首先要說明一下,HTTPS涉及到的内容非常繁雜,包括各種術語、指令、算法,我現在也沒有完全搞清楚。本文會盡量把我知道的解釋一下,但是深入的内容,暫時不打算深究了
一、環境
httpd: 2.4.4
openssl:1.0.1
os:ubuntu 12.04 LTS
二、場景
我準備在httpd上配置一個HTTPS雙向認證,既向用戶端表明自己的身份,也隻允許特定的用戶端通路。本文說的主要是作為server的角色的配置,至于作為client的配置,最後也會稍微介紹一下,但是不會詳細說明
一般來說,網際網路站不會去配置雙向認證,因為用戶端證書的分發和管理會比較麻煩,會把使用者擋在門外,是以一般是不能這麼做的。當然,像銀行等對安全要求很高的網站,也會采用雙向認證,比如U盾、安全控件什麼的,其實就是固化的用戶端證書
但是對于企業應用來說,客戶一般是固定的,比如兩個已知的系統對接、内部系統內建等。是以在企業應用領域,雙向認證還是比較常見的
三、背景知識
證書(Certificate)是HTTPS的核心,但是其實證書并不是一個單一的東西,而是幾種技術的綜合
為了網絡傳輸的安全,有很多種技術,最主要的是以下3種:
1、加密/解密
避免消息明文傳輸,對消息進行加密。早期一般是用對稱加密算法,現在一般都是不對稱加密,最常見的算法就是RSA。在後面的介紹中,也會多次看到RSA這個詞
2、消息摘要
這個技術主要是為了避免消息被篡改。消息摘要是把一段資訊,通過某種算法,得出一串字元串。這個字元串就是消息的摘要。如果消息被篡改(發生了變化),那麼摘要也一定會發生變化(一般是這樣的。如果2個不同的消息生成的摘要是一樣的,那麼這就叫發生了碰撞)
消息摘要的算法主要有MD5和SHA,在證書領域,一般都是用SHA(安全雜湊演算法)
3、數字簽名
數字簽名是為了驗證雙方的身份,避免身份僞造
以上三個技術結合起來,就是在HTTPS中廣泛應用的證書(certificate),證書本身攜帶了加密/解密的資訊,并且可以辨別自己的身份,也自帶消息摘要
四、在httpd中配置單向HTTPS
首先在%HTTPD_HOME%/conf/目錄下,修改httpd.conf檔案,加載必要的子產品
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
LoadModule socache_dbm_module modules/mod_socache_dbm.so
LoadModule socache_memcache_module modules/mod_socache_memcache.so
LoadModule ssl_module modules/mod_ssl.so
這裡的前提是,在編譯httpd的時候,已經編譯了ssl子產品。這個步驟看另一篇文檔:
然後再導入預設的SSL配置檔案,當然也可以選擇不導入,在httpd.conf直接配置。但是導入預設的可以節省很多時間,并且預設的檔案是用vhost配置的,不會跟main server沖突,可以算是一種最佳實踐
# Secure (SSL/TLS) connections
Include conf/extra/httpd-ssl.conf
<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
</IfModule>
然後打開%HTTPD_HOME%/conf/extra/目錄,看一下httpd-ssl.conf,主要有以下幾個配置
SSLEngine on
SSLCertificateFile "/usr/local/httpd/conf/server.cer"
SSLCertificateKeyFile "/usr/local/httpd/conf/server.key.pem"
#SSLCACertificateFile "/usr/local/httpd/conf/ca.cer"
#SSLVerifyClient require
#SSLVerifyDepth 10
隻要開啟前3個,單向的HTTPS認證就配置好了。後面3個目前先注釋掉,是後面雙向認證才用到
