traffic server双向认证介绍

本文分享自天翼云开发者社区《traffic server双向认证介绍》.作者：沈****扬

HTTPS双向认证（Mutual TLS authentication）是一种安全机制，它要求在建立HTTPS连接时，客户端和服务器都必须进行身份验证。这种机制通常用于需要高度安全性的场景，其中服务器和客户端都需要验证对方的身份。

 

apache traffic server（简称ats）是一个开源的http缓存服务器，他提供了回源的双向认证功能，通过配置对应的证书、密钥，可以简单的实现双向认证功能的配置，以下是双向认证的配置示例：

// 配置客户端（ats）发送给源站的证书和密钥
CONFIG proxy.config.ssl.client.cert.path STRING your_cert_path
CONFIG proxy.config.ssl.client.cert.filename STRING your_cert_name.pem
CONFIG proxy.config.ssl.client.private_key.path STRING your_rivate_key_path
CONFIG proxy.config.ssl.client.private_key.filename STRING your_rivate_key_name.key
// 配置客户端（ats）校验源站证书的CA，以及是否校验源站证书的开关
CONFIG proxy.config.ssl.client.CA.cert.path STRING your_ca_cert_path
CONFIG proxy.config.ssl.client.CA.cert.filename STRING your_ca.crt
CONFIG proxy.config.ssl.client.verify.server INT1

同时，ats也提供了回源的ssl/tls协议开关，配置1为打开，配置0为关闭，如下所示：

// 打开tls1.0协议
CONFIG proxy.config.ssl.client.TLSv1 INT 1
// 打开tls1.1协议
CONFIG proxy.config.ssl.client.TLSv1_1 INT 1
// 打开tls1.2协议
CONFIG proxy.config.ssl.client.TLSv1_2 INT 1