找回密码
 加入怎通
查看: 246|回复: 5

Nginx okhttp 双向验证 配置(nginx负载均衡有几种方式)

[复制链接]
我来看看 发表于 2023-03-22 08:37:41 | 显示全部楼层 |阅读模式
2 ?- x) S4 }$ B; f8 m

最近在忙App安全,而双向验证是第一步,本文主要记录我在双向验证过程中遇到的坑,以及解决虽然网上类似的教程贼多,但大部分基于 Tomcat… 小打小闹尚可,毕竟反代还是 Nginx 好通过本文,你将顺利获知如何实现 android 与 nginx 的双向验证。

! x% f" S4 U1 M2 J2 k

我们以一段 Nginx 的配置开始吧:server {listen 443 ssl;server_name www.kpromise.top;ssl_certificate /etc/letsencrypt/live/kpromise.top/fullchain.pem;

4 Q: Y& I' k: M$ d

ssl_certificate_key /etc/letsencrypt/live/kpromise.top/privkey.pem;... // 此处省略 N 多配置这里,域名是本站域名,另外配置了证书和key,这是普通的 https 配置了。

6 y" v; ]8 k# G9 T; k' P+ ^' t

接下来,我们看另外一个配置:server {listen 443 ssl;server_name api.kpromise.top;ssl_certificate /root/ssl/server.crt;

5 L# x9 u% J& o3 Q/ h% D

ssl_certificate_key /root/ssl/server.key;ssl_password_file /root/ssl/password_file;ssl_client_certificate /root/ssl/ca.crt;

; f' h: R/ n2 i; ?' o

ssl_verify_client optional_no_ca;location / {root /root/ssl/api/;}}这是一段中规中矩的服务端验证客户端的配置,主要变化是多了 ssl_client_certificate 这行。

; n) C+ a8 G& r$ k

具体请看 http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_client_certificate那么,这里的ca.crt 又是如何产生的呢,下面进入主题,生成证书:

7 B. d" j; |' k5 m0 ^2 c

首先,生成 ca.key 接下来签名证书的时候会用到:1、openssl genrsa -des3 -out ca.key 4096接着,生成 ca.crt 文件,crt 文件是客户端认证的证书文件,同样的,在你签名证书的时候会用到

' ], I& N# T0 J) P3 |

2、openssl req -new -x509 -days 365 -key ca.key -out ca.crt3、生成证书:openssl genrsa -des3 -out server.key 1024

/ w v8 N0 V' ]

openssl req -new -key server.key -out server.csr会提示你输入 Common Name 一般是你的域名哦4、用 ca.key 和 ca.crt 签名证书:openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

! s% A4 z, r0 f/ P2 {0 A

5、重复 3-4 两步,但是 -out 改为 client.x 来生成并签署另一份证书,比如:openssl genrsa -des3 -out client.key 1024openssl req -new -key client.key -out client.csr

8 q1 b2 u, O3 W4 [8 Q+ g1 N6 O+ _

openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt6、修改 Nginx 配置为 我刚开始提供的第二份配置那样,即:

% P0 q' `' C& ~ q: W( `5 d

server {listen 443 ssl;server_name api.kpromise.top;ssl_certificate /root/ssl/server.crt;ssl_certificate_key /root/ssl/server.key;

3 y. R; I0 G0 U6 b; O

ssl_password_file /root/ssl/password_file;ssl_client_certificate /root/ssl/ca.crt;ssl_verify_client on;

3 h2 e5 H7 ^6 ]8 i0 a

location / {root /root/ssl/api/;}}然后 把相关文件移入配置所列的目录,并执行 nginx -s reload,此时,服务端就会校验客户端证书了这里的 ssl_password_file 对应的是一个普通文件,里面是 创建证书时设置的密码哦。

+ k9 `$ n# X# r

接下来,我们看下 android 端的修改首先查看 android 支持 的 keystore 类型: https://developer.android.com/reference/java/security/KeyStore#summary 大致如下:。

% { `+ ^! \5 Z

AndroidCAStore 14+AndroidKeyStore 18+BCPKCS12 1-8BKS 1+BouncyCastle 1+PKCS12 1+PKCS12-DEF 1-8可以看得出,AndroidCAStore、PKCS12、BouncyCastle、BKS 都是不错的选择,但是我看网上资料,基本都说 转为 android 支持的类型 BKS 这又是什么鬼?明明有 PKCS12 可以选择啊。

+ W+ s' U' K" x& k" T( b. ~0 h

我们接下来导出 client.p12 以及 server.p12 文件,命令如下:openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name "client"

8 z" ^- g7 B3 }/ s7 T. p- c: Z

openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name "client"然后把 client.p12 和 server.p12 都给android 客户端,android 客户端将他们放到 /src/main/assets/ 下面。

, N" l" i4 \* Z9 |9 f- L. m: W

最后,我们修改 okhttp 吧:class SSLHelper {private var clientPw: String? = nullprivate var clientPKCSFileName: String = "client.p12"

% _9 o, P2 Y# x& z% E Y5 Z

private var serverPKCSFileName: String = "server.p12"private var serverPw: String? = nullprivate val protocolType = "TLS"