然後重新開機一下httpd,會發現報錯:
AH00526: Syntax error on line 106 of /usr/local/httpd/conf/extra/httpd-ssl.conf:
SSLCertificateFile: file '/usr/local/httpd/conf/server.cer' does not exist or is empty
這是因為httpd需要一個服務端的私鑰(.key.pem),和一個服務端證書(.cer)。前面已經配置了這2個檔案的路徑,但是還沒有建立。下一步就要建立這些檔案
五、建立CA(Certificate Authority)
這個CA,也叫“根證書”
服務端做了一個證書,但是這是沒有法律效力的,誰都可以自己做證書,就根本達不到安全的目的。是以就要有一個機構,負責來确認服務端的身份,然後統一的簽發證書。這樣才能有權威性
當浏覽器通過HTTPS協定通路一個網站,網站首先會發過來一個自己的證書(certificate)。接下來浏覽器就會到權威機構(CA),去驗證一下這個證書是不是它簽發的。如果是的話,就信任這個網站的證書,繼續通路;如果不是的話,要怎麼處理就依賴于實作了。一般的浏覽器會彈出一個警告,讓使用者自己決定要不要繼續通路。當然直接拒絕也是可以的
現在國際上有3大CA機構,如果是要自己做一個網站的話,如上所述,一般是需要請這些權威機構幫忙簽發證書的。現在所有的主流浏覽器,預設都安裝了這些CA的根證書,是以如果網站的證書是這些權威機構簽發的,浏覽器就不會發出警告了。比如支付寶,它的證書是由VeriSign簽發的,是以通路支付寶,浏覽器不會發出警告
這裡還有一個鍊條的關系,比如我有10個子網站,如果每個都要去找CA簽發證書,就很麻煩。我可以找CA給我簽發一個次級根證書,然後再用這個次級根證書給自己簽發10個證書。那麼隻要客戶的浏覽器裡有CA根證書就可以了,這10個證書都可以通過認證,不要求客戶安裝次級根證書,原文見下:
引用
Intermediate CA certificates lie between the root CA certificate (which is installed in the browsers) and the server certificate (which you installed on the server).
如果是企業應用,那完全可以自己給自己當CA,因為可以要求目标使用者(系統)安裝自己的CA根證書,效果是一樣的,還可以省下請權威CA簽發證書的費用(網際網路應用分發自己的CA到無數的網際網路使用者上,難度很大)
下面就介紹如何建立自己的CA
1、準備工作
先在随便一個目錄,建立以下幾個子目錄:
/private
/certificates
其中private放的是私鑰和CSR(後面會介紹),certificates裡放的就是證書了
2、建立CA私鑰
openssl genrsa -aes256 -out private/ca.key.pem 2048
最後的參數是RSA密鑰的長度,預設是512。2048其實長了一點,老的浏覽器稍後會不支援,不過現在的主流浏覽器都是支援的,是以問題不大
通過這個指令,私鑰就建立好了,檔案名是ca.key.pem
用這個指令,可以看一下剛才建立的這個私鑰的資訊
openssl rsa -noout -text -in private/ca.key.pem
不過基本上,看也是白看,反正我是看不懂。隻知道私鑰裡其實有2組數字,是用來形成公鑰的,最後也會包含在證書裡
A private key contains a series of numbers. Two of these numbers form the "public key", the others are part of the "private key". The "public key" bits are included when you generate a CSR, and subsequently form part of the associated Certificate.
