本文分享自天翼云开发者社区《traffic server双向认证介绍》.作者:沈****扬
HTTPS 双向认证(Mutual TLS authentication)是一种安全机制,它要求在建立 HTTPS 连接时,客户端和服务器都必须进行身份验证。这种机制通常用于需要高度安全性的场景,其中服务器和客户端都需要验证对方的身份。
apache traffic server(简称 ats)是一个开源的 http 缓存服务器,他提供了回源的双向认证功能,通过配置对应的证书、密钥,可以简单的实现双向认证功能的配置,以下是双向认证的配置示例:
// 配置客户端(ats)发送给源站的证书和密钥CONFIG proxy.config.ssl.client.cert.path STRING your_cert_pathCONFIG proxy.config.ssl.client.cert.filename STRING your_cert_name.pemCONFIG proxy.config.ssl.client.private_key.path STRING your_rivate_key_pathCONFIG proxy.config.ssl.client.private_key.filename STRING your_rivate_key_name.key// 配置客户端(ats)校验源站证书的CA,以及是否校验源站证书的开关CONFIG proxy.config.ssl.client.CA.cert.path STRING your_ca_cert_pathCONFIG proxy.config.ssl.client.CA.cert.filename STRING your_ca.crtCONFIG proxy.config.ssl.client.verify.server INT1
复制代码
同时,ats 也提供了回源的 ssl/tls 协议开关,配置 1 为打开,配置 0 为关闭,如下所示:
// 打开tls1.0协议CONFIG proxy.config.ssl.client.TLSv1 INT 1// 打开tls1.1协议CONFIG proxy.config.ssl.client.TLSv1_1 INT 1// 打开tls1.2协议CONFIG proxy.config.ssl.client.TLSv1_2 INT 1
复制代码
评论