So implementieren Sie https in PHP: Ändern Sie zuerst die OpenSSL-Konfiguration und legen Sie dann das Zertifikatskennwort auf mindestens 6 Zeichen fest. Erstellen Sie dann ein Serverzertifikat und ein Client-Zertifikat und führen Sie einen PHP-Curl-Test durch.
Empfohlen: „PHP-Video-Tutorial“
php implementiert die bidirektionale HTTPS-Authentifizierung (tls/ssl)
Normalerweise basiert die Bereitstellung von https auch auf der unidirektionalen SSL-Authentifizierung Das heißt, solange der Client den Server authentifiziert, muss der Server den Client nicht authentifizieren.
Aber in einigen Szenarien mit höherer Sicherheit, wie z. B. im Bankwesen, im Finanzwesen und in anderen Bereichen, ist normalerweise eine Kundenauthentifizierung erforderlich. Dies ermöglicht die bidirektionale Authentifizierung von SSL.
Da der Parameter ssl_client_certificate von nginx nur einen öffentlichen Clientschlüssel angeben kann, müssen Sie einen neuen Server konfigurieren, wenn Sie einen Client für die Kommunikation hinzufügen. Der
n:1-Modus wird durch den Kaskadenzertifikatmodus der Zertifizierungsstelle implementiert. Generieren Sie zunächst selbst einen Satz von CA-Zertifikaten auf Stammebene und verwenden Sie ihn dann, um ein sekundäres Zertifikat als Client-Zertifikat zu generieren.
Zu diesem Zeitpunkt kann die Signatur des privaten Schlüssels des Clients nicht nur durch den entsprechenden öffentlichen Schlüssel des Clients, sondern auch durch den öffentlichen Schlüssel des Stammzertifikats überprüft werden.
Sie sollten sich darüber im Klaren sein, nachdem Sie dies gesehen haben. Hier finden Sie eine kurze Einführung in die Bedienung:
1 Vorbereitung
1.1 Vorbereitung des OpenSSL-Verzeichnisses
Im Allgemeinen befinden sich die Konfigurationsdateien von OpenSSL in diesem Verzeichnis /etc/pki/tls. also:
mkdir /etc/pki/ca_linvo cd /etc/pki/ca_linvo mkdir root server client newcerts echo 01 > serial echo 01 > crlnumber touch index.txt
1.2 OpenSSL-Konfigurationsvorbereitung
OpenSSL-Konfiguration ändern
vi /etc/pki/tls/openssl.cnf
Kommentieren Sie diesen Satz aus und ersetzen Sie ihn durch den folgenden Satz
#default_ca = CA_default default_ca = CA_linvo
Kopieren Sie den gesamten Teil von [CA_default ] Eine Kopie, ändern Sie sie in den obigen Namen [CA_linvo]
Ändern Sie die folgenden Parameter darin:
dir = /etc/pki/ca_linvo certificate = $dir/root/ca.crt private_key = $dir/root/ca.key
Speichern und beenden
2 Erstellen Sie ein CA-Root-Level-Zertifikat
生成key:openssl genrsa -out /etc/pki/ca_linvo/root/ca.key 生成csr:openssl req -new -key /etc/pki/ca_linvo/root/ca.key -out /etc/pki/ca_linvo/root/ca.csr 生成crt:openssl x509 -req -days 3650 -in /etc/pki/ca_linvo/root/ca.csr -signkey /etc/pki/ca_linvo/root/ca.key -out /etc/pki/ca_linvo/root/ca.crt 生成crl:openssl ca -gencrl -out /etc/pki/ca_linvo/root/ca.crl -crldays 7
Die generierten Root-Level-Zertifikatdateien sind alle vorhanden /etc/pki/ca_linvo/ Unter dem Root-Verzeichnis
Hinweis: Beim Erstellen eines Zertifikats wird empfohlen, dass die Länge des Zertifikatskennworts >= 6 Zeichen beträgt, da das Keytool-Tool von Java anscheinend Anforderungen dafür hat.
3 Serverzertifikat erstellen
生成key:openssl genrsa -out /etc/pki/ca_linvo/server/server.key 生成csr:openssl req -new -key /etc/pki/ca_linvo/server/server.key -out /etc/pki/ca_linvo/server/server.csr 生成crt:openssl ca -in /etc/pki/ca_linvo/server/server.csr -cert /etc/pki/ca_linvo/root/ca.crt -keyfile /etc/pki/ca_linvo/root/ca.key -out /etc/pki/ca_linvo/server/server.crt -days 3650
Anleitung:
1. Das hier generierte CRT ist das gerade unter dem CA-Stammzertifikat erstellte Kaskadenzertifikat Der Kaskadenmodus wird nicht verwendet. Sie können auch:
openssl rsa -in /etc/pki/ca_linvo/server/server.key -out /etc/pki/ca_linvo/server/server.key openssl x509 -req -in /etc/pki/ca_linvo/server/server.csr -signkey /etc/pki/ca_linvo/server/server.key -out /etc/pki/ca_linvo/server/server.crt -days 3650
2 Mit dem Parameter -days können Sie die Gültigkeitsdauer des Zertifikats nach Bedarf festlegen. Der Standardwert ist beispielsweise 365 Tage.