: Z, w- g2 k8 ^- o

private val keyStoreType: String = "PKCS12"private val certificateFormat: String = "X509"fun initClient

% w5 e% T. W/ l( S) f

(clientPKCSFileName: String, clientPw: String): SSLHelper {this.clientPKCSFileName = clientPKCSFileName

; M H# ~0 g( p9 R* H: ~8 S

this.clientPw = clientPwreturn this}fun initServer(serverPKCSFileName: String, serverPw: String): SSLHelper {

8 u7 F0 W3 o$ L, k' i

this.serverPKCSFileName = serverPKCSFileNamethis.serverPw = serverPwreturn this}fun getSSLCertification

: X1 D3 ?1 e* s; h/ ]* K% {- `8 v( a

(context: Context): SSLSocketFactory? {if (clientPw == null) throw RuntimeException("please call initClient first...")

9 J& T( v q0 r3 e3 Z* m

if (serverPw == null) throw RuntimeException("please call initServer first...")var sslSocketFactory: SSLSocketFactory? = null

6 |' S% N5 |. U5 ^" K# f* q

try {val clientKeyStore = KeyStore.getInstance(keyStoreType)val serverKeyStore = KeyStore.getInstance

% M: U5 H* y- w! l1 Q

(keyStoreType)val clientPrivateKeyInputStream = context.assets.open(clientPKCSFileName)val serverPublicKeyInputStream = context.assets.

" g' O# | }* e x0 B% C" g

open(serverPKCSFileName)clientKeyStore.load(clientPrivateKeyInputStream, clientPw?.toCharArray())serverKeyStore.

7 t7 ^! x- \' b" k

load(serverPublicKeyInputStream, serverPw?.toCharArray())clientPrivateKeyInputStream.close()serverPublicKeyInputStream.

$ p5 f. A' ~8 A5 V

close()val sslContext = SSLContext.getInstance(protocolType)val trustManagerFactory = TrustManagerFactory.

0 u$ k {* P7 b4 c( m; T

getInstance(certificateFormat)val keyManagerFactory = KeyManagerFactory.getInstance(certificateFormat)

; J9 U) B2 Z+ {; l8 J, o* w

trustManagerFactory.init(serverKeyStore)keyManagerFactory.init(clientKeyStore, clientPw?.toCharArray())

! m% |1 [1 [! k; k( `

sslContext.init(keyManagerFactory.keyManagers,trustManagerFactory.trustManagers, null)sslSocketFactory = sslContext.socketFactory

" z( Z% @4 m* B3 Q& W2 k

} catch (e: Exception) {e.printStackTrace()}return sslSocketFactory}}fun getBuilder(showLog: Boolean): OkHttpClient.Builder {

& ~9 \- e7 j# r2 h; X2 U6 {

val builder = OkHttpClient.Builder()val sslSocketFactory = this.sslSocketFactoryif (sslSocketFactory != null) {

' _9 l' K/ C) ~( u/ d0 U

builder.sslSocketFactory(sslSocketFactory)}builder.hostnameVerifier { _, _ ->true}... // 此处省略 N 多 代码完美了,当然,hostnameVerifier 你也可以指定自己的域名啊。

2 o( S6 \ W1 s: ]

遇到的天坑:在生成 ca server 以及 client 时 会 要求输入 CN 即:Common Name (e.g. server FQDN or YOUR name) 这行,请注意这三处虽然都是域名,但千万别设一样,否则会出现 400 The SSL certificate error

* V! m& o8 T4 B7 x/ d# S# M) O" b" I6 s: D+ \# a - K, O) t5 A& a ; }7 p" T! z R2 u- x9 x2 i+ ? ; K7 W! V6 @9 Z+ @# Q, Q
回复

使用道具 举报

残阳 发表于 2026-01-05 12:57:05 | 显示全部楼层
这个思路很新颖,打开了新世界的大门,谢谢分享
回复

使用道具 举报

熊猫 发表于 2026-01-12 21:15:02 | 显示全部楼层
学习到了,之前一直没注意过这个点,受教了
回复

使用道具 举报

加菲猫 发表于 2026-01-17 04:21:24 | 显示全部楼层
楼主辛苦了,整理这么多内容,必须点赞收藏
回复

使用道具 举报

的的的 发表于 2026-03-14 15:04:27 | 显示全部楼层
完全赞同,我也是这么认为的,英雄所见略同~
回复

使用道具 举报

-小赫 发表于 2026-03-16 04:57:44 | 显示全部楼层
内容很干货,没有多余的废话,值得反复看
回复

使用道具 举报

    您需要登录后才可以回帖 登录 | 加入怎通

    本版积分规则

    QQ|手机版|小黑屋|网站地图|真牛社区 ( 苏ICP备2023040716号-2 )

    GMT+8, 2026-7-7 12:08 , Processed in 0.051722 second(s), 24 queries , Gzip On.

    免责声明:本站信息来自互联网,本站不对其内容真实性负责,如有侵权等情况请联系420897364#qq.com(把#换成@)删除。

    Powered by Discuz! X3.5

    快速回复 返回顶部 返回列表