2023年5月18日 星期四

使用 OpenSSL 製做 Client Certificate 做客戶端 TLS 認證 - 配合 Nginx 和 Java 做示範

在這裡我要來記錄一下使用 OpenSSL 製做 Client Certificate 做 客戶端 TLS 認證
(可參考 Mutual TLS (mTLS 或雙向認證) ) 認證的一些步驟事項。

首先第一件事是要安裝 OpenSSL 這個 tool,
使用以下指令安裝:
安裝 OpenSSL:

apt install openssl

在這裡我們為了方便演示及測試,
我們把自己當成憑證頒發機構 (Certificate authority,或稱 CA),
首先先產生 CA 的 private key,
取名為 my-ca-key.pem (或 my-ca.key,檔名可自取,副檔名一般會用 .pem 或 .key 來代表是一個 private key):

openssl genrsa -out my-ca-key.pem 4096

接下來產生自用的 Certificate Signing Request (CSR),在這邊命名為 my-ca.csr,
執行指令後被要求填入一些資訊,
要注意的是 Common Name 這個欄位不可以和等下 CA Certificate 要簽名的 Client CSR 一樣,
就是在 Certificate 的簽署鍵中各 Certificate 的 Common Name 不能一樣:

openssl req -new -key my-ca-key.pem -out my-ca.csr

再來我們執行以下指令用 CA 的 private key 對 CA CSR 來進行簽名,產生 CA 用的憑證 CA Certificate,檔名為 my-ca.crt,期限設為 365 天:

openssl x509 -req -days 365 -in my-ca.csr -signkey my-ca-key.pem -CAcreateserial -out my-ca.crt

這樣 CA 的東西都準備好了,我們現在應該會有三個檔案:

  1. my-ca-key.pem:CA 的 private key
  2. my-ca.csr:CA 的 CSR
  3. my-ca.crt:CA 的 certificate 憑證

CA 都準備好了以後,
接下來就是要來產生 Client 端的 Client private key、Client CSR、Client certificate,
基本上做法跟 CA 差不多,
差在是在要做 Client Certificate 時,Client CSR 要用 CA private key 和 CA Certificate 來簽名產生,不用給 Client private key。

首先是產生 Client private key,命名為 client-key.pem:

openssl genrsa -out client-key.pem 4096

再來是產生 Client CSR,命名為 client.csr,記得要填資訊欄位時,Common Name 不可以和 CA CSR 的一樣:

openssl req -new -key client-key.pem -out client.csr

最後我們使用 CA private key 和 CA Certificate 對  Client CSR 進行簽名產生 Client Certificate,
命名為 client.crt,期限設定 365 天:

openssl x509 -req -days 365 -in client.csr -CA my-ca.crt -CAkey my-ca-key.pem -CAcreateserial -out client.crt

在這邊我們可以用以下指令來檢查 Client Certificate 是不是由 CA Certificate 簽名的:

openssl verify -CAfile my-ca.crt client.crt

如果顯示 OK 的話,就代表正確。

基本上這樣 CA 和 Client 端的東西都準備好了,
不過有一些環境可能還會需要特別的 KeyStore 檔,KeyStore 裡會存放 private key 和 certificate 等資訊,例如 Java 就可能會需要 PKCS12 格式的 .p12 KeyStore 檔,
因為等下會用 Java 做 Client Certificate TLS 示範,
所以我們在這用以下指令將 Client private key 和 Client Certificate 打包成一個 .p12 的 KeyStore 檔案,這裡命名為 client-keystore.p12,
注意這裡會要求為 KeyStore 設定一個密碼,
等下 Java 程式會用到:

openssl pkcs12 -export -inkey client-key.pem -in client.crt -out client-keystore.p12

到這裡 Client 端的部份我們應該會有以下四個檔案:

  1. client-key.pem:Client private key
  2. client.csr:Client CSR
  3. client.crt:由 CA Certificate 和 CA private 簽名的 Client Certificate
  4. client-keystore.p12:裝了 Client private key 和 Client Certificate 的 KeyStore

