mTLS认证要求两端都提供证书并证明拥有对应的key,并且要求对方的证书是由自己认可的CA签发的
https://learn.microsoft.com/zh-cn/azure/application-gateway/self-signed-certificates
1、准备RSA密钥
输出的key文件里实际同时包含公钥和私钥
openssl genrsa -out wzp-ca.key 2048
# 查看上述密钥文件里的公钥;可用于检查“证书里的公钥”和“密钥文件的公钥”是否一致
openssl rsa -pubout -in wzp-ca.key
2、准备签名请求
输出的csr文件里包含CA的公钥、CA的名称
openssl req -new -key wzp-ca.key -out wzp-ca.csr -config <(
cat <<-EOF
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn
[ dn ]
CN=wzp-ca
EOF
)
# 查看上述签名请求文件里的名称、公钥信息
openssl req -in wzp-ca.csr -noout -text
3、准备证书扩展配置
主要是申明是CA,并可以用于签发证书
tee wzp-ca_ext.cnf <<-'EOF'
basicConstraints = CA:TRUE
keyUsage = digitalSignature, keyEncipherment, keyCertSign
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
EOF
4、制作CA
openssl x509 -req -days 1000 -in wzp-ca.csr -extfile wzp-ca_ext.cnf -signkey wzp-ca.key -out wzp-ca.crt
1、准备RSA密钥
2、准备签名请求
提供给签发方的csr文件,不含私钥信息,无需担心安全问题
openssl req -new -key wzp-server.key -out wzp-server.csr -config <(
cat <<-EOF
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn
[ dn ]
CN=wzp.com
EOF
)
3、准备证书扩展配置
申明增强密钥用法:serverAuth
请求端验证证书合法性时,是检查服务端证书里的备用名称subjectAltName是否和请求地址匹配,而不是检查Subject里的CN
tee wzp-server_ext.cnf <<-'EOF'
basicConstraints = CA:FALSE
nsCertType = server
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1= wzp.com
DNS.2 = *.wzp.com
IP.1 = 127.0.0.1
EOF
4、签发证书
openssl x509 -req -days 1000 -in wzp-server.csr -extfile wzp-server_ext.cnf -CA wzp-ca.crt -CAkey wzp-ca.key -CAcreateserial -out wzp-server.crt
#验证证书是否由某个CA签发
openssl verify -CAfile wzp-ca.crt -verbose wzp-server.crt
1、准备RSA密钥
2、准备签名请求
3、准备证书扩展配置
关键是申明增强密钥用法:clientAuth
tee wzp-client_ext.cnf <<-'EOF'
basicConstraints = CA:FALSE
nsCertType = client, email
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection
EOF
4、签发证书
5、制作PKCS#12证书安装文件
pfx文件里包含证书和私钥,可被浏览器等请求端导入,用于在mTLS通讯时向服务端证明自己身份
openssl pkcs12 -export -out wzp-client.pfx -inkey wzp-client.key -in wzp-client.crt
访问转发客户端所在机器的端口,相当于从转发服务器发起对指定地址的访问
1、服务端:准备转发通道
gost -L="http2://:443?cert=/wzp-server.crt&key=/wzp-server.key&ca=/wzp-ca.crt"
转发通道要求客户端进行TLS握手时,持有wzp-ca签发的证书
2、客户端:申请监听并映射客户端机器的端口
假设转发服务器地址是a.a.a.a,在转发客户端本地hosts配置里把mtls.wzp.com解析到地址a.a.a.a;
gost -L="tcp://:2222/b.b.b.b:443" \
-L="tcp://:3333/c.c.c.c:443" \
-F="http2://mtls.wzp.com:443?cert=/wzp-client.crt&key=/wzp-client.key&secure=true&ca=/wzp-ca.crt"
用户访问转发客户端机器的2222端口,相当于从转发服务器a.a.a.a发起对b.b.b.b:443的访问;
用户访问转发客户端机器的3333端口,相当于从转发服务器a.a.a.a发起对c.c.c.c:443的访问
访问转发服务器的端口,相当于从转发客户端机器发起对指定地址的访问
1、服务端:准备转发通道
gost -L="h2://:443?cert=/wzp-server.crt&key=/wzp-server.key&ca=/wzp-ca.crt"
gost -L="socks5://127.0.0.1:18080"
第一个转发通道用于和客户端建立mTLS握手的多路复用长连接;
第二个转发通道用于在转发服务器本地打开映射端口,因为只有socks5协议支持远程端口转发
2、客户端:申请监听并映射转发服务器的端口
假设转发服务器地址是a.a.a.a,在转发客户端本地hosts配置里把mtls.wzp.com解析到地址a.a.a.a;
gost -L="rtcp://:28080/d.d.d.d:8080" \
-F="h2://mtls.wzp.com:443?cert=/wzp-client.crt&key=/wzp-client.key&secure=true&ca=/wzp-ca.crt" \
-F="socks5://127.0.0.1:18080"
第二个-F参数表示进行第二级转发,即由转发服务器本地的socks5服务在转发服务器上开启监听28080端口;
用户访问转发服务器a.a.a.a的28080端口,相当于在转发客户端机器发起对d.d.d.d:8080的访问