生成key:openssl genrsa -des3 -out /etc/pki/ca_linvo/client/client.key 1024 生成csr:openssl req -new -key /etc/pki/ca_linvo/client/client.key -out /etc/pki/ca_linvo/client/client.csr 生成crt:openssl ca -in /etc/pki/ca_linvo/client/client.csr -cert /etc/pki/ca_linvo/root/ca.crt -keyfile /etc/pki/ca_linvo/root/ca.key -out /etc/pki/ca_linvo/client/client.crt -days 3650
Anleitung:
1. Hier muss ein kaskadierendes Zertifikat verwendet werden, und Sie können die Schritte zum Erstellen mehrerer Sätze von Client-Zertifikaten wiederholen.
Beim Generieren von CRT kann der folgende Fehler auftreten:
openssl TXT_DB error number 2 failed to update database
Sie können hier nachlesen die Operation.
Ich verwende Methode eins, also unique_subject = no
5 in index.txt.attr, um nginx zu konfigurieren
Nur die wichtigsten Teile des Serversegments werden hier aufgelistet:
ssl_certificate /etc/pki/ca_linvo/server/server.crt;#server公钥 ssl_certificate_key /etc/pki/ca_linvo/server/server.key;#server私钥 ssl_client_certificate /etc/pki/ca_linvo/root/ca.crt;#根级证书公钥,用于验证各个二级client ssl_verify_client on;
Neustarten von Nginx
6 Test
6.1 Browsertest die lokale Maschine. Das unter Windows installierte Zertifikat erfordert das PFX-Format, auch P12-Format genannt. Die Generierungsmethode ist wie folgt:openssl pkcs12 -export -inkey /etc/pki/ca_linvo/client/client.key -in /etc/pki/ca_linvo/client/client.crt -out /etc/pki/ca_linvo/client/client.pfx
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); // 信任任何证书,不是CA机构颁布的也没关系 curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 1); // 检查证书中是否设置域名,如果不想验证也可设为0 curl_setopt($ch, CURLOPT_VERBOSE, '1'); //debug模式,方便出错调试 curl_setopt($ch, CURLOPT_SSLCERT, CLIENT_CRT); //client.crt文件路径,这里我用常量代替 curl_setopt($ch, CURLOPT_SSLCERTPASSWD, CRT_PWD); //client证书密码 curl_setopt($ch, CURLOPT_SSLKEY, CLIENT_KEY); //client.key文件路径 CURLOPT_TIMEOUT:超时时间 CURLOPT_RETURNTRANSFER:是否要求返回数据 CURLOPT_SSL_VERIFYPEER:是否检测服务器的证书是否由正规浏览器认证过的授权CA颁发的 CURLOPT_SSL_VERIFYHOST:是否检测服务器的域名与证书上的是否一致 CURLOPT_SSLCERTTYPE:证书类型,"PEM" (default), "DER", and"ENG". CURLOPT_SSLCERT:证书存放路径 CURLOPT_SSLCERTPASSWD:证书密码,没有可以留空 CURLOPT_SSLKEYTYPE:私钥类型,"PEM" (default), "DER", and"ENG". CURLOPT_SSLKEY:私钥存放路径 function curl_post_ssl($url, $vars, $second=30,$aHeader=array()) { $ch = curl_init(); //curl_setopt($ch,CURLOPT_VERBOSE,'1'); curl_setopt($ch,CURLOPT_TIMEOUT,$second); curl_setopt($ch,CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch,CURLOPT_URL,$url); curl_setopt($ch,CURLOPT_SSL_VERIFYPEER,false); curl_setopt($ch,CURLOPT_SSL_VERIFYHOST,false); curl_setopt($ch,CURLOPT_SSLCERTTYPE,'PEM'); curl_setopt($ch,CURLOPT_SSLCERT,'/data/cert/php.pem'); curl_setopt($ch,CURLOPT_SSLCERTPASSWD,'1234'); curl_setopt($ch,CURLOPT_SSLKEYTYPE,'PEM'); curl_setopt($ch,CURLOPT_SSLKEY,'/data/cert/php_private.pem'); if( count($aHeader) >= 1 ){ curl_setopt($ch, CURLOPT_HTTPHEADER, $aHeader); } curl_setopt($ch,CURLOPT_POST, 1); curl_setopt($ch,CURLOPT_POSTFIELDS,$vars); $data = curl_exec($ch); curl_close($ch); if($data) return $data; else return false; }
2017/06/05 17:45:07 [crit] 16084#0: *27458991 SSL_do_handshake() failed (SSL: error:04067084:rsa routines:RSA_EAY_PUBLIC_DECRYPT:data too large for modulus e rror:1408807A:SSL routines:ssl3_get_cert_verify:bad rsa signature) while SSL handshaking, client: 116.255.208.194, server: 0.0.0.0:443
cat /etc/pki/ca_linvo/client/client.crt /etc/pki/ca_linvo/client/client.key > /etc/pki/ca_linvo/client/client.pem
$header = array( 'local_cert' => CLIENT_PEM, //client.pem文件路径 'passphrase' => CRT_PWD //client证书密码 ); $client = new SoapClient(FILE_WSDL, $header); //FILE_WSDL为要访问的https地址
Das obige ist der detaillierte Inhalt vonSo implementieren Sie die bidirektionale https-Authentifizierung in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!