使用Nginx配置实现SSL双向认证

[TOC]

注意：这里使用的是ip地址访问，如果使用域名访问，请修改 server_name 为域名地址

重载配置

由于是双向认证，直接通过浏览器访问https地址是被告知400 Bad Request（No required SSL certificate was sent）的，需要在本机安装client证书。

windows上安装的证书需要pfx格式，也叫p12格式，生成方式如下

然后拷到windows中双击即可进行安装，安装时会提示输入生成证书时设置的密码。

安装成功后，重启浏览器输入网址访问，浏览器可能会提示你选择证书，选择刚才安装的那个证书即可。

此时有些浏览器会提示用户该证书不受信任，地址不安全之类，这是因为我们的server证书是我们自己颁发的，而非真正的权威CA机构颁布，忽略它既可。

HTTPS实战之单向验证和双向验证

绝对好用的。直用的这个，GOOD LUCK FOR YOU

public static String httpRequest(String requestUrl, String requestMethod, String outputStr) {

JSONObject jsonObject = null

StringBuffer buffer = new StringBuffer()

try {

// 创建SSLContext对象，并使用我们指定的信任管理器初始化

TrustManager[] tm = { new MyX509TrustManager() }

SSLContext sslContext = SSLContext.getInstance("SSL", "SunJSSE")

sslContext.init(null, tm, new java.security.SecureRandom())

// 从上述SSLContext对象中得到SSLSocketFactory对象

SSLSocketFactory ssf = sslContext.getSocketFactory()

URL url = new URL(requestUrl)

HttpsURLConnection httpUrlConn = (HttpsURLConnection) url.openConnection()

httpUrlConn.setSSLSocketFactory(ssf)

httpUrlConn.setDoOutput(true)

httpUrlConn.setDoInput(true)

httpUrlConn.setUseCaches(false)

// 设置请求方式（GET/POST）

httpUrlConn.setRequestMethod(requestMethod)

if ("GET".equalsIgnoreCase(requestMethod))

httpUrlConn.connect()

// 当有数据需要提交时

if (null != outputStr) {

OutputStream outputStream = httpUrlConn.getOutputStream()

// 注意编码格式，防止中文乱码

outputStream.write(outputStr.getBytes("UTF-8"))

outputStream.close()

}

// 将返回的输入流转换成字符串

InputStream inputStream = httpUrlConn.getInputStream()

InputStreamReader inputStreamReader = new InputStreamReader(inputStream, "utf-8")

BufferedReader bufferedReader = new BufferedReader(inputStreamReader)

String str = null

while ((str = bufferedReader.readLine()) != null) {

buffer.append(str)

}

bufferedReader.close()

inputStreamReader.close()

// 释放资源

inputStream.close()

inputStream = null

httpUrlConn.disconnect()

System.out.println("返回的数据："+buffer.toString())

// jsonObject = JSONObject.fromObject(buffer.toString())

} catch (ConnectException ce) {

log.error("Weixin server connection timed out.")

} catch (Exception e) {

log.error("https request error:{}", e)

}

return buffer.toString()

}

通过部署证书并经行一些设置就可以实现SSL双向认证：

首先应该先给网站部署一张SSL证书

然后设置网站双向认证，即网站访问者需要有一张客户端证书才能访问。

这个可以通过两个方式实现：一个是网站所有者在CA机构申请SSL证书，然后访问者也在CA机构申请一张客户端证书；另一种是网站所有者在CA机构申请一张中级根证书，然后直接给网站的访问者颁发客户端证书。如果还有什么疑问可以向沃通证书签发中心咨询。

---