目前，大公司的OA管理系統(tǒng)（俗稱內網(wǎng)），安全性要求較高，通常采用https的雙向 認證模式。

?

首先，什么是https，簡單的說就是在SSL協(xié)議之上實現(xiàn)的http協(xié)議（get、post等操作）。更多的介紹參看這里。

?

什么是雙向認證模式？對于面向公眾用戶的https的網(wǎng)站，大部分屬于單向認證模式，它不需要對客戶端進行認證，不需要提供客戶端的個人證書，例如https://www.google.com。而雙向認證模式，為了驗證客戶端的合法性，要求客戶端在訪問服務器時，出示自己的client certificate。

?

以下，為SSL握手過程：

?

①客戶端的瀏覽器向服務器傳送客戶端?SSL?協(xié)議的版本號，加密算法的種類，產生的隨機數(shù)，以及其他服務器和客戶端之間通訊所需要的各種信息。??

　　②服務器向客戶端傳送?SSL?協(xié)議的版本號，加密算法的種類，隨機數(shù)以及其他相關信息，同時服務器還將向客戶端傳送自己的證書。??

　　③客戶利用服務器傳過來的信息驗證服務器的合法性，服務器的合法性包括：證書是否過期，發(fā)行服務器證書的?CA?是否可靠，發(fā)行者證書的公鑰能否正確解開服務器證書的“發(fā)行者的數(shù)字簽名”，服務器證書上的域名是否和服務器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開；如果合法性驗證通過，將繼續(xù)進行第四步。??

　　④用戶端隨機產生一個用于后面通訊的“對稱密碼”，然后用服務器的公鑰（服務器的公鑰從步驟②中的服務器的證書中獲得）對其加密，然后將加密后的“預主密碼”傳給服務器。??

　　⑤如果服務器要求客戶的身份認證（在握手過程中為可選），用戶可以建立一個隨機數(shù)然后對其進行數(shù)據(jù)簽名，將這個含有簽名的隨機數(shù)和客戶自己的證書以及加密過的“預主密碼”一起傳給服務器。??

　　⑥如果服務器要求客戶的身份認證，服務器必須檢驗客戶證書和簽名隨機數(shù)的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的CA?是否可靠，發(fā)行CA?的公鑰能否正確解開客戶證書的發(fā)行?CA?的數(shù)字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，服務器將用自己的私鑰解開加密的“預主密碼”，然后執(zhí)行一系列步驟來產生主通訊密碼（客戶端也將通過同樣的方法產生相同的主通訊密碼）。??

　　⑦服務器和客戶端用相同的主密碼即“通話密碼”，一個對稱密鑰用于?SSL?協(xié)議的安全數(shù)據(jù)通訊的加解密通訊。同時在?SSL?通訊過程中還要完成數(shù)據(jù)通訊的完整性，防止數(shù)據(jù)通訊中的任何變化。??

　　⑧客戶端向服務器端發(fā)出信息，指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知服務器客戶端的握手過程結束。??

　　⑨服務器向客戶端發(fā)出信息，指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知客戶端服務器端的握手過程結束。??

　　⑩SSL?的握手部分結束，SSL?安全通道的數(shù)據(jù)通訊開始，客戶和服務器開始使用相同的對稱密鑰進行數(shù)據(jù)通訊，同時進行通訊完整性的檢驗。??

?

單向認證模式與雙向認證模式的區(qū)別，就在于第⑤、第⑥步是否要求對客戶的身份認證。單向不需要認證，雙向需要認證。

?

現(xiàn)在介紹如何使用curl來訪問雙向認證的https站點。

一、準備工作

１、首先，因為要進行客戶端認證，你應該具有了客戶端的個人證書（對于公司內網(wǎng)，通常是由IT的管理員頒發(fā)給你的），只要你能夠順利的訪問雙向認證的https站點，你就具有了個人證書，它藏在瀏覽器上。我們要做的工作，只是把它從瀏覽器中導出來。從ＩＥ瀏覽器導出來的格式，通常為.pfx格式，從firefox導出來的格式通常為.p12格式，其實pfx=p12，它們是同一個東西，對于curl而言這種格式稱為PKCS#12文件。

２、把p12格式轉換為pem格式（假設你的p12文件名為：xxx.p12）：

?

openssl?pkcs12?-in?xxx.p12?-out?client.pem?-nokeys　　　　　　　#客戶端個人證書的公鑰??

openssl?pkcs12?-in?xxx.p12?-out?key.pem?-nocerts?-nodes　　　　?#客戶端個人證書的私鑰??

也可以轉換為公鑰與私鑰合二為一的文件；??

openssl?pkcs12?-in?xxx.p12?-out?all.pem?-nodes???????????????????????????????????#客戶端公鑰與私鑰，一起存在all.pem中??

?

在執(zhí)行過程中，可能需要你輸入導出證書時設置的密碼。執(zhí)行成功后，我們就有了這些文件：client.pem——客戶端公鑰，key.pem——客戶端私鑰，或者二合一的all.pem。

?

３、確保你安裝的curl版本正確（本人折騰了兩天，全因為fedora13下的curl-7.20.1有問題，更新到curl-7.21.0.tar.gz問題解決）。

?

?

?

二、執(zhí)行curl命令

１、使用client.pem+key.pem

curl -k --cert client.pem --key key.pem https://www.xxxx.com

?

2、使用all.pem

curl -k --cert all.pem ?https://www.xxxx.com

?

使用-k，是不對服務器的證書進行檢查，這樣就不必關心服務器證書的導出問題了。

轉載于:https://www.cnblogs.com/mtcnn/p/9410088.html

總結

以上是生活随笔為你收集整理的curl+个人证书（又叫客户端证书）访问https站点的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。