阿里云 CDN HTTPS 最佳实践——客户端证书认证

最新推荐文章于 2024-07-16 09:34:23 发布
最新推荐文章于 2024-07-16 09:34:23 发布
阅读量588 收藏 2
点赞数
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/272484
本文介绍HTTPS客户端证书认证原理及应用场景,特别强调了金融业务的安全需求,并详细解释了Tengine配置客户端证书认证的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

我们在使用 HTTPS 时经常接触到的是服务器证书认证(单向认证),很少用到客户端证书认证(双向认证),这是因为对于 web 网站来说,用户数目广泛,使用服务器证书认证就够了,无需在 SSL 层做用户身份验证,对于需要验证的页面再在应用逻辑层来做用户身份验证(比如常见的账号密码登录),使用客户端证书认证反而影响用户体验。但是对于一些特殊企业客户,在涉及到资金、股票等等金融业务交易时,考虑到其业务的安全性,他们在原有业务可能已经用了客户端证书认证,对于这类客户在接入 CDN 时,必然也要支持客户端证书认证。

简单来说,客户端证书认证就是在单向认证 SSL 握手流程中加入了两个流程:

  1. 服务器发送 Certificate Request 消息,表明本次 SSL 握手需要做客户端证书认证(如下图第3步)。
  2. 客户端收到服务器发送的 Certificate Request 消息后,需要将客户端证书通过 Certificate 消息发送给服务器(如下图第4步)。服务器收到该消息时会对客户端证书做合法性校验,包括:客户端证书是否过期,发行该证书的 CA 是否可信,用其 CA 公钥对该证书的签名做校验是否成功,该证书是否已经被吊销。若其合法性校验成功则继续后面的握手流程,否则服务器会握手失败并中断连接。

https6_1

但是,如果客户端没有发送客户端证书,服务器也会握手成功,这就需要在应用程序中做判断是否有客户端证书,若客户端没有发送则要关闭连接并清除 session 缓存(代码请参考 Tengine 的 ngx_http_process_request 函数)。

实现

Tengine 是很容易配置客户端证书认证的,相关的几个指令如下:

