365 -req -in client.csr -extensions v3_req -CAkey ../CA/CA.key -CA ../CA/CA.crt -CAcreateserial -out client.crt
# 客户端证书转为p12格式（p12格式才能导入浏览器）;
# 后续双向认证时，客户端发起请求时，要携带自己的证书到服务器;
# 怎么携带？将p12格式的证书导入浏览器即可;
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

4、生成的证书

在这里插入图片描述

`一、单向证书校验`

更多关于单向认证/双向认证的理论性知识，请猛戳：SSL单向认证和双向认证分析。

关于nginx的配置，可以大概参考下阿里的这篇文章：
阿里-在Nginx或Tengine服务器安装SSL证书

验证步骤：

1、修改nginx配置文件，将服务端证书和服务私钥进行指定，并重启nginx；
2、客户端将根证书添加到受信任的颁发机构中(可有可无)；
3、打开浏览器，访问 https://50.50.1.118，可以看到服务器响应的结果(nginx欢迎页面)；
4、可以通过wireshark进行抓包分析。

修改nginx.conf配置文件

在这里插入图片描述

将根证书添加到受信任的机构中

在这里插入图片描述

直接双击CA.crt进行安装即可。

请添加图片描述

在这里插入图片描述

开始抓包

请添加图片描述

在这里插入图片描述

抓包分析

可见，整个握手过程当中，只有服务器将自己的证书响应给客户端；
不存在客户端将自己的证书响应给服务器的情况；
此即为单向认证。下面再给出一个示例图。

在这里插入图片描述

`二、双向证书校验`

对于一般的https网站来说，实际上https所使用的证书是属于单向验证，即客户端单向验证服务器的安全性，而服务器端是没有对客户端的身份进行验证的。如果自己部署了一些安全性较高的网站不希望被其他人随意访问，就可以尝试部署https的双向认证，对客户端也添加证书认证。

1、修改nginx配置文件，添加对客户端的证书校验，并重启nginx；

在这里插入图片描述

2、打开谷歌浏览器，导入客户端证书；

请添加图片描述

ps：也可以直接在Windows证书管理器中添加添加，如下所示：

请添加图片描述

3、抓包验证

最后重启浏览器(一定要重启, 如果打开多个同类型浏览器,则需全部关闭后再重启)，输入 https://50.50.1.118进行访问, 会弹出证书选择框。。。

请添加图片描述
在这里插入图片描述

可以看到，服务端和客户端分别给对方响应了各自的证书，此即为双向认证。

4、另一种验证方法 (使用curl作为客户端调用验证)
上述我们通过浏览器中导入客户端的p12证书来完成双向验证，，
实际我们也可以直接利用curl命令来完成验证。。无需做上述中的p12证书的导入。。
我们的客户端windows，首先安装crul工具。
Windows下载curl
直接解压即可，解压后，将bin添加至系统环境变量中。。。

# --cert指定客户端公钥证书的路径
# --key指定客户端私钥文件的路径
# -k不校验证书的合法性，因为我们用的是自签名证书，所以需要加这个参数，否则无法建立连接
# 可以使用-v来观察具体的SSL握手过程

curl -k --cert .\client.crt --key .\client.key https://50.50.1.118 -v

在这里插入图片描述

更多关于curl命令的使用，请参考以下文章：
（1）https://www.ruanyifeng.com/blog/2019/09/curl-reference.html
（2）https://blog.csdn.net/angle_chen123/article/details/120675472

三、参考文章

1、https://zhuanlan.zhihu.com/p/377622199
2、http://www.meilongkui.com/archives/1670
3、https://www.cnblogs.com/simono/p/16629480.html
4、https://blog.csdn.net/qq_37997682/article/details/125472654

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：/a/58305.html

如若内容造成侵权/违法违规/事实不符，请联系我们进行投诉反馈qq邮箱809451989@qq.com，一经查实，立即删除！