搭建http2 mTLS通道,实现本地/远程端口转发(gost)

已于 2023-12-26 16:10:26 修改
阅读量1.7k 收藏 2
点赞数
文章标签: mTLS
于 2022-11-07 16:03:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzp1986/article/details/127731987
版权

文章目录

一、制作证书

mTLS认证要求两端都提供证书并证明拥有对应的key,并且要求对方的证书是由自己认可的CA签发的

(一)自制根CA证书

https://learn.microsoft.com/zh-cn/azure/application-gateway/self-signed-certificates
1、准备RSA密钥
输出的key文件里实际同时包含公钥和私钥

openssl genrsa -out wzp-ca.key 2048
# 查看上述密钥文件里的公钥;可用于检查“证书里的公钥”和“密钥文件的公钥”是否一致
openssl rsa -pubout -in wzp-ca.key

2、准备签名请求
输出的csr文件里包含CA的公钥、CA的名称

openssl req -new -key wzp-ca.key -out wzp-ca.csr -config <(
cat <<-EOF
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[ dn ]
CN=wzp-ca
EOF
)
# 查看上述签名请求文件里的名称、公钥信息
openssl req -in wzp-ca.csr -noout -text

3、准备证书扩展配置
主要是申明是CA,并可以用于签发证书

tee wzp-ca_ext.cnf <<-'EOF'
basicConstraints = CA:TRUE
keyUsage = digitalSignature, keyEncipherment, keyCertSign
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
EOF

4、制作CA

openssl x509 -req -days 1000 -in wzp-ca.csr -extfile wzp-ca_ext.cnf -signkey wzp-ca.key -out wzp-ca.crt

(二)自签发服务端证书

1、准备RSA密钥

2、准备签名请求
提供给签发方的csr文件,不含私钥信息,无需担心安全问题

openssl req -new -key wzp-server.key -out wzp-server.csr -config <(
cat <<-EOF
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[ dn ]
CN=wzp.com
EOF
)

3、准备证书扩展配置
申明增强密钥用法:serverAuth
请求端验证证书合法性时,是检查服务端证书里的备用名称subjectAltName是否和请求地址匹配,而不是检查Subject里的CN

tee wzp-server_ext.cnf <<-'EOF'
basicConstraints = CA:FALSE
nsCertType = server
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1= wzp.com
DNS.2 = *.wzp.com
IP.1 = 127.0.0.1
EOF

4、签发证书

openssl x509 -req -days 1000 -in wzp-server.csr -extfile wzp-server_ext.cnf -CA wzp-ca.crt -CAkey wzp-ca.key -CAcreateserial -out wzp-server.crt
#验证证书是否由某个CA签发
openssl verify -CAfile wzp-ca.crt -verbose wzp-server.crt

(三)客户端证书

1、准备RSA密钥

2、准备签名请求

3、准备证书扩展配置
关键是申明增强密钥用法:clientAuth

tee wzp-client_ext.cnf <<-'EOF'
basicConstraints = CA:FALSE
nsCertType = client, email
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection
EOF

4、签发证书

5、制作PKCS#12证书安装文件
pfx文件里包含证书和私钥,可被浏览器等请求端导入,用于在mTLS通讯时向服务端证明自己身份

openssl pkcs12 -export -out wzp-client.pfx -inkey wzp-client.key -in wzp-client.crt

二、使用gost进行端口转发

gost v2

(一)本地端口转发

访问转发客户端所在机器的端口,相当于从转发服务器发起对指定地址的访问
1、服务端:准备转发通道

gost -L="http2://:443?cert=/wzp-server.crt&key=/wzp-server.key&ca=/wzp-ca.crt"

转发通道要求客户端进行TLS握手时,持有wzp-ca签发的证书

2、客户端:申请监听并映射客户端机器的端口
假设转发服务器地址是a.a.a.a,在转发客户端本地hosts配置里把mtls.wzp.com解析到地址a.a.a.a;

gost -L="tcp://:2222/b.b.b.b:443" \
     -L="tcp://:3333/c.c.c.c:443" \
     -F="http2://mtls.wzp.com:443?cert=/wzp-client.crt&key=/wzp-client.key&secure=true&ca=/wzp-ca.crt"

