客户端证书认证的实现

最新推荐文章于 2023-03-15 00:03:28 发布
最新推荐文章于 2023-03-15 00:03:28 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: Java 文章标签: EXT JBoss Apache 应用服务器 Servlet

有时候我们可能需要限定特定的用户进行访问,且用户需要使用数字证书进行访问,这也就是所谓的客户端证书认证。

 

其实做客户端认证并不是很难,首先你需要一个CA证书,一般情况下你可以使用一个自签名的证书用作CA证书,然后通过这个CA证书给别人的证书请求文件进行签名,然后客户端可以将自己的证书和私钥转成PFX格式的证书进行安装。下面还是主要介绍下服务器端实现的原理吧。

 

那么一个WEB应用如果需要开启客户端证书认证的话,就需要添加一些配置。

这里以Apache和Java举例。

 

Listen 8443
<VirtualHost _default_:8443>
    JkMountCopy On
    SSLEngine on
    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
    SSLCertificateFile conf_ext/server.crt
    SSLCertificateKeyFile conf_ext/server.key
    SSLCACertificateFile conf_ext/intranet-ca.cer
    SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
    SSLVerifyClient require
    SSLVerifyDepth  10
    SSLOptions +StdEnvVars
    RequestHeader unset SSL_CLIENT_S_DN_Email                                                             
    RequestHeader add SSL_CLIENT_S_DN_Email %{SSL_CLIENT_S_DN_Email}e
</VirtualHost>
 

这里是配置,将SSLVerifyClient设为require,并设置好CA证书,

这里除了使用ssl_mod外还使用了headers_mod这个模块,主要是为了将证书中的email添加到http的请求的头中。

RequestHeader unset SSL_CLIENT_S_DN_Email

这句主要是为了防止客户端自己将Email设置到http header中,所以这里做了一次清除工作之后再将认证通过的客户端证书通过

RequestHeader add SSL_CLIENT_S_DN_Email %{SSL_CLIENT_S_DN_Email}e

将dn的email设置进去。

 

之后比如Apache将请求转发给Jboss之类的Servlet容器后,

我们可以通过Java代码获得这个email。

String email = ((HttpServletRequest)request).getHeader("SSL_CLIENT_S_DN_Email");

