作者简介:
四拾一,个推高级开发工程师,精通 Java、Go 语言,全栈践行者,对于数据安全、密码学有较深刻的了解与实际。
01
写在后面
近期某我的项目有一个业务拓展的需要,须要将我的项目中单机房部署的模块扩大成异地多机房部署。原先我的项目的模块都部署在自建的机房 A,有防火墙等相干安全策略的爱护,绝对比拟平安,但当初网络逾越了两个公网通信的机房,该如何保障传输平安和访问控制呢?
HTTPS 能够对服务器进行身份认证,同时也能够保证数据流量传输的平安,防止中间人攻打,但这并不能满足咱们拜访权限管制的要求(咱们的服务并不心愿任何人都能拜访)。
解决以上问题有两种思路,一种是在应用层对模块进行革新,使其反对拜访权限管制;另外一种则是双向 HTTPS,基于双向 HTTPS 的个性来实现。出于是否能疾速实现与老本思考,咱们最终抉择了双向 HTTPS 来实现这一需要。
上面咱们对如何实现这个需要与双向 HTTPS 的原理做一个简要介绍,心愿给遇到相似问题的开发者提供一个思路供参考。
02
HTTPS & 双向 HTTPS
HTTPS
HTTPS 全称为 HyperText Transfer Protocol Secure,在 HTTP 的根底上,集成了 TLS/SSL 传输层协定,以提供对网站服务器的身份认证,爱护替换数据的隐衷与完整性。
双向 HTTPS
双向 HTTPS 在单向 HTTPS 认证的根底上,减少了服务端对客户端身份认证的步骤,在进行通信前相互验证对方身份,减少了网络的安全性。
03
计划思考
网络环境介绍
服务端与客户端原先在同一机房内,只应用了 HTTP 协定来做数据传输。
咱们的指标计划则是保障跨域公网的两个模块可能相互通信,并在此基础上确保输过程的安全性与权限管制。
解决思路
- 为服务端减少 Nginx 做反向 HTTPS 代理
此时客户端拜访服务端的流量采纳了 HTTPS 协定,保障了数据流量的平安,但裸露在公网上的服务端仍然有被其他人拜访的危险
- 在 1 的根底上为客户端减少 Nginx 做正向代理,将单向 HTTPS 降级为双向 HTTPS
双向 HTTPS 在单向 HTTPS 的根底上,多了服务端校验客户端证书的步骤。若服务端校验客户端证书失败,则在 HTTPS 握手阶段服务端就将其回绝。这样,就肯定水平上实现了服务端的拜访权限管制。
波及新增批改的内容
- 新增代理层
代理层包含客户端和服务端的两个代理服务器,此处选用 Nginx
- 新增一个 CA 核心
新增的 CA 核心次要用于为客户端颁发证书(服务端的 HTTPS 证书将选用商用 CA 证书)
配置双向 HTTPS 的整体投入的整体投入和为模块开发权限性能比起来,此计划的实现相对来说更简略也更快捷。
环境搭建验证
此处将应用 openssl 与 docker,在本地搭建一套计划中的模仿环境来验证计划的可行性。
证书生成
证书构造
计划所需的证书构造如下:
• 生成证书
`# 生成私钥
openssl genrsa -out ca.key 4096
生成自签名根证书
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt`
• 生成服务端用证书
`
生成私钥
openssl genrsa -out server.key 4096
生成 CSR 证书申请
openssl req -new -key server.key -out server.csr
应用 CA1 根证书签发证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650`
• 生成客户端证书的过程同生成服务端的过程雷同,更换相应名称即可
配置服务端 Nginx
• 配置并启动
批改服务端 Nginx 配置文件并启动,具体要害配置如下:
•服务端 Nginx 启动
`docker run \
--name nginx_server \
# 指定映射的端口
-p 30443:30443 \
-d \
#将相应的证书和配置文件挂载入容器
-v /Users/zhangchenyu/Documents/temp/nginx_test2/server/conf/nginx.conf:/etc/nginx/nginx.conf:ro \
-v /Users/zhangchenyu/Documents/temp/nginx_test2/server/conf/index.html:/etc/nginx/html/index.html:ro \
