curl+個人證書（又叫客戶端證書）訪問https站點

目前，大公司的OA管理系統（俗稱內網），安全性要求較高，通常采用https的雙向認證模式。

首先，什么是https，簡單的說就是在SSL協議之上實現的http協議（get、post等操作）。更多的介紹參看這里。

什么是雙向認證模式？對于面向公眾用戶的https的網站，大部分屬于單向認證模式，它不需要對客戶端進行認證，不需要提供客戶端的個人證書，例如https://www.google.com。而雙向認證模式，為了驗證客戶端的合法性，要求客戶端在訪問服務器時，出示自己的client certificate。

以下，為SSL握手過程：

  ①客戶端的瀏覽器向服務器傳送客戶端?SSL?協議的版本號，加密算法的種類，產生的隨機數，以及其他服務器和客戶端之間通訊所需要的各種信息。??
 　　②服務器向客戶端傳送?SSL?協議的版本號，加密算法的種類，隨機數以及其他相關信息，同時服務器還將向客戶端傳送自己的證書。??
 　　③客戶利用服務器傳過來的信息驗證服務器的合法性，服務器的合法性包括：證書是否過期，發行服務器證書的?CA?是否可靠，發行者證書的公鑰能否正確解開服務器證書的“發行者的數字簽名”，服務器證書上的域名是否和服務器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開；如果合法性驗證通過，將繼續進行第四步。??
 　　④用戶端隨機產生一個用于后面通訊的“對稱密碼”，然后用服務器的公鑰（服務器的公鑰從步驟②中的服務器的證書中獲得）對其加密，然后將加密后的“預主密碼”傳給服務器。??
 　　⑤如果服務器要求客戶的身份認證（在握手過程中為可選），用戶可以建立一個隨機數然后對其進行數據簽名，將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”一起傳給服務器。??
 　　⑥如果服務器要求客戶的身份認證，服務器必須檢驗客戶證書和簽名隨機數的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的CA?是否可靠，發行CA?的公鑰能否正確解開客戶證書的發行?CA?的數字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，服務器將用自己的私鑰解開加密的“預主密碼”，然后執行一系列步驟來產生主通訊密碼（客戶端也將通過同樣的方法產生相同的主通訊密碼）。??
 　　⑦服務器和客戶端用相同的主密碼即“通話密碼”，一個對稱密鑰用于?SSL?協議的安全數據通訊的加解密通訊。同時在?SSL?通訊過程中還要完成數據通訊的完整性，防止數據通訊中的任何變化。??
 　　⑧客戶端向服務器端發出信息，指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知服務器客戶端的握手過程結束。??
 　　⑨服務器向客戶端發出信息，指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知客戶端服務器端的握手過程結束。??
 　　⑩SSL?的握手部分結束，SSL?安全通道的數據通訊開始，客戶和服務器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊完整性的檢驗。??

單向認證模式與雙向認證模式的區別，就在于第⑤、第⑥步是否要求對客戶的身份認證。單向不需要認證，雙向需要認證。

現在介紹如何使用curl來訪問雙向認證的https站點。

一、準備工作

１、首先，因為要進行客戶端認證，你應該具有了客戶端的個人證書（對于公司內網，通常是由IT的管理員頒發給你的），只要你能夠順利的訪問雙向認證的https站點，你就具有了個人證書，它藏在瀏覽器上。我們要做的工作，只是把它從瀏覽器中導出來。從ＩＥ瀏覽器導出來的格式，通常為.pfx格式，從firefox導出來的格式通常為.p12格式，其實pfx=p12，它們是同一個東西，對于curl而言這種格式稱為PKCS#12文件。

２、把p12格式轉換為pem格式（假設你的p12文件名為：xxx.p12）：

  openssl?pkcs12?-in?xxx.p12?-out?client.pem?-nokeys　　　　　　　#客戶端個人證書的公鑰??
 openssl?pkcs12?-in?xxx.p12?-out?key.pem?-nocerts?-nodes　　　　?#客戶端個人證書的私鑰??
 也可以轉換為公鑰與私鑰合二為一的文件；??
 openssl?pkcs12?-in?xxx.p12?-out?all.pem?-nodes???????????????????????????????????#客戶端公鑰與私鑰，一起存在all.pem中??

在執行過程中，可能需要你輸入導出證書時設置的密碼。執行成功后，我們就有了這些文件：client.pem——客戶端公鑰，key.pem——客戶端私鑰，或者二合一的all.pem。

３、確保你安裝的curl版本正確（本人折騰了兩天，全因為fedora13下的curl-7.20.1有問題，更新到curl-7.21.0.tar.gz問題解決）。

二、執行curl命令

１、使用client.pem+key.pem

curl -k --cert client.pem --key key.pem https://www.xxxx.com

2、使用all.pem

curl -k --cert all.pem ?https://www.xxxx.com

使用-k，是不對服務器的證書進行檢查，這樣就不必關心服務器證書的導出問題了。

轉載于:https://www.cnblogs.com/mtcnn/p/9410088.html

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/258776.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/258776.shtml
英文地址，請注明出處：http://en.pswp.cn/news/258776.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！