记录下ssl双向认证部署过程,以备后用。
- 部署webserver的https。
我们需要在nginx服务器中配置服务端以https方式运行:
server {
listen 443; #监听在443端口
server_name auth.test.com; #服务域名
ssl on; #开启ssl
ssl_certificate /etc/nginx/conf.d/server.crt; #服务器证书
ssl_certificate_key /etc/nginx/conf.d/server.key; #服务器证书私钥
ssl_session_timeout 5m; #连接超时时间
ssl_protocols SSLv2 SSLv3 TLSv1; #支持的通信协议
ssl_ciphers HIGH:!aNULL:!MD5; #支持的加密协议
ssl_prefer_server_ciphers on;
index index.html;
root /usr/local/nginx/www/;
access_log /var/log/nginx/auth.test.com.access.log;
error_log /var/log/nginx/auth.test.com.error.log;
将上述内容加到nginx配置文件中(和其他配置不冲突,放在单独的server块中),重启nginx就可以用https方式访问了。
- 对客户端进行验证
步骤如下:
- 生成一个我们自己用的CA根证书(别人不会认的,放到浏览器里也会提示为未认证的CA)
首先,要确认已安装了openssl,可以运行openssl -v命令来确认。如果已安装且是ubuntu系统(其他类型系统我未一一测试),要对/etc/ssl/openssl.conf做两处修改(修改前最好自己备份一下原文件)。
第一处:
####################################################################
[ ca ]
#default_ca = CA_default # The default ca section
default_ca = test #test for self-signed certfication
####################################################################
然后在接下来的 [ CA_default ]配置块后面增加一个[ test]配置块,与前面的default_ca对应:
#-------------------test---------#
[test]
dir = /etc/ssl/private
database = $dir/index.txt
serial = $dir/serial
private_key = $dir/ca.key
certificate = $dir/ca.crt
default_days = 3650
default_md = md5
crlnumber = $dir/crlnumber
crl = $dir/ca.crl #吊销证书列表
default_crl_days= 3650 #这里之前从网上抄的配置是30,结果被坑了
new_certs_dir = $dir
policy = policy_match
# For self-sign certification test
保存即可。接下来需要生成CA的证书(基础证书,相当于伪造一个CA)和客户端证书(你要颁发给谁就给谁造一个,造多少都行,不要钱^_^,每个证书都用我们自己伪造的CA签发)。BTW,如果我们没有花钱购买服务器证书,也可以自己签发一个,和生成一个客户端证书的步骤一样,只是用的地方不同而已。在写具体操作之前,需要理解基本的几个步骤,基本上生成证书都有这几步:a. 生成一个私钥,一般以.key结尾的文件即是;b.生成一个签发请求,以.csr结尾的文件即是;c.用CA来签发该证书,生成.crt的证书文件;d. 如果给浏览器用,还需要做一下格式转换,生成一个.p12的文件(生成服务器证书不需要这一步)。然后把这个.p12的文件发给对方,对方导入浏览器,就可以接受我们网站的校验了。
tips:生成证书相关动作都需要用root权限来执行。
生成CA的步骤我就不详细写了,我这里给出一个脚本:
#!/bin/sh
# Generate the key.
openssl genrsa -out private/ca.key
# Generate a certificate request.
openssl req -new -key private/ca.key -out private/ca.csr
# Self signing key is bad... this could work with a third party signed key... registeryfly has them on for $16 but I'm too cheap lazy to get one on a lark.
# I'm also not 100% sure if any old certificate will work or if you have to buy a special one that you can sign with. I could investigate further but since this
# service will never see the light of an unencrypted Internet see the cheap and lazy remark.
# So self sign our root key.
openssl x509 -req -days 3650 -in private/ca.csr -signkey private/ca.key -out private/ca.crt
# Setup the first serial number for our keys... can be any 4 digit hex string... not sure if there are broader bounds but everything I've seen uses 4 digits.
echo FACE > private/serial
# Create the CA's key database.
touch private/index.txt
# Create a Certificate Revocation list for removing 'user certificates.'
echo FACE > private/crlnumber
openssl ca -gencrl -out /etc/ssl/private/ca.crl
这里面需要你填写国家、省份、市、公司名、部门名字以及邮箱、还有口令,可以不设置口令。
- 生成一个客户端证书
主要有这几步:
sudo openssl genrsa -des3 -out client.key 2048
sudo openssl req -new -key client.key -out client.csr
sudo openssl ca -in client.csr -out client.crt -cert private/ca.crt -keyfile private/ca.key
sudo openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12
注意,签发客户端证书时,需要填写的国家、省份、市、公司名、部门名、邮箱都需要和之前的一致。
tips:这里需要强调的是,会提示你输入一个export口令,这里不能省略,因为某些系统在导入证书时,默认不接受空口令。
上述命令执行成功后,就生成了client.p12,这个文件就可以颁发给你的客户了,他可以导入浏览器来访问我们的网站。
如果要让没有被颁发证书的人不能访问网站,还需更改下nginx配置来校验客户端证书,更改后内容如下:
server {
listen 443; #监听在443端口
server_name auth.test.com; #服务域名
ssl on; #开启ssl
ssl_certificate /etc/nginx/conf.d/server.crt; #服务器证书
ssl_certificate_key /etc/nginx/conf.d/server.key; #服务器证书私钥
ssl_client_certificate /etc/ssl/private/ca.crt; #客户端证书的CA证书
ssl_verify_client on; #打开客户端证书验证
ssl_session_timeout 5m; #连接超时时间
ssl_protocols SSLv2 SSLv3 TLSv1; #支持的通信协议
ssl_ciphers HIGH:!aNULL:!MD5; #支持的加密协议
ssl_prefer_server_ciphers on;
index index.html;
root /usr/local/nginx/www/;
access_log /var/log/nginx/auth.test.com.access.log;
error_log /var/log/nginx/auth.test.com.error.log;
吊销证书(/etc/ssl目录,root权限执行)
openssl ca -revoke client.crt -cert private/ca.crt -keyfile private/ca.key
openssl ca -gencrl -out private/ca.crl
可通过openssl verify -crl_check -CRLfile private/ca.crl -CAfile private/ca.crt client.crt 验证是否被吊销
执行以上命令后依然可以访问站点,还需重启nginx,重启nginx后无法访问站点