先來示範在 Server 的 Nginx 設定要求 Client Server 要提供 Client Certifcate,
在 Nginx 的設定檔中,server 區塊的設定可以加上
ssl_client_certificate 和
ssl_verify_client
的 Client Certificate 設定:

server {
   ......
   ssl_client_certificate "CA 憑證路徑,例如上述產生的 my-ca.crt";
   ssl_verify_client on; #強制開啟 Client Certificate 要求
   ......
}

或是 ssl_verify_client 也可以不要設定 on,改設定
optional,
也就是不強制要求 Client Certificate,
但還是會檢查 Client 端有無帶上 Client Certificate,
 ,然後用 $ssl_client_verify 的值是不是 SUCCESS 來判斷有沒有認證成功,
範例如下:

server {
   ......
   ssl_client_certificate "CA 憑證路徑,例如上述產生的 my-ca.crt";
   ssl_verify_client optional; #不強制要求 Client Certificate
   ......
   #只有 /xx/xx/xx1 的 url 請求才檢查 Client Certificate
   location /xx/xx/xx1 { 
      ......
      if ($ssl_client_verify != SUCCESS) { #用 $ssl_client_verify 判斷 Client 端有無帶上 Client Certificate
         return 401;
      }
      ......
   }

   # /xx/xx/xx2 的 url 請求不檢查 Client Certificate
   location /xx/xx/xx2 {
      ......
   }
}

在 Client 端的部份,我們使用 Java 帶上 Client Certificate 來對 Server 端發出 Https 請求,
如果請求成功,應該會收到 Server 端的 200 HTTP response status:

Maven Dependency 配置:

 <!-- https://mvnrepository.com/artifact/org.apache.httpcomponents/httpclient -->
 <dependency>
     <groupId>org.apache.httpcomponents</groupId>
     <artifactId>httpclient</artifactId>
     <version>4.5.13</version>
 </dependency>

Java 程式碼:

package test;

import java.io.FileInputStream;
import java.io.IOException;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;
import javax.net.ssl.SSLContext;

import org.apache.http.HttpResponse;
import org.apache.http.client.ClientProtocolException;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContexts;

public class ClientCertificateSSLTest {

	public static void main(String[] args) throws ClientProtocolException, IOException, NoSuchAlgorithmException, CertificateException, KeyManagementException, UnrecoverableKeyException, KeyStoreException {
		String keyStorePassphrase = "12345"; // Client KeyStore 的密碼
		String keyStorePath = "D:\\xxx\\client-keystore.p12"; // Client KeyStore 的路徑

		KeyStore keyStore = KeyStore.getInstance("PKCS12");
		keyStore.load(new FileInputStream(keyStorePath), keyStorePassphrase.toCharArray());
		
		SSLContext sslContext = SSLContexts.custom()
		        .loadKeyMaterial(keyStore, keyStorePassphrase.toCharArray())
                //如果 keystore 中存有多個憑證,可自行用 Alias 選擇特定憑證
//		        .loadKeyMaterial(keyStore, keyPassphrase.toCharArray(), (aliases, socket) -> {return "chosenAlias";})
		        .build();

//		CloseableHttpClient httpClient = HttpClients.createDefault(); // 如果不帶上 Client Certificate,Server 端就會拒絕連線
		CloseableHttpClient httpClient = HttpClients.custom().setSSLContext(sslContext).build();
		
//		HttpPost httpPost = new HttpPost("https://xxx.xxx.xxx/xx/xx/xx2"); // 這條 url 可以不用帶上 Client Certificate
		HttpPost httpPost = new HttpPost("https://xxx.xxx.xxx/xx/xx/xx1"); // 這條 url 需要帶上 Client Certificate
		HttpResponse response = httpClient.execute(httpPost);
		System.out.println(response.getStatusLine()); // 成功連線應該要回 200 HTTP response status
	}

}


參考資料:

  1. OpenSSL create client certificate & server certificate with example

沒有留言 :

張貼留言