用户访问转发客户端机器的2222端口,相当于从转发服务器a.a.a.a发起对b.b.b.b:443的访问;
用户访问转发客户端机器的3333端口,相当于从转发服务器a.a.a.a发起对c.c.c.c:443的访问

(二)远程端口转发

访问转发服务器的端口,相当于从转发客户端机器发起对指定地址的访问
1、服务端:准备转发通道

gost -L="h2://:443?cert=/wzp-server.crt&key=/wzp-server.key&ca=/wzp-ca.crt"
gost -L="socks5://127.0.0.1:18080"

第一个转发通道用于和客户端建立mTLS握手的多路复用长连接;
第二个转发通道用于在转发服务器本地打开映射端口,因为只有socks5协议支持远程端口转发

2、客户端:申请监听并映射转发服务器的端口
假设转发服务器地址是a.a.a.a,在转发客户端本地hosts配置里把mtls.wzp.com解析到地址a.a.a.a;

gost -L="rtcp://:28080/d.d.d.d:8080" \
     -F="h2://mtls.wzp.com:443?cert=/wzp-client.crt&key=/wzp-client.key&secure=true&ca=/wzp-ca.crt" \
     -F="socks5://127.0.0.1:18080"

第二个-F参数表示进行第二级转发,即由转发服务器本地的socks5服务在转发服务器上开启监听28080端口;
用户访问转发服务器a.a.a.a的28080端口,相当于在转发客户端机器发起对d.d.d.d:8080的访问

