Apache 2.4自签名证书及客户端SSL认证

最近公司项目跟第三方对接,对端要求通过VPN用内网IP对接,还要签名证书走HTTPS,顺便要求做客户端SSL鉴权认证!!

自签名证书

可以通过openssl命令生成RSA key,然后用这个key自己签名一个证书。
自签名证书和CA签名证书的主要区别是自签名证书安装后,客户端需要安装信任证书,否则浏览器还是会报https不安全。12306的证书应该就是自签名的,所以首页有为保障您顺畅购票,请下载安装根证书的提示。
Note:生成的自签名证书在Chrome 58之后会一直报err_cert_common_name_invalid并被标识为not secure,网上有说配置openssl Subject Alt Name能够解决,待验证
https://github.com/webpack/webpack-dev-server/issues/854

证书格式

SSL证书有多种格式:

  1. Apache、Nginx等,使用OpenSSL提供的密码库,生成pem、key、crt等格式的证书文件。
  2. Tomcat、Weblogic、JBoss等,使用Java提供的密码库。通过Java的Keytool工具,生成Java Keystore(jks)格式的证书文件。
    常用证书格式信息:
  • *.der*.cer*.crt 以二进制形式存放证书,只有公钥,不包含私钥。
  • *.csr 证书请求,这个是需要发给CA用来签名正式证书用的。
  • *.pem 一般是文本格式,可以放证书或私钥,或者两者都包含。 *.PEM如果只包含私钥,那一般用 *.KEY代替。
  • *.pfx*.p12 是二进制格式,同时含证书和私钥,一般有密码保护。

生成自签名证书

  1. 生成RAS Key:server.key
    Note: 这个命令生成的是证书的Private Key要保存在安全的地方

$ openssl genrsa -out server.key 2048

如果加-des3参数,会要求输入密码,将来Apache加载了证书启动时候要输入这个密码。

$ openssl genrsa -des3 -out server.key 2048

通过如下命令可以查看

openssl rsa -noout -text -in server.key

  1. 执行以下命令生成自签名证书:server.crt

openssl req -new -x509 -nodes -sha1 -days 365 -key server.key -out server.crt -extensions usr_cert

-days是证书的有效期天数,可以是多年,例如,1825标识5年有效期

执行以上命令会要求输入如下信息,这些信息都会出现在最终生成的证书中,可以在浏览器直接查看。
Note: Comman Name必须跟真实访问的domain name一致

Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:North
Locality Name (eg, city) []:City
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Test Ltd
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:test.com
Email Address []:support@test.com

  1. Apache配置
    需要将如下配置增加的Apache Virtual Host配置里

SSLCertificateFile "/path/to/this/server.crt"
SSLCertificateKeyFile "/path/to/this/server.key"

配置之后可以执行sudo apachectl configtest检查配置是否正确。
通过sudo httpd -S检查Apache Virtual host信息。

客户端SSL鉴权认证

我们通常的https证书一般都是单向认证,即服务端认证。客户端认证可以提供一种对客户端鉴权的能力,只有持有证书的客户端才能访问Apache下的指定资源。
在Apache Virtual Host配置如下信息:
Note:此处SSLCACertificateFile 可以配置客户端的根证书

SSLCACertificateFile "/etc/pki/tls/cert/root.crt"
SSLVerifyClient require
SSLVerifyDepth 10



作者:Tsun424
链接:https://www.jianshu.com/p/9c861b85c75a
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

posted on 2020-01-27 00:22  剩余价值  阅读(1108)  评论(0编辑  收藏  举报

导航