NGINX之HTTPS双向认证

前言

大部分HTTPS的站点都只是单向认证，即只有客户端校验服务端。那么一种更安全的做法则是双向认证，即客户端服务端互相验证。
网上介绍https双向认证原理的帖子很多，就不做赘述！

重要

是否需要双向认证是服务端决定的

双向认证的客户端证书和服务端ssl证书没有关系

自签CA

首先ssl证书是受CA信任的三方机构颁发，并预装到主流浏览器中的，网站拥有合法的ssl证书可以规避浏览器的不安全警告，数据传输更安全。

但这里我们只探讨器原理，所以不去纠结ssl证书是否合法

创建根证书私钥：

openssl genrsa -out root.key 1024

创建根证书请求文件：

openssl req -new -out root.csr -key root.key

这里会让你填一些东西，随便填就行，我举个例子：
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:sc
Locality Name (eg, city) [Default City]:cd
Organization Name (eg, company) [Default Company Ltd]:phaoer
Organizational Unit Name (eg, section) []:phaoer
Common Name (eg, your name or your servers hostname) []:root
Email Address []:
A challenge password []:
An optional company name []:

注意：在生成服务端和客户端请求文件的时候也会要求填写这些信息，Common Name填写域名即可

创建根证书（有效期10年）：

openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650

服务端证书

如果你的网站目前已经拥有合法的ssl证书，略过这一步即可。

生成服务端证书私钥：

openssl genrsa -out server.key 1024

生成服务端证书请求文件：

openssl req -new -out server.csr -key server.key 

生成服务端公钥证书：

openssl x509 -req -in server.csr -out server.crt -signkey server.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

客户端证书

生成客户端证书私钥：

openssl genrsa -out client.key 1024

生成客户端证书请求文件（各个参数需要和server相同）：

openssl req -new -out client.csr -key client.key

生成客户端公钥证书：

openssl x509 -req -in client.csr -out client.crt -signkey client.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

nginx配置

    ......
    ssl_certificate /你的证书路径/server.crt;
    ssl_certificate_key /你的证书路径/server.key;
    ssl_client_certificate /你的证书路径/root.crt;
    ssl_verify_client on;
    ......

客户端证书提供给终端使用

浏览器

生成一个p12文件供终端安装

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

curl

curl双向认证请求需要将客户端证书和私钥转换成pem格式

crt转pem

openssl x509 -in client.crt -out client.der -outform der
openssl x509 -in client.der -inform der -outform pem -out client.pem

key转pem

openssl rsa -in client.key -out client.der -outform DER
openssl rsa -inform DER -outform PEM -in client.der -out clientkey.pem

curl请求

    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
    curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);

    curl_setopt($ch, CURLOPT_SSLCERTTYPE, 'PEM');
    curl_setopt($ch, CURLOPT_SSLCERT, getcwd().'/你的目录/client.pem');

    curl_setopt($ch, CURLOPT_SSLKEYTYPE, 'PEM');
    curl_setopt($ch, CURLOPT_SSLKEY, getcwd().'/你的目录/clientkey.pem');

    $data = curl_exec($ch);
    // var_dump($data);
    curl_close($ch);