zoukankan      html  css  js  c++  java

  • Apache 2.4自签名证书及客户端SSL认证

    最近公司项目跟第三方对接,对端要求通过VPN用内网IP对接,还要签名证书走HTTPS,顺便要求做客户端SSL鉴权认证!!

    自签名证书

    可以通过openssl命令生成RSA key,然后用这个key自己签名一个证书。
    自签名证书和CA签名证书的主要区别是自签名证书安装后,客户端需要安装信任证书,否则浏览器还是会报https不安全。12306的证书应该就是自签名的,所以首页有为保障您顺畅购票,请下载安装根证书的提示。
    Note:生成的自签名证书在Chrome 58之后会一直报err_cert_common_name_invalid并被标识为not secure,网上有说配置openssl Subject Alt Name能够解决,待验证
    https://github.com/webpack/webpack-dev-server/issues/854

    证书格式

    SSL证书有多种格式:

    1. Apache、Nginx等,使用OpenSSL提供的密码库,生成pem、key、crt等格式的证书文件。
    2. Tomcat、Weblogic、JBoss等,使用Java提供的密码库。通过Java的Keytool工具,生成Java Keystore(jks)格式的证书文件。
      常用证书格式信息:
    • *.der*.cer*.crt 以二进制形式存放证书,只有公钥,不包含私钥。
    • *.csr 证书请求,这个是需要发给CA用来签名正式证书用的。
    • *.pem 一般是文本格式,可以放证书或私钥,或者两者都包含。 *.PEM如果只包含私钥,那一般用 *.KEY代替。
    • *.pfx*.p12 是二进制格式,同时含证书和私钥,一般有密码保护。

    生成自签名证书

    1. 生成RAS Key:server.key
      Note: 这个命令生成的是证书的Private Key要保存在安全的地方

    $ openssl genrsa -out server.key 2048

    如果加-des3参数,会要求输入密码,将来Apache加载了证书启动时候要输入这个密码。

    $ openssl genrsa -des3 -out server.key 2048

    通过如下命令可以查看

    openssl rsa -noout -text -in server.key

    1. 执行以下命令生成自签名证书:server.crt

    openssl req -new -x509 -nodes -sha1 -days 365 -key server.key -out server.crt -extensions usr_cert

    -days是证书的有效期天数,可以是多年,例如,1825标识5年有效期

    执行以上命令会要求输入如下信息,这些信息都会出现在最终生成的证书中,可以在浏览器直接查看。
    Note: Comman Name必须跟真实访问的domain name一致

    Country Name (2 letter code) [AU]:CN
    State or Province Name (full name) [Some-State]:North
    Locality Name (eg, city) []:City
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Test Ltd
    Organizational Unit Name (eg, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:test.com
    Email Address []:support@test.com

    1. Apache配置
      需要将如下配置增加的Apache Virtual Host配置里

    SSLCertificateFile "/path/to/this/server.crt"
    SSLCertificateKeyFile "/path/to/this/server.key"

    配置之后可以执行sudo apachectl configtest检查配置是否正确。
    通过sudo httpd -S检查Apache Virtual host信息。

    客户端SSL鉴权认证

    我们通常的https证书一般都是单向认证,即服务端认证。客户端认证可以提供一种对客户端鉴权的能力,只有持有证书的客户端才能访问Apache下的指定资源。
    在Apache Virtual Host配置如下信息:
    Note:此处SSLCACertificateFile 可以配置客户端的根证书

    SSLCACertificateFile "/etc/pki/tls/cert/root.crt"
    SSLVerifyClient require
    SSLVerifyDepth 10



    作者:Tsun424
    链接:https://www.jianshu.com/p/9c861b85c75a
    来源:简书
    著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
  • 相关阅读:
    spring + spring mvc + mybatis + react + reflux + webpack Web
    陈忠实和路遥:日他妈的文学和你懂个锤子
    Spring+SpringMVC+MyBatis+easyUI整合基础篇
    JAVA方法中的参数用final来修饰的效果
    全球晶圆代工厂哪家强?2016年Top30名单
    EXT combobox 二级连动 清空store缓存数据
    潘通
    MySQL性能优化
    启用了不安全的HTTP方法
    Hibernate一级缓存(基于查询分析)
  • 原文地址:https://www.cnblogs.com/surplus/p/12235298.html
Copyright © 2011-2022 走看看