另外,最後的.pem擴充名,是表示該私鑰用PEM編碼。實際上私鑰和證書都是用PEM編碼的,PEM隻是一種編碼格式,不需要太在意。httpd可以直接處理這種編碼格式,但是浏覽器和JAVA都不行,是以在需要的時候,會把編碼從PEM改成PKCS,後面會介紹。隻要知道證書和私鑰都有編碼,隻是編碼是PEM還是PKCS的差別而已。就像"你好"可以用UTF-8編碼,也可以用GBK編碼一樣,内容是不變的
3、建立CA簽名請求
openssl req -new -key private/ca.key.pem -out private/ca.csr -subj "/C=CN/ST=SZ/L=SZ/O=kyfxbl/OU=kyfxbl/CN=*.kyfxbl.net"
這裡要注意的是,如果不用-subj參數,那麼就會在指令行互動輸入簽發目标的身份識别資訊,這叫DN(Distinguished Name)。其中别的都不要緊,最重要的是CN那一行,因為我這裡是根證書,是以我設定為*.kyfxbl.net,這樣我後面用這個CA簽發的www.kyfxbl.net、game.kyfxbl.net、news.kyfxbl.net……,全都是有效的
生成的簽名請求檔案,是ca.csr
openssl req -noout -text -in private/ca.csr
同上,看不懂
4、自己簽發CA根證書
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey private/ca.key.pem -in private/ca.csr -out certificates/ca.cer
這裡參數很複雜,我也不太清楚準确的意思是什麼,可以用openssl x509 -help自己研究一下
生成的ca.cer,就是最終的根證書了!這個檔案非常重要,因為後續的服務端證書、用戶端證書,都是用這個CA簽發的,也要把它分發給客戶,讓他們導入到自己的浏覽器或者系統中
檢視的指令是:
openssl x509 -noout -text -in certificates/ca.cer
5、把根證書從PEM編碼轉為PKCS編碼
這步其實不是必選的,但是前面說過,JAVA環境是不能直接用PEM編碼的證書的,很多浏覽器也不行,是以有時候也需要轉一下編碼
openssl pkcs12 -export -cacerts -inkey private/ca.key.pem -in certificates/ca.cer -out certificates/ca.p12
得到的ca.p12就是轉碼後的CA根證書,在不能直接用ca.cer的時候,就用ca.p12代替
六、簽發服務端證書
現在CA根證書和私鑰都有了,就可以開始簽發服務端證書了(簽發請求ca.csr是過程檔案,有了cer就不再需要它了,要删掉也可以)。下面的指令和簽發CA憑證時都差不多,但是參數上有差別
1、建立服務端私鑰
openssl genrsa -aes256 -out private/server.key.pem 2048
2、建立服務端證書簽發請求
openssl req -new -key private/server.key.pem -out private/server.csr -subj "/C=CN/ST=SZ/L=SZ/O=kyfxbl/OU=kyfxbl/CN=www.kyfxbl.net"
和ca.csr的差別在于,這裡的CN不是*.kyfxbl.net,而是www.kyfxbl.net,因為我現在是在為www.kyfxbl.net申請證書
3、利用CA根證書,簽發服務端證書
openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certificates/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in private/server.csr -out certificates/server.cer
這裡和前面自己簽發CA憑證時,參數差別就比較大了,最後得到的server.cer,就是服務端證書
七、測試單向認證
把server.key.pem和server.cer拷貝到%HTTPD_HOME%/conf/目錄下,然後重新啟動httpd,會要求輸入一個密碼
然後通路http://localhost:443/,會報400錯誤:
接下來用https://localhost:443來通路,浏覽器報警:
這裡就是前面建立CSR時,輸入的CN的作用,這個證書是為www.kyfxbl.net申請的,這裡請求的位址卻是localhost,不比對是以報錯。為了能用www.kyfxbl.net這個主機名來通路,就需要改一下/etc/hosts檔案:
127.0.0.1 localhost
192.168.1.102 www.kyfxbl.net
然後就可以用www.kyfxbl.net來通路了,再試一下:https://www.kyfxbl.net/
