重庆分公司,新征程启航

为企业提供网站建设、域名注册、服务器等服务

ApacheSSL单双向证书认证-创新互联

要求目标用户(系统)安装自己的CA根证书,效果是一样的,还可以省下请权威CA签发证书的费用
下面就介绍如何创建自己的CA

1、准备工作
先在/etc/httpd/conf创建子目录:

成都创新互联长期为1000多家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为麟游企业提供专业的成都网站制作、网站建设,麟游网站改版等技术服务。拥有十余年丰富建站经验和众多成功案例,为您定制开发。

private
certificates
其中private放的是私钥和CSR(后面会介绍),certificates里放的就是证书了
2、创建CA私钥

Openssl代码  Apache SSL单双向证书认证

  1. openssl genrsa -out private/ca.key.pem 2048

通过这个命令,私钥就创建好了,文件名是ca.key.pem

不过基本上,看也是白看,反正我是看不懂。只知道私钥里其实有2组数字,是用来形成公钥的,最后也会包含在证书里

另外,最后的.pem扩展名,是表示该私钥用PEM编码。实际上私钥和证书都是用PEM编码的,PEM只是一种编码格式,不需要太在意。httpd可以直接处理这种编码格式,只要知道证书和私钥都有编码,只是编码是PEM还是PKCS的区别而已。就像"你好"可以用UTF-8编码,也可以用GBK编码一样,内容是不变的

3、创建CA签名请求

Openssl代码  Apache SSL单双向证书认证

  1. openssl req -new -key private/ca.key.pem -out private/ca.csr -subj "/C=CN/ST=SZ/L=SZ/O=kyfxbl/OU=kyfxbl/CN=*.kyfxbl.net"

生成的签名请求文件,是ca.csr

4、自己签发CA根证书

Openssl代码  Apache SSL单双向证书认证

  1. openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey private/ca.key.pem -in private/ca.csr -out certificates/ca.cer

生成的ca.cer,就是最终的根证书了!这个文件非常重要,因为后续的服务端证书、客户端证书,都是用这个CA签发的,也要把它分发给客户,让他们导入到自己的浏览器或者系统中

5、把根证书从PEM编码转为PKCS编码

Openssl代码  Apache SSL单双向证书认证

  1. openssl pkcs12 -export -cacerts -inkey private/ca.key.pem -in certificates/ca.cer -out certificates/ca.p12

得到的ca.p12就是转码后的CA根证书,在不能直接用ca.cer的时候,就用ca.p12代替

六、签发服务端证书

现在CA根证书和私钥都有了,就可以开始签发服务端证书了(签发请求ca.csr是过程文件,有了cer就不再需要它了,要删掉也可以)。下面的命令和签发CA证书时都差不多,但是参数上有区别

1、创建服务端私钥

Openssl代码  Apache SSL单双向证书认证

  1. openssl genrsa -out private/server.key.pem 2048

2、创建服务端证书签发请求

Openssl代码  Apache SSL单双向证书认证

  1. openssl req -new -key private/server.key.pem -out private/server.csr -subj "/C=CN/ST=SZ/L=SZ/O=kyfxbl/OU=kyfxbl/CN=www.kyfxbl.net"

和ca.csr的区别在于,这里的CN不是*.kyfxbl.net,而是www.kyfxbl.net,因为我现在是在为www.kyfxbl.net申请证书

3、利用CA根证书,签发服务端证书

Openssl代码  Apache SSL单双向证书认证

  1. openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certificates/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in private/server.csr -out certificates/server.cer

这里和前面自己签发CA证书时,参数区别就比较大了,最后得到的server.cer,就是服务端证书

七、测试单向认证

接下来用https://localhost来访问,浏览器报警:

Apache SSL单双向证书认证

这里就是前面创建CSR时,输入的CN的作用,这个证书是为www.kyfxbl.net申请的,这里请求的地址却是localhost,不匹配所以报错。为了能用www.kyfxbl.net这个主机名来访问,就需要改一下/etc/hosts文件:

127.0.0.1      localhost
192.168.1.102  www.kyfxbl.net

然后就可以用www.kyfxbl.net来访问了,再试一下:https://www.kyfxbl.net/

这次浏览器还是告警,但是告警信息变了:

