开发者社区> EdgePlus> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

阿里云 CDN HTTPS 最佳实践——客户端证书认证

简介: 阿里云CDN HTTPS最佳实践系列文章,由CDN高防技术专家金九撰写
+关注继续查看

背景

我们在使用 HTTPS 时经常接触到的是服务器证书认证(单向认证),很少用到客户端证书认证(双向认证),这是因为对于 web 网站来说,用户数目广泛,使用服务器证书认证就够了,无需在 SSL 层做用户身份验证,对于需要验证的页面再在应用逻辑层来做用户身份验证(比如常见的账号密码登录),使用客户端证书认证反而影响用户体验。但是对于一些特殊企业客户,在涉及到资金、股票等等金融业务交易时,考虑到其业务的安全性,他们在原有业务可能已经用了客户端证书认证,对于这类客户在接入 CDN 时,必然也要支持客户端证书认证。

简单来说,客户端证书认证就是在单向认证 SSL 握手流程中加入了两个流程:

  1. 服务器发送 Certificate Request 消息,表明本次 SSL 握手需要做客户端证书认证(如下图第3步)。
  2. 客户端收到服务器发送的 Certificate Request 消息后,需要将客户端证书通过 Certificate 消息发送给服务器(如下图第4步)。服务器收到该消息时会对客户端证书做合法性校验,包括:客户端证书是否过期,发行该证书的 CA 是否可信,用其 CA 公钥对该证书的签名做校验是否成功,该证书是否已经被吊销。若其合法性校验成功则继续后面的握手流程,否则服务器会握手失败并中断连接。

https6_1

但是,如果客户端没有发送客户端证书,服务器也会握手成功,这就需要在应用程序中做判断是否有客户端证书,若客户端没有发送则要关闭连接并清除 session 缓存(代码请参考 Tengine 的 ngx_http_process_request 函数)。

实现

Tengine 是很容易配置客户端证书认证的,相关的几个指令如下:

ssl_verify_client        on;   #是否启用客户端证书认证
ssl_verify_depth         1;    #对客户端证书证书链的认证深度
ssl_client_certificate   /opt/tengine/conf/xxx.crt;  #指定用于校验客户端证书的CA证书

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
基于阿里云直播实现视频推流(ffmpeg)/拉流(Django2.0)以及在线视频直播播放(支持http/https)功能
由于5g网络的光速推广,视频业务又被推上了风口浪尖,在2019年初我们还在谈论照片,短视频等关键字,而进入2020年,我们津津乐道的就只有视频,视频,还是视频,普通人拿起手机做直播早已不是奢望。
0 0
【已解决】阿里云负载均衡配置后,健康检查异常(https访问502)
阿里云负载均衡配置后,健康检查异常(https访问502)
0 0
阿里云云计算ACP实验考试之使用负载均衡实现https与http的混合访问(下)
阿里云云计算ACP实验考试之使用负载均衡实现https与http的混合访问(下)
0 0
阿里云云计算ACP实验考试之使用负载均衡实现https与http的混合访问(上)
阿里云云计算ACP实验考试之使用负载均衡实现https与http的混合访问(上)
0 0
Docker搭建Let's Encrypt并连接阿里云自动签发https证书
Docker搭建Let's Encrypt并连接阿里云自动签发https证书
0 0
阿里云https认证
阿里云https认证
0 0
基于阿里云CDN配置https协议教程
如今,https访问已经是不可置疑的大势所趋,阿里云很多产品都可以配置https访问,如果我们已经购买了阿里云虚拟主机、CDN以及ECS云服务器产品,可以参考以下步骤配置https访问。
0 0
小程序/网站是怎么实现HTTPS协议?阿里云SSL证书2年仅需567元
  小程序/网站是怎么实现HTTPS协议?阿里云SSL证书2年仅需567元   在如今互联网信息时代,小程序的火爆大家有目共睹,企业与开发者们纷纷开展自己的业务,但是开发有必须前提,为了保护小程序应用安全,必须要安装ssl证书,通过HTTPS请求进行网络通信。
1062 0
阿里云CDN不止于加速:基于https国密算法构建安全数据传输链路
5月20日,阿里云政企安全加速解决方案正式发布。在发布会中,阿里云技术专家林胜恩从HTTPS的技术概述,国密算法的标准内容以及国密算法在阿里云CDN上的应用情况三个方面,来介绍了阿里云CDN在安全方面的重要实践。
0 0
+关注
EdgePlus
阿里云产品运营,专注边缘计算和视频云产品与技术传播
文章
问答
来源圈子
更多
+ 订阅
相关文档: 边缘节点服务 ENS
文章排行榜
最热
最新
相关电子书
更多
阿里云存储产品手册
立即下载
阿里云AI产品必知必会系列电子书
立即下载
阿里云云原生 Serverless 案例集
立即下载