这是一个创建于 3643 天前的主题,其中的信息可能已经有所发展或是发生改变。
标题没写清楚,
情况是这样的。
有一堆server, 它们之间提供有 http api 供相互调用。
目前是直接 没有任何认证加密 直接发送。
但考虑到这些server会暴露在外网,不想指定特定IP允许访问(以后迁移机器徒曾麻烦)
所以现在必须对请求加以限制。
目前想到的方式有两种:
1, 这些api 走https, 并且nginx 开启client验证,
这个方式的好处就是 限制客户端,加密 一起搞定了。
折腾了一下午,
最后按照这个文章 http://drumcoder.co.uk/blog/2011/oct/19/client-side-certificates-web-apps/
设置好了客户端验证, 但firefox 没搞定, chromium 可以。
并且使用requests 也没搞定,一直报错。
2, 就是用 http basic auth
设置简单, 但安全性显然没有 https 高
或者,大家对此有什么好的建议?
情况是这样的。
有一堆server, 它们之间提供有 http api 供相互调用。
目前是直接 没有任何认证加密 直接发送。
但考虑到这些server会暴露在外网,不想指定特定IP允许访问(以后迁移机器徒曾麻烦)
所以现在必须对请求加以限制。
目前想到的方式有两种:
1, 这些api 走https, 并且nginx 开启client验证,
这个方式的好处就是 限制客户端,加密 一起搞定了。
折腾了一下午,
最后按照这个文章 http://drumcoder.co.uk/blog/2011/oct/19/client-side-certificates-web-apps/
设置好了客户端验证, 但firefox 没搞定, chromium 可以。
并且使用requests 也没搞定,一直报错。
2, 就是用 http basic auth
设置简单, 但安全性显然没有 https 高
或者,大家对此有什么好的建议?
第 1 条附言 · 2014-05-12 20:14:31 +08:00
终于找到问题所在了,
python程序还没发出请求就报错。
因为我的证书是自己颁发给自己的,签名非法。在浏览器中,可以自己添加为trusted。
但python 的http client 库,都是默认直接会去验证服务器的签名,结果不通过,报SSLError
找到问题所在了,就好解决了。
对于那个帖子中生成的 client.crt, client.key 拷贝过来。
>>> r = requests.get('https://api.test.com', verify=False, cert=('client.crt', 'client.key'))
>>>
>>> r.ok
True
或者 先执行 cat client.crt client.key > client.pem
然后
>>> r = requests.get('https://api.test.com', verify=False, cert='client.pem')
>>>
>>> r.ok
True
python程序还没发出请求就报错。
因为我的证书是自己颁发给自己的,签名非法。在浏览器中,可以自己添加为trusted。
但python 的http client 库,都是默认直接会去验证服务器的签名,结果不通过,报SSLError
找到问题所在了,就好解决了。
对于那个帖子中生成的 client.crt, client.key 拷贝过来。
>>> r = requests.get('https://api.test.com', verify=False, cert=('client.crt', 'client.key'))
>>>
>>> r.ok
True
或者 先执行 cat client.crt client.key > client.pem
然后
>>> r = requests.get('https://api.test.com', verify=False, cert='client.pem')
>>>
>>> r.ok
True
 |
1
yueyoum OP 上面没说清楚
firefox没搞定是 证书成功导入firefox,但在请求url的时候,报错 An error occurred during a connection to api.test.com. Peer's certificate has an invalid signature. (Error code: sec_error_bad_signature) python requests 库, 一直包SSLError |
|
2
yueyoum OP 更新
firefox 也OK了, 在生成 server.csr 的时候 除了common name 其他的都别填 common name 就是域名 client.csr 的 common name 别填 域名 |
 |
3
ritksm 2014-05-12 19:23:17 +08:00
如果暴露给用户的Server还有相互之间的调用的话...说明这个架构设计的有问题
本来一个内网隔离就解决了的问题...何必搞那么复杂 而且加了https以及验证以后必然会影响性能 |
 |
4
wy315700 2014-05-12 19:23:25 +08:00
post里加一个字段 走HTTPS
|
|
5
yueyoum OP |
 |
6
KentY 2014-05-12 20:20:53 +08:00
我看着像是web service 的use case...
|
Select Language