這次浏覽器還是告警,但是告警資訊變了:
證書資訊如下:
可以看到這個證書是由*.kyfxbl.net這個CA頒發的,浏覽器不認識,是以不信任由這個CA簽發的所有證書。接下來就需要把ca.cer導入浏覽器。這裡直接導入server.cer也是可以的,但是後面如果又建立一個網站比如說www2.kyfxbl.net,那麼又不行了。是以最好的辦法是直接導入CA根證書,那麼後續隻要是用這個根證書簽發的證書,浏覽器都會信任
導入前:
導入後:
再次通路,可以看到成功了,浏覽器不告警,并且URL欄前面打了一個綠勾
八、配置雙向認證
如果要配置伺服器隻允許合法的使用者通路,就需要配置雙向認證
配置為雙向認證之後,除了服務端要發證書給用戶端之外,用戶端也要發用戶端證書到服務端,服務端認證通過,才允許通路
SSLCACertificateFile "/usr/local/httpd/conf/ca.cer"
SSLVerifyClient require
SSLVerifyDepth 10
在單項認證的基礎上,再配置以上3個參數
SSLCACertificateFile,這個意思是當用戶端發來用戶端證書的時候,httpd用哪個CA根證書校驗它
配置好了,還不能重新開機,因為現在用戶端證書還沒做好
這裡要說明一下,用戶端證書是怎麼來的
有2種方式:
第一種,用戶端也自己CA,然後簽發證書給自己。把用戶端的CA根證書發過來,配置成SSLCACertificateFile。這在網際網路應用裡基本是不可能的,安全和管理都是問題。但是在企業應用裡,還是比較常見的,雙方互相交換CA根證書
第二種,就用剛才服務端的CA根證書,簽發一個用戶端證書,發給使用者,使用者每次用這個證書來發請求,像銀行,支付寶等等,用的是這種方式
當然理論上其實還有一種辦法,就是客戶自己去找權威CA簽證書,但是這個是不可能的,因為很麻煩,找CA簽也非常貴
本文用的是第2種方法。其實都是一樣的。關鍵還是在CA根證書上,是以前面也說過了,CA根證書非常重要
九、簽發用戶端證書
1、建立用戶端私鑰
openssl genrsa -aes256 -out private/client.key.pem 2048
2、建立用戶端證書簽發請求
openssl req -new -key private/client.key.pem -out private/client.csr -subj "/C=CN/ST=SZ/L=SZ/O=kyfxbl/OU=kyfxbl/CN=kyfxbl"
這裡的不同在于,這裡的CN不是*.kyfxbl.net,也不是www.kyfxbl.net,随便填一個kyfxbl就好了,或者幹脆叫user都沒問題,反正是一個用戶端證書
3、利用CA根證書,簽發用戶端證書
openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certificates/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in private/client.csr -out certificates/client.cer
這裡和簽發server.cer基本是一樣的
4、把用戶端證書轉換成p12格式
openssl pkcs12 -export -clcerts -inkey private/client.key.pem -in certificates/client.cer -out certificates/client.p12
這步是必須的,因為稍後就需要把用戶端證書導入到浏覽器裡,但是一般浏覽器都不能直接使用PEM編碼的證書
十、測試雙向認證
把ca.cer拷貝到%HTTPD_HOME%/conf/目錄下,重新開機httpd
然後再次通路https://www.kyfxbl.net/,結果這次不是警告,而是直接報錯:
接下來要把client.p12導入到浏覽器裡
導入的時候會要求輸入密碼,這是為了避免有人偷偷拷貝了别人的用戶端證書,僞裝成合法使用者:
然後再次通路,浏覽器會要求選擇證書。這個步驟是通過雙向認證通路網站時必須的,但是平時通路銀行、支付寶的時候貌似沒有,這是因為這些網站為了簡化使用者的操作,都會要求使用者安裝什麼“安全控件”,控件自動選擇了證書
點選确定,通路成功!
十一、JKS等
到這裡,用httpd配置雙向HTTPS認證就完成了
本文說的是作為server的角色,要如何配置。但是在JAVA環境下,如果要以client的角色,通過雙向認證發起請求,則還有些不同
這裡實際上是要充當一個類似浏覽器的角色,需要校驗server certificate,還需要在發起請求的時候,把client certificate發過去
本文轉自yzy121403725 51CTO部落格,原文連結:http://blog.51cto.com/lookingdream/1870158,如需轉載請自行聯系原作者