-v /Users/zhangchenyu/Documents/temp/nginx_test2/ca1:/etc/nginx/ca1:ro \
-v /Users/zhangchenyu/Documents/temp/nginx_test2/ca2:/etc/nginx/ca2:ro \
nginx`
应用 curl 命令查看 Nginx 是否曾经启用双向认证
证书注册时应用了域名,将注册时的相干域名增加到 /etc/hosts,否则应用本地 ip 无法访问。
• 间接拜访
`
curl \
# 指定服务端证书的 CA 证书
--cacert ../ca1/ca.crt \
https://test.server:30443`
服务端返回的后果提醒:要求的证书未发送。
• 指定客户端发送证书
`
curl \
# 指定服务端证书的 CA 证书
--cacert ../ca1/ca.crt \
# 指定客户端证书
--cert client.crt \
# 指定客户端私钥
--key ./client.key \
# 指定 tls 协定版本
--tlsv1.2 \
https://test.server:30443`
• 调用后果:
当咱们看到服务端返回了相应的页面,阐明服务端曾经开始应用双向 HTTPS,对接管到的申请不再全副承受,而是在 HTTPS 握手阶段要求客户端发送客户端证书进行校验,校验通过的申请才进行解决。
配置客户端 Nginx 的正向代理
配置并启动
•客户端 Nginx 配置见下
留神:docker 容器内的 Nginx 在配置转发地址,指定的 IP 端口须要为容器外部 IP 端口。
• 客户端 Nginx 启动
`
docker run \
--name nginx_server \
# 指定映射的端口
-p 30443:30443 \
-d \
#将相应的证书和配置文件挂载入容器
-v /Users/zhangchenyu/Documents/temp/nginx_test2/server/conf/nginx.conf:/etc/nginx/nginx.conf:ro \
-v /Users/zhangchenyu/Documents/temp/nginx_test2/server/conf/index.html:/etc/nginx/html/index.html:ro \
-v /Users/zhangchenyu/Documents/temp/nginx_test2/ca1:/etc/nginx/ca1:ro \
-v /Users/zhangchenyu/Documents/temp/nginx_test2/ca2:/etc/nginx/ca2:ro \
nginx`
应用 curl 命令查看 Nginx 是否曾经启用双向认证
证书注册时应用了域名,将注册时的相干域名增加到 /etc/hosts,否则应用本地 ip 无法访问。
• 间接拜访
`
curl \
# 指定服务端证书的 CA 证书
--cacert ../ca1/ca.crt \
https://test.server:30443`
服务端返回的后果提醒:要求的证书未发送。
• 指定客户端发送证书
`
curl \
# 指定服务端证书的 CA 证书
--cacert ../ca1/ca.crt \
# 指定客户端证书
--cert client.crt \
# 指定客户端私钥
--key ./client.key \
# 指定 tls 协定版本
--tlsv1.2 \
https://test.server:30443`
• 调用后果:
显然,客户端应用 HTTP 就拜访到了终端服务。通过以上步骤咱们能够看到 Nginx 的两次代理,曾经齐全实现了本次需要。同时,咱们发现通过 Nginx 配置的批改即可实现接口权限的管制,且保障网络传输的平安。
抓包剖析
最初,实现了配置也别忘了总结剖析哦。咱们对双向 HTTPS 的握手和交互的过程进行抓包,抓包的同时简要剖析单双向 HTTPS 的差别,并对双向 HTTPS 实现权限的管制过程予以理解。
• 单向 HTTPS 流量剖析
随便拜访一个 HTTPS 网站,并抓包。具体内容见下图:
- 客户端向服务端发送 Client Hello,其中蕴含一个随机数 A、反对的 TLS 版本、反对的加密套件等
- 服务器响应给客户端一个随机数 B、选用的 TLS 协定版本、选用的加密套件、服务器证书、DH 公钥等