 至于之后你通过这个信息去做用户的认证以及登录就很简单了。

拓展 - 正向实现客户端证书认证
dafan0的博客
05-18 663
如果第三方模块被混淆,那hook方式均不能生效。这时就需要根据系统包去定位校验的函数,因此需要对安卓开发者是如何实现客户端证书校验的有一定了解,接下来就介绍这部分内容。开发者实现客户端证书校验的本质是:证书/密钥 + 代码。在形式上有:公钥校验、证书校验和Host(主机)校验。
【接口认证】自颁发SSL 客户端证书认证
m0_58660606的博客
06-18 765
自颁发SSL 客户端证书
基于客户端(浏览器)证书身份认证的方法
quwei7515的专栏
08-31 1万+
1、介绍 通过证书验证用户身份(浏览器),其核心是利用cookie实现http和https的信息共享(同域名)。如http://test.abc.com/app/index.html 发现未验证后,跳转到https://test.abc.com:443/app/checkCrt.html身份验证,要求出去证书,确认后将身份信息带入http请求头部,跳转到原请求页面(http://test.a
客户端证书认证请求实操
weixin_30655219的博客
07-14 725
问题1:什么叫做客户端证书认证? 答案:通过客户端证书(服务端分发的私人证书或者是通过第三方认证证书)+账号密码进行身份认证的行为。 问题2:为什么有客户端证书这么个东西? 答案:如何加强服务器的用户身份验证系统?一个方法是通过服务端证书认证,就是通过https进行访问。另一个方法是客户端证书认证。通过暴力破解的方式任然可以获取到用户密码,尽管有强密码策略,仅仅只是依靠密码还是不太...
如何设置客户端证书
weixin_34217773的博客
05-17 315
目标 本章的目标是: • 获取并安装客户端证书。 • 创建一个需要客户端证书的 ASP.NET Web 应用程序。 适用范围 本章适用于以下产品和技术: • Microsoft® Windows® XP 或 Windows 2000 Server (Service Pack 3) 以及更高版本的操作系统 ...
客户端用https连接服务器的一点心得
清风
06-27 1715
客户端用https连接服务器的一点心得    项目需要用https与服务器进行连接,获取系统需要的一些配置参数。以前是用http进行连接的,客户端代码比较简单,直接使用URL类进行连接并获取输入流即可。试着在浏览器中输入相应的https连接地址,提示证书确认,确认以后就访问到内容了。    改成https以后碰到了一些问题。原以为Java可能已经封装好了,所以把直接把原来的http连接改成h...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书、服务器证书客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA(证书颁发机构)证书。CA证书是信任的根,用于签署其他证书,确保网络...
物联网开发_Laravel框架_MQTT协议_基于PHP的MQTT客户端库_实现与MQTT代理服务器的连接发布订阅功能_支持用户名密码认证客户端证书认证_提供端到端加密保护_包含调试模式设置.zip
最新发布
05-12
物联网开发_Laravel框架_MQTT协议_基于PHP的MQTT客户端库_实现与MQTT代理服务器的连接发布订阅功能_支持用户名密码认证客户端证书认证_提供端到端加密保护_包含调试模式设置.zip是一个为物联网开发提供强大支持的...
nginx篇08-添加客户端证书认证
tinychen
03-01 3340
本文主要介绍如何使用给nginx服务添加客户端证书认证从而实现双向加密。 对于一般的https网站来说,实际上https所使用的证书是属于单向验证,即客户端单向验证服务器的安全性,而服务器端是没有对客户端的身份进行验证的。关于https的原理,可以查看这篇文章:《SSL/TLS、对称加密和非对称加密和TLSv1.3》 如果自己部署了一些安全性较高的网站不希望被其他人随意访问,就可以尝试部署https的双向认证,对客户端也添加证书认证。本文将会使用openssl自签证书来完成最简单的一个https双向认证
软件产品license的简单实现java
black_dawn的博客
03-15 1万+
软件产品License权限控制简单实现
客户端认证https服务端证书过程详解——证书
热门推荐
huzhenv5的博客
02-29 1万+
文章目录基本概念证书CASigning & Verification证书链实例CA组织end-user certificates & intermediates certificatesroot certificates其他 基本概念 证书 首先,我们看看在wikipedia上对证书的定义,In cryptography, a public key certificate (als...
HTTPS工作原理
weixin_34072637的博客
12-27 159
HTTPS是什么 HTTPS全称为Hypertext Transfer Protocol over Secure Socket Layer,及以安全为目标的HTTP通道,简单说就是HTTP的安全版本。 HTTPS其实是由两部分组成的:HTTP+TLS/SSL,即HTTP下加入TLS/SSL层,HTTPS的安全基础就是TLS/SSL。服务端和客户端的信息传输都会通过TLS/SSL进行加密,所以传...
证书认证
Anonymous_999的博客
03-31 1920
证书认证 证书认证是指客户端和服务器端之间的认证。主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性。 证书包括一个公钥和一个私钥。公钥用于加密信息,私钥解译加密的信息。公钥公之于众,谁都可以使用,私钥只有自己知道。 单向认证客户端发起建立HTTPS连接请求,将SSL协议版本的信息发送给服务器端; 服务器端将本机的公钥证书(server.crt)发送给客户端客户端使用<CA公钥>对公钥证书的数字签名进行验证验证通.
使用 curl 进行 ssl 认证
weixin_34337381的博客
05-12 2245
目录 SSL 认证 认证实现 问题解决 curl不支持 https SSL certificate problem, verify that the CA cert is OK curl: (60) SSL certificate : unable to get l...
关于CA证书验证的理解(keytool工具、Tomcat实现测试)
qq_44872950的博客
10-16 3561
关于CA证书验证结合shiro登录的总结笔记背景一、关于CA认证(一)什么是HTTPS?(二)Https的工作原理利用tomcat服务器配置https双向认证第一步:为服务器生成证书第二步:为客户端生成证书第三步:让服务器信任客户端证书第四步:让客户端信任服务器证书第五步:配置Tomcat 服务器第六步:测试删除证书指纹二、关于shiro的理解几个类的理解如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的
java 验证客户端证书_用于身份验证Apache客户端证书
weixin_39726267的博客
02-16 430
我想通过API使用PHP / MySQL通过两个身份验证因素公开服务 . 一个因素是简单的用户名和密码 . 对于另一个因素,我试图使用相互TLS,其中客户端证书与用户名匹配 . 我打算使用来自我在使用Apache的CentOS机器上设置的CA的自签名证书,并通过安全通道和私钥向客户颁发客户端证书 .我找到了一些关于如何使用SSL证书设置用户身份验证的体面文章 . 我到目前为止找到的最好的是下面 ....
客户端认证服务端证书的过程
zxr的博客
03-30 1万+
https://www.cnblogs.com/zfxJava/p/5295957.html ### 消息-->[公钥]-->加密后的信息-->[私钥]-->消息 ### 加密:防窃听(私钥)(对签名加密,形成数字签名)(古典加密主要以保护算法为主,现代加密主要以保护密钥为主) 签名:防篡改(hash签名,并附加上原文一起发送)(权威机构给证书卡的一个章,即签名...
HTTPS 客户端验证 服务端证书流程
weixin_34295316的博客
12-19 1429
网上的文章很多, 但是对摘要的验证流程不够通俗易懂。 QQ截图20160420114804.png 证书预置和申请 1:客户端浏览器会预置根证书, 里面包含CA公钥2:服务器去CA申请一个证书3: CA用自己的签名去签一个证书,指纹信息保存在证书的数字摘要里面, 然后发送给服务器 一次访问流程(简化) 1: 客户端 sayHello2: 服务器返回证书3-1: 客户端验证证书内容有效性(...
客户端证书验证
vvitamin的专栏
02-25 265
前段时间发现我们线上有台老服务器被入侵了,查看系统日志发现是通过密码扫描的方式暴力破解的,进一步检查发现是因为这台机器依旧开着密码登陆.然后把密码登陆关掉了.其他服务器的配置都是关闭着的.所以没有这个问题.后来发现办公室的开发机被人入侵并且植入了数据监控服务.清理之后发现是因为某位同学把开发机的端口映射到外网了.并且打开了密码验证的登陆方式.现在所有的线上以及线下的机器都关闭了这种方式. 另...
客户端证书认证新技术及系统实现方案
这部分涉及客户端证书认证在服务器和客户端设备上的实现,以及整个系统层面的配置和集成。 1. **服务器端配置**:服务器需要配置支持SSL/TLS以及客户端证书验证的软件,比如Web服务器(如Apache、Nginx)和应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值