有这样一种业务场景,我们内网的应用要去访问互联网上的服务,因为应用不能直接对互联网暴露,这时就需要代理。有的时候,互联网的服务,比如微信,会要求进行https的双向认证,即在我们一侧也需要证书和密钥文件。
我们代理服务器使用apache,网上的资料只介绍了apache代理https单向认证的配置方法,因此进行了研究。
经常实验,发现在httpd.conf中配置,可以实现apache作为客户端的SSL双向认证
SSLProxyEngine on
SSLProxyMachineCertificateFile /apache/abc/client.pem
其中client.pem 是把证书和私钥合并到一个文件生成的。
由于微信给的文件是p12类型的,需要转换为apache可以识别的pem格式,下面为具体的步骤
1,从p12证书导出pem证书
openssl pkcs12 -clcerts -nokeys -in abc.p12 -out abcde.pem,
2,从p12证书导出私钥
openssl pkcs12 -nocerts -in abc.p12 -out abcde.pem
3,处理导出的私钥,我理解是将pkcs#8格式的密钥文件转换为pkcs#1格式,这样apache才能识别。如果使用pkcs#8格式的密钥,apache启动的时候会报(missing or encrypted private key?)。另外如果是nginx,使用pkcs#8格式的密钥重启的时候要输入密码,而导出成pkcs#1格式则不需要。
openssl rsa -in abcde.pem -out abcdenew.pem
4,把证书和密钥合成一个文件cat abcde.pem abcdenew.pem >client.pem