导航
边缘双向认证
最近更新时间:2025.02.28 15:00:25首次发布时间:2025.02.28 15:00:25
操作背景
在您对加速域名启用 HTTPS 访问后,如果您需要进一步提高安全性,可以开启 "边缘双向认证" 功能,对客户端的身份进行验证。
在访问双向认证中,DCDN 使用预先配置的 CA 证书来校验用户身份。客户端需要安装客户端证书。在客户端向 DCDN 发送 SSL 建连请求时,客户端会向 DCDN 发送客户端证书。在收到客户端证书后,如果 DCDN 判断客户端证书是由这本 CA 证书签发的,该请求就通过了用户身份校验,否则 DCDN 会拒绝该请求。
说明
要使用该功能,请 提交工单。
前提条件
要启用 "访问双向认证",您的加速域名必须满足以下条件:
- 已在 DCDN 的加速域名中 启用了 HTTPS 服务。
操作步骤
登录 全站加速控制台。
在左侧导航栏,点击 域名管理。
在 域名管理 页面,找到需要配置的域名,点击 管理。
在域名页面上,点击 HTTPS 配置 标签页。
在页面右上方,点击 编辑。
这时候您应该已经启用了 HTTPS 服务。
点击开启 边缘双向认证。
- 这时系统默认显示 已有托管证书 的 DCDN 服务托管 类别的证书,在证书列表中选择您配置好的客户端 CA 证书,或者点击 新上传证书 把证书内容粘贴进去进行添加。完成后,点击 确定。关于上传 CA 证书的步骤,参见 为加速域名配置证书。
- 设置完成后, 在页面右上角点击 提交。
注意
在 "访问双向认证" 中,您仅可指定一个托管在 DCDN 的 CA 证书,暂不支持指定托管在火山引擎证书中心的 CA 证书。
在 "访问双向认证" 中,以下任意情况都会导致配置报错:
- 客户端证书配置模式与服务器证书的证书配置模式不相同。
- 客户端证书标准不包含服务器证书配置的证书标准。
在 "访问双向认证" 中,以下任意情况都会导致客户端访问 DCDN 时,DCDN 校验客户端证书失败,并响应 400 状态码:
- 访问双向认证中配置的 CA 证书是中间 CA 证书。
- 访问双向认证中配置的 CA 证书的证书链超过三级。一个三级 CA 证书链的例子是 rootCA(根 CA)> iCA1(中间 CA)> iCA2(中间 CA)。
更多信息
HTTPS 单向认证和 HTTPS 双向认证的流程
HTTPS 单向认证流程
核心特征:仅客户端验证服务器身份
- Client Hello
客户端发送支持的 TLS 版本、加密套件列表、随机数。 - Server Hello
服务器返回选定的 TLS 版本、加密套件、随机数、服务器证书链。 - 证书验证
客户端验证服务器证书:- 证书链完整性
- 证书有效期
- 证书吊销状态(CRL/OCSP)
- 域名匹配(证书 DN)
- 密钥交换
客户端生成预主密钥(PreMaster Secret),用服务器证书公钥加密后发送。 - 会话密钥生成
双方通过交换的随机数和预主密钥生成会话密钥。 - 加密通信
通过 ChangeCipherSpec 确认切换加密通道,后续数据使用对称加密传输。
HTTPS 双向认证流程
核心特征:客户端和服务器互相验证身份
- Client Hello
与单向认证步骤相同。 - Server Hello
服务器返回证书链、CertificateRequest(要求客户端提供证书)。 - 客户端验证服务器证书
与单向认证步骤相同。 - 客户端证书发送
客户端发送自己的证书链、证书签名验证数据。 - 服务器验证客户端证书
服务器验证客户端证书:- 证书的签发 CA
- 证书用途(必须包含客户端认证 clientAuth)
- 证书吊销状态
- 密钥交换
客户端生成预主密钥,用服务器公钥加密发送。 - 双向认证确认
双方交换 Finished 消息验证握手完整性 - 加密通信
建立双向认证的加密通道。