ssl_verify_client        on;   #是否启用客户端证书认证
ssl_verify_depth         1;    #对客户端证书证书链的认证深度
ssl_client_certificate   /opt/tengine/conf/xxx.crt;  #指定用于校验客户端证书的CA证书
大模型——阿里云百炼 MCP 服务评测与 Agent 构建实战
04-20 350
第二个案例相对复杂一些,目标是让 AI 自动抓取指定网页内容,进行总结,并将总结结果连同标签一起保存到Flomo笔记应用中。此案例涉及两个第三方MCPFirecrawl(用于网页抓取)和Flomo(用于笔记记录)。
大模型系列——阿里云百炼 MCP 服务评测与 Agent 构建实战
最新发布
2401_84052244的博客
04-30 118
第二个案例相对复杂一些,目标是让 AI 自动抓取指定网页内容,进行总结,并将总结结果连同标签一起保存到Flomo笔记应用中。此案例涉及两个第三方MCPFirecrawl(用于网页抓取)和Flomo(用于笔记记录)。
Https双向证书申请
思念
11-15 1033
生成服务端证书执行keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650在D盘生成server.jks
购买阿里云服务器数字证书后, 使用openssl命令,编写linux shell脚本,实现自己给 客户快速颁发证书
zx1323的博客
03-21 886
起因:公司项目使用了HTTPS协议,且针对不同地区的分公司需要进行划分,使用数字证书提高安全性阿里云购买的证书:客户用浏览器打开网站,自动有小锁的标志,不会提示不安全给客户颁发的证书:用于区分客户,不同的客户,颁发不同的证书,有密码保护安全系数高(比防火墙好的地方在于,不需要频繁配置防火墙了)以上均为个人拙见。参考:spring boot https双向认证 http://horde.i-dudu...
腾讯云内容分发网络 CDN 产品认证课程笔记(三)——腾讯云CDN操作指引
lime2019的博客
02-01 1060
课程地址:内容分发网络 CDN 产品认证——腾讯云CDN操作指引 腾讯云CDN操作指引1. 腾讯云CDN基本配置1.1 开通腾讯云CDN服务1.2 使用CDN加速业务2. 腾讯云CDN域名管理2.1 CDN域名操作2.2 CDN域名检索3. 腾讯云CDN源站及回源管理3.1 源站配置3.2 中间源配置3.3 Range回源配置3.4 回源跟随301/302配置 1. 腾讯云CDN基本配置 1.1 开通腾讯云CDN服务 腾讯云要求只有进行实名认证才可开通CDN服务。 腾讯云:内容分发网络 CDN 在腾.
腾讯云内容分发网络 CDN 产品认证课程笔记(一)——CDN概述
lime2019的博客
02-01 982
课程地址:内容分发网络 CDN 产品认证——CDN的概述 CDN的基本概念1. CDN的由来2. CDN的原理2.1 内容推送过程2.2 CDN加速的WEB请求过程3. CDN的分类3.1 网页加速3.2 流媒体加速3.3 大文件加速3.4 应用协议加速3.5 主动推送3.6 被动获取4. CDN的应用场景 1. CDN的由来 CDN的全称是Content Delivery NetWork,即内容分发网络。 由上图(用户访问服务器的拓扑图)可知,CDN使用此种拓扑结构,使用户可以就近获得所需内容.
秒懂边缘云 | CDN基础入门:HTTPS配置
Maxineeez的博客
08-05 1592
本章节我们共同学习HTTPS相关功能及配置,如果您的业务有相关访问诉求,可以关注下文的实践指导内容。
关于使用Let's Encrypt开启阿里云服务器HTTPS证书
Supper_Hero的博客
03-27 2152
关于Let’s Encrypt Let’s Encrypt 作为一个公共且免费 SSL 的项目逐渐被广大用户传播和使用,是由 Mozilla、Cisco、Akamai、IdenTrust、EFF 等组织人员发起,主要的目的也是为了推进网站从 HTTP 向 HTTPS 过度的进程,目前已经有越来越多的商家加入和赞助支持。 Let’s Encrypt 免费 SSL 证书的出现,也会对传统提供付费 SS...
阿里云可视化客户端访问程序
08-12
阿里云可视化客户端访问程序是阿里云提供的一款便捷的在线存储服务——对象存储服务(Object Storage Service,简称OSS)的图形化访问工具。这款程序旨在为用户提供了直观、易用的界面,使得用户能够轻松地管理和...
阿里云CDN- https(设计支付宝春节开奖业务)
2302_78067597的博客
07-16 1274
https是安全超文本协议(Hyper Text Transfer Protocol over Secure Socket Layer),安全为目标的HTTP通道(http的升级版),工作原理将http用SSL、TLS协议进行封装分为:1. 建立一种一个信息安全通道 2.确认网站的真实性ssl(Secure Sockets Layer)一个安全套接层,在TCP之上的安全协定,有效帮助internet提升通讯时的资料完整性及安全性;
Https双向认证+加密狗配置教程
01-06
Https双向认证+ET199加密狗配置usb硬件证书认证,如果有其他问题 下载过文档的同学肯定一帮到底!
CXF实现SSL安全验证
01-19
CXF实现SSL安全验证,实现https的WebService
