客戶端如何驗(yàn)證HTTPS服務(wù)端證書信息

通過一個(gè)例子說(shuō)明客戶端如何驗(yàn)證HTTPS服務(wù)端的證書信息仁烹。
類型瀏覽器如何驗(yàn)證WEB服務(wù)器的證書信息贡珊。

生成服務(wù)器端證書零院,以及CA證書

# generate ca certificate
$ openssl genrsa -out ca-key.pem 2048
$ openssl req -new -x509 -days 365 -key ca-key.pem -out ca-cert.pem -subj "/CN=ca"

# generate server certificate
$ openssl genrsa -out server-key.pem 2048
$ openssl req -new -key server-key.pem -out server-csr.pem -subj "/CN=localhost"
$ openssl x509 -req -days 3650 -in server-csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

生成服務(wù)端證書server-cert.pem登下,(注意證書的common name是localhost)引润,這個(gè)證書是通過CA證書ca-cert.pem簽名的崖媚。

服務(wù)器端代碼

$ cat server.go 
package main

import (
    "fmt"
    "log"
    "flag"
    "net/http"
    "crypto/tls"
    "encoding/json"
    "github.com/gorilla/mux"
)

var (
    port       int
    hostname   string 
    keyfile    string
    signcert   string
)

func init() {
    flag.IntVar(&port,          "port",     8080,       "The host port on which the REST server will listen")
    flag.StringVar(&hostname,   "hostname", "0.0.0.0",  "The host name on which the REST server will listen")
    flag.StringVar(&keyfile,    "key",      "",         "Path to file containing PEM-encoded key file for service")
    flag.StringVar(&signcert,   "signcert", "",         "Path to file containing PEM-encoded sign certificate for service")
}

func startHTTPSServer(address string, keyfile string, signcert string, router *mux.Router) {
    s := &http.Server{
            Addr:    address,
            Handler: router,
            TLSConfig: &tls.Config{
                MinVersion: tls.VersionTLS12,
            },
    }
    err := s.ListenAndServeTLS(signcert, keyfile)
    if err != nil {
        log.Fatalln("ListenAndServeTLS err:", err)
    }
}


func SayHello(w http.ResponseWriter, r *http.Request) {
    log.Println("Entry SayHello")
    res := map[string]string {"hello": "world"}

    b, err := json.Marshal(res)
    if err == nil {
        w.WriteHeader(http.StatusOK)
        w.Header().Set("Content-Type", "application/json")
        w.Write(b)
    }

    log.Println("Exit SayHello")
}

func main() {
    flag.Parse()

    router := mux.NewRouter().StrictSlash(true)
    router.HandleFunc("/service/hello", SayHello).Methods("GET")

    var address = fmt.Sprintf("%s:%d", hostname, port)
    fmt.Println("Server listen on", address)
    startHTTPSServer(address, keyfile, signcert, router)
    
    fmt.Println("Exit main")
}

編譯運(yùn)行

$ go build
$ ./server -port 8080 -signcert ./server-cert.pem -key ./server-key.pem

運(yùn)行服務(wù)器在端口8080菱皆,這個(gè)服務(wù)器提供驗(yàn)證的證書是server-cert.pem,客戶端(瀏覽器將驗(yàn)證這個(gè)證書的有效性)劲腿。

客戶端代碼

$ cat client.js 
fs = require('fs');
https = require('https');

options = {
    hostname: 'localhost',
    port    : 8080,
    path    : '/service/hello',
    method  : 'GET',
    ca      : fs.readFileSync('ca-cert.pem')
};

req = https.request(options, (res) => {
    console.log('statusCode:', res.statusCode);
    console.log('headers:', res.headers);

    res.on('data', (d) => {
        process.stdout.write(d);
    });
});

req.on('error', (e) => {
  console.error(e);
});

req.end();

運(yùn)行

$ node client.js 
{"hello":"world"}

完整的訪問地址格式就是 https://localhost:8080/service/hello
這里客戶端必須提供CA證書ca-cert.pem旭绒,用他來(lái)驗(yàn)證服務(wù)端的證書server-cert.pem是有效的。

另外這里客戶端訪問的地址是localhost焦人,這個(gè)值和服務(wù)器證書server-cert.pem的common name域是一樣的挥吵,否則驗(yàn)證就會(huì)失敗。

例如花椭,我們修改客戶端請(qǐng)求中hostname值真實(shí)到機(jī)器名(假定機(jī)器名為saturn)忽匈。

options = {
    hostname: 'saturn',
    port    : 8080,
    path    : '/service/hello',
    method  : 'GET',
    ca      : fs.readFileSync('ca-cert.pem')
};

再運(yùn)行(https://saturn:8080/service/hello),會(huì)得到如下錯(cuò)誤:

$ node client.js 
{ Error: Hostname/IP doesn't match certificate's altnames: "Host: saturn. is not cert's CN: localhost"
    at Object.checkServerIdentity (tls.js:199:17)
    at TLSSocket.<anonymous> (_tls_wrap.js:1098:29)
    at emitNone (events.js:86:13)
    at TLSSocket.emit (events.js:185:7)
    at TLSSocket._finishInit (_tls_wrap.js:610:8)
    at TLSWrap.ssl.onhandshakedone (_tls_wrap.js:440:38)

