apache - 如何在 Apache 服务器上为 REST api 实现 SSL 客户端证书？

Question

背景:

想象一个网站，对世界可见， https://www.example.com ，静态 IP 地址 1.1.1.1。此站点托管在 Apache 服务器上，并且已经拥有 SSL 服务器证书。

另一方面，在 protected 内部网络中，对世界不可见的服务器 ( https://www.myinternalserver.com )，具有静态 IP 地址 (2.2.2.2>)，也运行 Apache，运行一些基于网络的内部应用程序。

静态 IP 地址 (3.3.3.3)，映射到外部站点 ( https://myapps.example.com ) 的子域 (myapps) ) 作为内部基于 Web 的应用程序驻留的服务器的入口点。

保护内部网络的防火墙进行重定向/代理，因此所有流向 3.3.3.3 的外部流量都在内部重定向到 2.2.2.2。

防火墙还限制了所有外部流量，因此到 3.3.3.3 的任何调用都必须源自 1.1.1.1，本质上，使外部网站 (< strong> https://www.example.com ) 内部服务器的唯一授权调用者 ( https://www.myinternalserver.com )。

场景

有了这个基础架构，我可以从外部网站向内部网络发出 REST 调用，并发回数据以在页面中使用。因此，在这种情况下，外部站点是客户端，内部应用程序是服务器。

问题:

但除此之外，我希望内部网络中的服务器颁发一个“已安装”的“SSL 客户端证书”(我不知道这是不是正确的术语)，在外部网站中，因此所有调用来自外部站点的必须根据此证书进行身份验证。

我该如何实现？

破题:

我知道上面的问题很宽泛，所以让我试着把它分成三个(不是那么)“较小”的问题:

1 - 如何创建 key /证书？ 使用 OPENSSL 和一些在线食谱(这是其中之一: http://www.impetus.us/~rjmooney/projects/misc/clientcertauth.html >)，我能够生成证书文件并了解(或者我相信)我必须用它做什么以及在 httpd.conf 文件中更改什么。无论如何，我想对自己所做的事情感到更加安全，因此非常感谢此处的任何建议/指导。比如我用的菜谱好不好？

2 - 如何将此证书“安装/传输”到外部站点？我是否只是复制/发送生成证书时创建的文件之一？如果有，是哪一个？它在客户端服务器(外部站点)中的具体位置是什么？他们最后必须做些什么吗？如果没有，流程是什么？我试图联系托管公司，但我不知道我是否无法向他们解释，或者他们是否没有使用“SSL 客户端证书”的经验。他们只告诉我已经安装了 SSL 证书(SSL 服务器证书)。他们似乎甚至不知道“SSL 客户端证书”是什么。

3 - 证书到位后，我该怎么做才能保证默认情况下对内部服务器的所有调用都带有证书，而无需将其编码到我创建的每个 API 中？ 我对证书知之甚少，所以它可能总是“默认”发生，但我在网上阅读了有关“嵌入”在 API 调用 header 中的证书，所以我只是想确定一下。

谢谢。

Answer 1

经过更多的研究，这是我发现的......

1 - 如何创建 key /证书？

我必须尝试其他食谱并结合使用它们才能得到我想要的东西。我学到的是，我必须先创建一个证书(CA 证书)，然后根据第一个证书生成服务器和客户端证书。因此，寻找包含所有三个证书的配方:CA、服务器、客户端。

2 - 如何将此证书安装/传输到外部站点？

实际上，您只需将必要的(客户端/CA)复制到您共享的外部站点中的安全位置。 “www”树之外的一个地方。

3 - 证书到位后，我能做些什么来保证所有调用...

好吧，这就是我所做的。

我“使用 php/libcURL 将我的 API 调用对象化，并将其也放置在“www”树之外。对于我站点中的任何开发人员来说，要使用它，他们所要做的就是创建对象的实例并创建通过将 URL 作为参数传递来调用。换句话说，您不安装证书。而是在每次调用内部服务器时调用证书。

我希望它能帮助那里的人。