NGINX单双向混合认证

本文介绍通过NGINX配置实现WEB服务器单双向混合认证：

对信息安全要求较高的互联网应用，除了传统的HTTPS之外，还引入了客户端证书认证，变成双向认证，比如银行客户端专业版软件，通常需要配合类似USB KEY的数字证书，才能使用。

随着对安全的越来越重视，一般企业应用引入双向认证的案例也越来越多。本文介绍的案例是面向代理商的应用，代理商大小不一，有的有专门IT人员规范公司IT，安全性较高，有的则全靠前端门店店员自己管理。

客户引入双向认证除了确保通信安全外，还有一个重要考虑是确保员工岗位变动或离职，引起的账户泄露风险，有客户端证书（USB KEY）之后，只要集中管理好客户端证书就可以了。

但同时也存在一些问题：

为解决上述问题，在不增加成本前提下，本文尝试探讨NGINX单双向混合认证。

安装NGINX

sudo apt install nginx

更改配置文件

sudo vi /etc/nginx/sites-enabled/default

用以下类容替换原来的

启动nginx（服务器地址10.100.99.195）

sudo systemctl start nginx

启动后端APP

（这里在同一台机器用的docker容器启动tomcat，各位根据实验条件自己设置，只要设置的地址能访问后端服务即可）

sudo docker run --rm -p8080:8080 tomcat &>/dev/null &

本文介绍了通过NGINX实现单双向混合认证，既保证通讯安全，又能灵活添加信任网络，因为信任网络以外都需要客户端证书访问，还防止员工离职变动带来的账户泄露风险，关键还是零成本，设备0添加（码农的劳动免费啦）。有需要的朋友可以参考一下。

参考

您好！

1、单向认证只要求站点部署了ssl证书就行，任何用户都可以去访问（IP被限制除外等），只是服务端提供了身份认证。而双向认证则是需要是服务端需要客户端提供身份认证，只能是服务端允许的客户能去访问，安全性相对于要高一些。

2、双向认证SSL 协议的具体通讯过程，这种情况要求服务器和客户端双方都有证书。

3、单向认证SSL 协议不需要客户端拥有CA证书，以及在协商对称密码方案，对称通话密钥时，服务器发送给客户端的是没有加过密的（这并不影响SSL过程的安全性）密码方案。

4、如果有第三方攻击，获得的只是加密的数据，第三方要获得有用的信息，就需要对加密的数据进行解密，这时候的安全就依赖于密码方案的安全。而幸运的是，目前所用的密码方案，只要通讯密钥长度足够的长，就足够的安全。这也是我们强调要求使用128位加密通讯的原因。

5、一般Web应用都是采用单向认证的，原因很简单，用户数目广泛，且无需做在通讯层做用户身份验证，一般都在应用逻辑层来保证用户的合法登入。但如果是企业应用对接，情况就不一样，可能会要求对客户端（相对而言）做身份验证。这时就需要做双向认证。

---