cxf与spring发布WebService
12-15
cxf与spring发布WebService
Cxf跳过Https安全认证
Clare Tung
03-16 5845
自定义类实现:ClientLifeCycleListener public class SkipSecurityAuthenticationListener implements ClientLifeCycleListener { @Override public void clientCreated(Client client) { if (client.getConduit()...
https 单向认证双向认证
茅坤宝骏氹的博客
06-10 3030
转载自   https 单向认证双向认证 一、Http HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。 使用TCP端口为:80 二、Https Hyper Text Transfer Protocol ov...
CDNHTTPS 相关问题及处理思路
weixin_34120274的博客
06-30 1528
相比于 HTTP 协议, HTTPS 加入了 SSL 协议保证传输的可靠性。因此在线上的使用环境中为了避免劫持的情况经常需要使用 HTTPS 协议进行加密传输。而 CDN 同样也提供 HTTPS 协议保证客户端CDN 节点直接的网络具体加密可靠性,但在使用过程中用户经常遇到各类问题导致 HTTPS 访问异常,本文对相关问题及处理思路进行总结,希望对大...
借助腾讯云CDN开启全站https及问题解决分享
qian_xiaoqian的博客
11-02 5817
版权声明:本文由张戈原创文章,转载请注明出处:  文章原文链接:https://www.qcloud.com/community/article/78 来源:腾云阁 https://www.qcloud.com/community 自从百度推荐全站 https 以来,一直就想让博客跟上这个节奏。可惜,国内所有的免费CDN都不支持https。所以要开启https势必要暴露网
HTTPS环境使用第三方CDN证书难题与最佳实践 | 高可用CDN架构详解(二)
weixin_45583158的博客
08-08 419
上一篇《CDN对流媒体和应用分发的支持及优化》发出后得到了业界广泛的关注(点击文末“阅读原文”可进),文章介绍的CDN架构都是基于HTTP的,在目前互联网环境,基于安全的...
CDN 常见问题】CDN HTTPS配置及常见问题
weixin_34236869的博客
03-06 4302
CDN提供了HTTPS的加密传输方式保证在客户端访问CDN的L1节点的链路上对传输数据进行加密避免被恶意查看和篡改。客户通过将自行向证书CA机构申请的SSL证书上传到CDN上,CDN会完成对所有的L1节点的配置同步保证后续所有的L1节点支持HTTPS方式访问。那么在配置CDNHTTPS协议时有哪些是需要特别注意的呢?本文就阐述HTTPS配置需要注意的内容...
阿里云oss跨域 cdn
12-27
### 阿里云 OSS 跨域配置 CDN 解决方案 #### 一、CORS规则设置不当导致跨域请求失败 当遇到阿里云OSSCDN相关的跨域问题时,可能是因为CORS(跨域资源共享)规则未被正确应用。如果 CORS 设置不恰当,则即使设置了允许特定来源的访问权限,在实际操作过程中依旧会遭遇浏览器阻止的情况[^1]。 对于这种情况,建议仔细检查已设定好的 CORS Policy 是否满足需求,并确认其语法结构无误;另外还需注意的是,一旦修改了存储桶上的 CORS 属性之后,该变更可能会有一定延迟才会完全生效,请耐心等待一段时间再尝试重新发起请求。 #### 二、利用时间戳规避静态资源缓存引发的问题 有时尽管已经按照官方文档说明调整好了相应的参数选项,但由于前端页面加载了带有旧版本号或其他唯一标识符作为查询字符串附加到URL末端的图片等多媒体素材,这使得这些对象仍然受到本地缓存机制的影响而无法正常显示新上传的内容。针对此类情形,可以在每次获取数据前动态追加一个独一无二的时间戳来强制刷新目标文件,从而有效避开因缓存所造成的干扰现象[^3]。 ```javascript // JavaScript 实现方式 function getImageUrlWithTimestamp(url){ let timestamp = new Date().getTime(); return `${url}?t=${timestamp}`; } console.log(getImageUrlWithTimestamp('http://example.com/image.png')); ``` #### 三、确保CDN回源配置指向正确的OSS外网域名 在完成上述两项优化措施的基础上,还需要特别留意一点——即用于分发加速服务中的“回源Host”。具体来说就是指当客户端向边缘节点发出HTTP GET 请求后,后者又代表前者去向上游服务器索取所需资料之前所使用的主机名部分。因此务必要保证此处填写的信息准确无误地对应着先前创建成功的Object Storage Service实例之外部可访问地址,以免造成不必要的麻烦[^2]。 综上所述,要成功解决阿里云OSS同Content Delivery Network之间存在的Cross-Origin Resource Sharing难题,就需要综合考虑以上三个方面因素并采取相应对策加以应对。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值