SSL双向认证的证书详解

最近公司在上SSL双向强认证。国外叫Mutual Authentication. 也就是除了服务端的的SSL证书，客户端也必须有自己的P12 证书，实现双向认证。

这里是服务端的设置：

System.setProperty("javax.net.ssl.keyStore", "ssl/server_keystore");
System.setProperty("javax.net.ssl.keyStorePassword", "server_keystore");
System.setProperty("javax.net.ssl.trustStore", "ssl/server_truststore");
System.setProperty("javax.net.ssl.trustStorePassword", "server_truststore");

这里分别需要2个文件，都是Keystore, 下面来看看trust 里信任的证书如何：

好吧，这里有Client 端所有的证书，如steve, obama 等，都是CA 发的。

下面来看看客户端的证书文件，

System.setProperty("javax.net.ssl.keyStore", "ssl/" + username);
System.setProperty("javax.net.ssl.keyStorePassword", password);
System.setProperty("javax.net.ssl.trustStore", "ssl/client_truststore");
System.setProperty("javax.net.ssl.trustStorePassword", "client_truststore");

除了每个用户自身的P12文件，那么再看看Client 端的Trust证书：

这样， Server 和 Client 互相在对方的受信列表里。运行起来结果如下：

Username: Obama
Password: ThankYou
Welcome Obama, you are authenticated!

注意这个密码是Keystore的密码，并不是用户密码，采用的非对称技术。

不知道什么是密码学里的非对称技术？参考九州云腾的网站， https://ci.idsmanager.com:8888/EDES/ 上面可以实时生成证书，真心不错，实践比大学里的课本重要多了！

专家作者相关信息：

阿里云安全资深产品专家。20年大企业服务经验。身份认证即服务 IDaaS 国内最早的推动者和实践者。 2015年创办九州云腾，带领公司从0到1，设计技术架构，推动解决方案，业绩连续4年翻倍增长到数千万收入。2019年并购进入阿里云，主推基于IDaaS 的零信任解决方案，用业务风控的能力来解决办公安全，实现从1-10的增长目标。

CSDN在线峰会系列—阿里云核心技术竞争力第二期 2020年5月13日

尚红林：《从各大数据泄露事件看身份识别技术演变》报名地址：https://t.csdnimg.cn/Bc2d

"传统的身份识别与访问管理主要是围绕HR体系，通过管好自己的员工账户，并把这些账户的使用范围控制在办公室内，来防止数据泄露事件发生。但是类似酒旅、快递、零售等行业中的企业或者大型集团性企业中人员构成复杂，导致账号体系也异常复杂，再加上越来越多的个人终端设备接入内网、远程办公的火热，传统身份管理方式就显得力不从心。

目前越来越多由账号管理问题导致的安全事件频繁发生。上次万豪数据泄露被GDPR处以9,900万英镑的罚款，是迄今为止最高的数据泄露罚款之一。

以UEBA为核心的统一身份认证服务成为必然趋势，对所有企业账号权限做一站式全生命周期管理，并通过用户行为分析实时检测和发现账号的异常行为，不仅保障使用该账号的人是真正拥有该账号的人，而且保障该账号所做的操作在其正常职责范围内，一旦发现异常及时告警并阻断危险行为，助力企业基于云原生安全优势构建零信任架构基础。"