Apache SSL单双向证书认证

证书信息如下:

Apache SSL单双向证书认证

可以看到这个证书是由*.kyfxbl.net这个CA颁发的,浏览器不认识,所以不信任由这个CA签发的所有证书。接下来就需要把ca.cer导入浏览器。这里直接导入server.cer也是可以的,但是后面如果又创建一个网站比如说www2.kyfxbl.net,那么又不行了。所以最好的办法是直接导入CA根证书,那么后续只要是用这个根证书签发的证书,浏览器都会信任
再次访问,可以看到成功了,浏览器不告警,并且URL栏前面打了一个绿勾

Apache SSL单双向证书认证

八、配置双向认证

如果要配置服务器只允许合法的用户访问,就需要配置双向认证

配置为双向认证之后,除了服务端要发证书给客户端之外,客户端也要发客户端证书到服务端,服务端认证通过,才允许访问

Httpd代码  Apache SSL单双向证书认证

  1. SSLCACertificateFile "/etc/httpd/conf/ca.cer"

  2. SSLVerifyClient require

  3. SSLVerifyDepth  10

在单项认证的基础上,再配置以上3个参数
SSLCACertificateFile,这个意思是当客户端发来客户端证书的时候,httpd用哪个CA根证书校验它

配置好了,还不能重启,因为现在客户端证书还没做好

这里要说明一下,客户端证书是怎么来的

有2种方式:

第一种,客户端也自己CA,然后签发证书给自己。把客户端的CA根证书发过来,配置成SSLCACertificateFile。这在互联网应用里基本是不可能的,安全和管理都是问题。但是在企业应用里,还是比较常见的,双方互相交换CA根证书

第二种,就用刚才服务端的CA根证书,签发一个客户端证书,发给用户,用户每次用这个证书来发请求,像银行,支付宝等等,用的是这种方式

当然理论上其实还有一种办法,就是客户自己去找权威CA签证书,但是这个是不可能的,因为很麻烦,找CA签也非常贵
九、签发客户端证书

1、创建客户端私钥

Openssl代码  Apache SSL单双向证书认证

  1. openssl genrsa -out private/client.key.pem 2048

2、创建客户端证书签发请求

Openssl代码  Apache SSL单双向证书认证

  1. openssl req -new -key private/client.key.pem -out private/client.csr -subj "/C=CN/ST=SZ/L=SZ/O=kyfxbl/OU=kyfxbl/CN=kyfxbl"

3、利用CA根证书,签发客户端证书

Openssl代码  Apache SSL单双向证书认证

  1. openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certificates/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in private/client.csr -out certificates/client.cer

这里和签发server.cer基本是一样的

4、把客户端证书转换成p12格式

Openssl代码  Apache SSL单双向证书认证

  1. openssl pkcs12 -export -clcerts -inkey private/client.key.pem -in certificates/client.cer -out certificates/client.p12

这步是必须的,因为稍后就需要把客户端证书导入到浏览器里,但是一般浏览器都不能直接使用PEM编码的证书

十、测试双向认证
然后再次访问https://www.kyfxbl.net/,结果这次不是警告,而是直接报错:

Apache SSL单双向证书认证

接下来要把client.p12导入到浏览器里

导入前:

Apache SSL单双向证书认证

导入的时候会要求输入密码,这是为了避免有人偷偷拷贝了别人的客户端证书,伪装成合法用户:

Apache SSL单双向证书认证

导入后:

Apache SSL单双向证书认证

然后再次访问,浏览器会要求选择证书。这个步骤是通过双向认证访问网站时必须的,但是平时访问银行、支付宝的时候貌似没有,这是因为这些网站为了简化用户的操作,都会要求用户安装什么“安全控件”,控件自动选择了证书

Apache SSL单双向证书认证

点击确定,访问成功!

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


文章标题:ApacheSSL单双向证书认证-创新互联
文章URL:http://cqcxhl.cn/article/dcosdd.html

其他资讯

在线咨询
服务热线
服务热线:028-86922220
TOP