這說(shuō)明client使用URL的主機(jī)名和證書的Common Name域進(jìn)行比較矿辽,作為證書是否有效的一個(gè)證據(jù)丹允。

另外Common Name可以是一個(gè)短名(saturn)郭厌,也可以長(zhǎng)域名(saturn.yourcomp.com.cn),但不管短名還是長(zhǎng)名都必須是URL請(qǐng)求中的主機(jī)名一樣雕蔽。即

SAN證書

SAN是另一種解決證書和URL主機(jī)名匹配的辦法萎羔。
SAN = subjectAltName = Subject Alternative Name

具體用法步驟:

修改openssl.cnf

[ req ]
req_extensions = v3_req

[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = saturn
DNS.2 = saturn.yourcomp.com.cn

生成證書

# generate ca certificate
openssl genrsa -out ca-key.pem 2048
openssl req -new -x509 -days 365 -key ca-key.pem -out ca-cert.pem -subj "/CN=ca"

# generate server certificate
openssl genrsa -out server-key.pem 2048
openssl req -new -key server-key.pem -out server-csr.pem -subj "/CN=localhost"
openssl x509 -req -days 3650 -in server-csr.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extensions v3_req -extfile openssl.cnf

對(duì)比和前面不使用SAN的差別液走。其實(shí)就是在使用CA根證書對(duì)服務(wù)器證書簽名的時(shí)候,指定extensions屬性贾陷。

運(yùn)行客戶端

options = {
    hostname: 'localhost',
    port    : 8080,
    path    : '/service/hello',
    method  : 'GET',
    ca      : fs.readFileSync('ca-cert.pem')
};

$ node client.js
{ Error: Hostname/IP doesn't match certificate's altnames: "Host: localhost. is not in the cert's altnames: DNS:saturn"

看到了嗎缘眶?localhost已經(jīng)驗(yàn)證不過了,盡管他在common name的值沒有變化髓废,但是由于使用了SAN巷懈,證書驗(yàn)證的時(shí)候就使用SAN的值,而忽略common name的值慌洪。

使用客戶端saturn

options = {
    hostname: 'saturn',
    port    : 8080,
    path    : '/service/hello',
    method  : 'GET',
    ca      : fs.readFileSync('ca-cert.pem')
};

$ node client.js 
{"hello":"world"}

使用saturn就通過了顶燕。當(dāng)然使用saturn.yourcomp.com.cn也能通過。

總結(jié)

客戶端驗(yàn)證服務(wù)端證書分兩種情況:

  1. 不使用SAN冈爹,那么驗(yàn)證證書的common name和URL的主機(jī)名一致涌攻。
    主機(jī)名是否是common name中的一個(gè)。
  2. 使用SAN频伤,那么驗(yàn)證證書的SAN值和URL的主機(jī)名一致恳谎。
    主機(jī)名是否就是SAN值中的一個(gè)。
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末憋肖,一起剝皮案震驚了整個(gè)濱河市因痛,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌岸更,老刑警劉巖鸵膏,帶你破解...
    沈念sama閱讀 212,718評(píng)論 6 492
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異怎炊,居然都是意外死亡谭企,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,683評(píng)論 3 385
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門评肆,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)债查,“玉大人,你說(shuō)我怎么就攤上這事糟港。” “怎么了院仿?”我有些...
    開封第一講書人閱讀 158,207評(píng)論 0 348
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵秸抚,是天一觀的道長(zhǎng)速和。 經(jīng)常有香客問我,道長(zhǎng)剥汤,這世上最難降的妖魔是什么颠放? 我笑而不...
    開封第一講書人閱讀 56,755評(píng)論 1 284
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮吭敢,結(jié)果婚禮上碰凶,老公的妹妹穿的比我還像新娘。我一直安慰自己鹿驼,他們只是感情好欲低,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,862評(píng)論 6 386
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著畜晰,像睡著了一般砾莱。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上凄鼻,一...
    開封第一講書人閱讀 50,050評(píng)論 1 291
  • 城市分裂傳說(shuō)
    那天腊瑟,我揣著相機(jī)與錄音,去河邊找鬼块蚌。 笑死闰非,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的峭范。 我是一名探鬼主播财松,決...
    沈念sama閱讀 39,136評(píng)論 3 410
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼虎敦!你這毒婦竟也來(lái)了游岳?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 37,882評(píng)論 0 268
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤其徙,失蹤者是張志新(化名)和其女友劉穎胚迫,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體唾那,經(jīng)...
    沈念sama閱讀 44,330評(píng)論 1 303
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡访锻,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,651評(píng)論 2 327
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了闹获。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片期犬。...
    茶點(diǎn)故事閱讀 38,789評(píng)論 1 341
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖避诽,靈堂內(nèi)的尸體忽然破棺而出龟虎,到底是詐尸還是另有隱情,我是刑警寧澤沙庐,帶...
    沈念sama閱讀 34,477評(píng)論 4 333
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布鲤妥,位于F島的核電站佳吞,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏棉安。R本人自食惡果不足惜底扳,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 40,135評(píng)論 3 317
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望贡耽。 院中可真熱鬧衷模,春花似錦、人聲如沸蒲赂。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,864評(píng)論 0 21
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)凳宙。三九已至熙揍,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間氏涩,已是汗流浹背届囚。 一陣腳步聲響...
    開封第一講書人閱讀 32,099評(píng)論 1 267
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留是尖,地道東北人意系。 一個(gè)月前我還...
    沈念sama閱讀 46,598評(píng)論 2 362
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長(zhǎng)得像饺汹,于是被迫代替她去往敵國(guó)和親蛔添。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,697評(píng)論 2 351

推薦閱讀更多精彩內(nèi)容