V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
sxbxjhwm
V2EX  ›  全球工单系统

如何在使用 cloudflare 的基础上进行双向 tls 验证

  •  
  •   sxbxjhwm · 2021-03-31 16:23:31 +08:00 · 2678 次点击
    这是一个创建于 1366 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司有一项业务使用了双向 tls 验证客户的身份,现在为了避免遭受攻击需要配置 cdn 。

    但配置了以后发现服务一直响应 400 The SSL certificate error,直接携带客户端证书请求源站没有问题。查阅了文档 Managing Cloudflare Origin CA certificates 后发现可能是 cloudflare 以为我需要保证他们到源服务器之间连接的安全,向我们发送了 cf 自己的客户端证书。。。

    想知道各位有没有类似的应用,正确配置 cf 的姿势是怎么样的?如果 cf 没有支持,还有没有别的 cdn 服务提供商支持双向 tls 认证?蟹蟹

    9 条回复    2021-04-01 09:45:09 +08:00
    ryd994
        1
    ryd994  
       2021-03-31 17:46:12 +08:00 via Android
    CDN 的工作方式就是一种中间人
    所以你想要双向认证是做不到的,否则 CDN 还怎么缓存数据?

    cloudflare 有一种 keyless mode,能够在不持有私钥,不影响握手的情况下解密数据。但是不知道是否能支持双向。建议你向 cloudflare 客服咨询。这是企业版功能,价钱肯定不便宜
    eason1874
        2
    eason1874  
       2021-03-31 18:19:09 +08:00
    cf 的不了解,百度智能云 CDN 和阿里云 CDN 支持,可以试试。阿里云的没开放控制台自助配置,要提交工单问。
    ruixue
        3
    ruixue  
       2021-03-31 19:17:55 +08:00
    cloudflare 可以配置客户端证书,但是需要用 cloudflare 的 CA 来签发,无法使用自己的 CA
    https://developers.cloudflare.com/ssl/client-certificates
    9yu
        4
    9yu  
       2021-03-31 21:13:57 +08:00 via Android
    可以做到,TLS Passthough 模式,高级版或企业版才有。
    https://developers.cloudflare.com/spectrum/
    sxbxjhwm
        6
    sxbxjhwm  
    OP
       2021-03-31 21:27:47 +08:00 via Android
    @ruixue @ZeroClover 不太放心把客户 dn 信息放 cf

    @9yu 了解了我看一下谢谢
    sxbxjhwm
        7
    sxbxjhwm  
    OP
       2021-03-31 21:32:37 +08:00 via Android
    @eason1874 😂阿里云看过了,有个 scdn 要六千多一个月。。域名数 20 还不给改
    eason1874
        8
    eason1874  
       2021-03-31 22:51:23 +08:00
    @sxbxjhwm 不如简单改造一下业务适应 Cloudflare 。

    双向 TLS 验证环节独立出来做一个登录服务,部署在自己的服务器或者亚马逊、阿里云的 API 网关(这些支持 HTTPS 双向认证),用户证书验证后带令牌跳转访问在 Cloudflare 的业务域名。

    业务域名通过 Cloudflare Workers 的边缘脚本验证令牌,通过才把请求转到后端。令牌可以是 JWT,也可以允许吊销,Workers 支持 KV 键值存储。Workers 也不贵,每天 10 万次免费,付费最低 $5/mo 支持一千万请求了。

    这样主业务依然受 Cloudflare 防护,万一登录服务被攻击,临时不能登录也不影响已登录用户,影响不会太大。
    sxbxjhwm
        9
    sxbxjhwm  
    OP
       2021-04-01 09:45:09 +08:00
    @eason1874 好像挺有意思的,我去研究研究,估计改造起来挺麻烦的,那业务一半都是操作证书的,本身有一套的签发吊销续签功能,改的话估计都得改成调 api
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4076 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:28 · PVG 13:28 · LAX 21:28 · JFK 00:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.