此处 Server Hello 的包和证书、服务端 DH 公钥等响应的数据包分成了两个,而双向 HTTPS 的数据包是单个的,这与单向双向无关,具体看服务器对 HTTPS 协定的实现形式。
- 客户端返回 DH 公钥
- 应用 DH 算法计算生成 Pre-master secret,并通过 Master Secret 生成器及随机数 A、随机数 B、Pre-master Secret 生成最终加密通信所用的 Master Secret
- 客户端和服务端相互告知对方本人状态切换实现,并发送一条加密信息,以相互验证单方都领有了正确的 Master Secret
- 握手实现,开始应用 Master Secret 加密通信
梳理下整体流程:
• 双向 HTTPS 流量剖析
此处抓包的内容源自两台 Nginx 之间的流量
客户端向服务端发送 Client Hello,其中蕴含随机数 A、反对的 TLS 版本、反对的加密套件等
加密套件阐明 例如: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE 秘钥替换算法
RSA 身份验证算法
AES128_GCM 批量加密算法
SHA256 音讯认证码算法
- 服务器响应给客户端随机数 B、选用的 TLS 协定版本、选用的加密套件、服务器证书、DH 算法公钥、以及要求客户端返回证书的申请等
– 随机数 B、选用的 TLS 协定版本、选用的加密套件
– 服务端证书
– 服务端 DH 公钥
ServerKeyExchange 是只有 DH 秘钥替换算法才有的一步,能够了解为这一步是为了计算失去 Pre-master Secret;通过非对称加密形式来握手获取 Pre-master Secret 的加密套件不须要这一步。
– 要求客户端返回证书的申请
- 客户端校验证书的有效性
此处操作由 Nginx 客户端外部实现,未体现在抓包中。 - 客户端返回客户端本身证书, 以及对证书的签名后, 告诉服务端本人的加密策略已转换,以及第一条加密信息(用协商出的加密秘钥加密)
– 客户端证书
此处区别于单向 HTTPS,客户端发送的证书会被服务端 Nginx 配置的根证书进行校验,只有验证通过的客户端才可进行下一步。
– 客户端 DH 算法公钥
ClientKeyExchange,同 ServerKeyExchange 相似,都是为了声援 DH 替换秘钥
– 对证书的签名
客户端为了证实收回去的证书是本人的,须要应用私钥对证书进行签名,以确认证书身份。
– 告诉服务端本人的加密策略已转换(Client)
– Encrypted Handshake Message 客户端第一条应用 Master Secret 加密的数据
Master Secret = MasterSecret 生成器(随机数 A、随机数 B、DH 替换取得的 Pre-master Secret)
此音讯发给服务端后,服务端会应用生成的 Master Secret 进行解密,确认客户端已生成正确的 Master Secret
- 服务端返回 Session Ticket、告诉客户端本人的加密策略已转换以及第一条应用 Master Secret 加密的数据
– Session Ticket
服务端会缓存 Master Secret 一段时间,只须要客户端将 Session Ticket 带过去,能够防止反复握手导致的资源开销
– 告诉服务端本人的加密策略已转换(Server)
– 服务端返回第一条应用 Master Secret 加密的数据,性能等同于服务端发送 Encrypted Handshake Message,此项给客户端是为了向客户端证实本人也生成了正确的 Master Secret。
- 开始应用 Master Secret 加密数据并开始通信
梳理下整体流程:
• 流程比照
咱们联合整体抓包和剖析的流程可知,双向 HTTPS 和单向 HTTPS 相比,多了对客户端证书校验、以及相应声援解决的步骤。客户端只有拿到了服务端 CA 颁发的证书,能力拜访到服务端,这也是双向 HTTPS 领有肯定权限管制性能的根底。
04
总结
前文提及的革新需要,如果依照惯例思路抉择改变业务代码新增权限管制性能,须要改变的整体流程较为简单,开发成本也绝对较重,为此咱们借鉴双向 HTTPS 的策略,通过批改配置形式疾速地实现了该需要,防止了相干权限管制的重复劳动。
此外,HTTPS 整体流程,无论是单向还是双向,都是互联网技术畛域的根底保障,值得咱们开发者持续探索和学习其协定的相干细节。