百战天王
关注
gost转发使用
weixin_60092693的博客
07-08 2221
个人实验
GOST端口转发
惰立的博客
05-06 1885
GOST端口转发
利用反向代理实现HTTP/2支持的方法
weixin_36299472的博客
04-22 331
本文主要讨论了如何通过设置反向代理服务器来为不支持HTTP/2的Web服务器启用HTTP/2支持。文中分别介绍了在Apache和Nginx服务器上通过反向代理启用HTTP/2的方法,并给出了相应的配置示例和建议。此外,还提到了在无法直接升级主Web服务器的情况下,如何通过反向代理来测试HTTP/2,并对配置中可能遇到的一些细节进行了说明。
使用GOST搭建一个简单的端口转发(Linux&Windows)
qq_21279961的博客
06-29 1万+
Gost是一个功能多样且实用的安全隧道工具,使用的是go语言编写 GitHub项目:https://github.com/ginuerzh/gost Gost文档:https://docs.ginuerzh.xyz/gost (比如甲骨文机型) TCP 转发 UDP 转发 全协议转发(TCP+UDP) 小飞机转发 示例:使用A服务器的端口转发IP为的B服务器的端口(TCP+UDP) 创建命令后我们就可以连接到A服务器的端口,从而使用B服务器的端口; 如果服务器使用了宝塔面板需要在面
gost端口转发使用详解
热门推荐
zzlufida的博客
10-08 1万+
gost远程端口转发使用详解,讲解如何利用公网服务器,让其他内网电脑相互连接.实现网络穿透的效果.
gost小工具转发端口
奔跑的菜鸡
04-16 3358
先上资源下载 https://github.com/ginuerzh/gost/releases 各自找对应的版本,我这边是linux用的 gzip -d gost-linux-amd64-2.11.1.gz mv gost-linux-amd64-2.11.1 gost chmod 744 ./gost #访问8765时可以转发到35673,访问的ip可以自定义,这里我用的是127.0.0.1本地ip ./gost -L=tcp://:35673/127.0.0.1:8765 [-F=..]
构建零信任代理:mTLS双向认证的完整实现.pdf
最新发布
05-08
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
使用命令行工具实现MTLS通道的TPP身份验证示例
标题提到的 `open-banking-client-authentication-tool` 是一个命令行工具,它演示了如何在开放银行架构中,作为第三方支付提供者(Third Party Provider, TPP)使用双向TLS(Mutual TLS, mTLS通道及 `private_key...
gae_requests_mtls_demo:在GAE上请求通过双向TLS(MTLS)认证的远程HTTPS资源的一个小示例
05-20
GAE请求库MTLS身份验证演示 一个通过库在Google App Engine上通过双向TLS(MTLS)认证的远程HTTPS资源的小示例。 为什么? 相互TLS与其他两方身份验证方法(例如OAuth2)相比,具有几个主要优点。 速度:加密操作...
『每周译Go』手把手教你用 Go 实现一个 mTLS
Go中国
12-07 554
想知道什么是 mTLS(双向 TLS)?来吧,让我们用 Golang 和 OpenSSL 实现一个 mTLS。介绍TLS(安全传输层协议简称)为网络通信的应用程序提供必要的加密。HTTPS...
Service Mesh中流量劫持与mTLS加密机制实现原理
qq_40552871的博客
04-09 698
mTLS(Mutual TLS)即双向传输层安全协议,是 TLS(传输层安全协议)的扩展。在 Service Mesh 中,mTLS 加密机制主要用于确保服务间通信的安全性。身份认证:mTLS 要求通信双方(服务提供者和服务消费者)都必须提供证书进行身份验证。例如,在金融交易系统中,当服务 A(如用户认证服务)向服务 B(如交易处理服务)发送请求时,服务 A 和服务 B 都需要出示自己的证书,只有双方证书验证通过后,才能建立通信连接。这有效防止了中间人攻击,确保通信双方是合法的服务实例。数据加密。
gost搭建反向代理,实现内网穿透
闲人的专栏
05-16 3918
host A和host B处于内网中,没有公网IP地址,要想让外部的人员可以访问内网中的host B上的ssh服务( :22端口),在host A上通过gost 将host B的22端口映射到远程 server上的2222端口上。远程端口映射的意思就是,将本地端的一个服务的端口A(tcp/udp)映射到远程公网主机的端口P上, 用户通过访问远程端口P来访问本地的这个服务端口A。此处用的是socks5协议进行传输,用relay协议也是可以的,参考gost的文档。gost 采用gost 的v3版本来做。
Windows Server 2012 搭建网关服务器并端口转发
哈哈虎的博客
07-23 4657
使用 Windows server 作为Hyper-V 虚拟出许多虚拟机,基本上都分配了内网地址,现在需要这些虚拟机访问外网,或者外网直接访问这些虚拟机,必须配置一个网关服务器。我决定直接使用 Windows 的远程访问中的 NAT 服务来完成。
HTTP隧道端口转发之Abptts实战
include_heqile的博客
12-14 4568
实验时可能需要把windows10的防火墙关掉,不然无法建立连接,因为默认网站无法被外部电脑访问 环境: 靶机: windows10 模拟公网IP:192.168.31.121 模拟内网IP:192.168.126.1 kali 内网IP:192.168.126.128 windows8 内网ip:192.168.126.129 攻击机: kali 模拟公网IP:...
http转发+linux,端口转发,http_80端口转发的问题,端口转发,http,linux - phpStudy
weixin_30151653的博客
05-15 511
80端口转发的问题用DDNS解析域名http://hustlibraco.vicp.cc/到家里的公网ip,然后设置家里的路由器进行端口转发,把8888端口的数据转发到家里的一台linux虚拟机上的8888端口,linux服务器在8888上监听请求。然后就可以采用http://hustlibraco.vicp.cc:8888访问到linux服务器。但是访问linux的时候老是带个端口号很麻烦,ht...
linux搭建dns服务器以及配置nginx端口转发新手向
weixin_42565137的博客
03-20 3091
实现目的:自己搭建一台dns服务器,通过dns的解析,能在另一台windows主机通过自己设定的域名访问项目 linux主机(dns服务器): 操作系统:ubuntu14.0.4 ip: 10.0.22.20(ifconfig的内网ip) windows主机(用于测试): ip: 10.0.10.8(ifconfig的内网ip) 程序端口:8030 一.搭建dns服务器 以下操作都在DN...
Spring Boot 配置 Https 以及http 端口转发
斗战圣佛91的博客
06-09 1884
Spring Boot 加入 Https 功能有那么难吗? Spring Boot Https 2019年 08月13日 https 现在已经越来越普及了,特别是做一些小程序或者公众号开发的时候,https 基本上都是刚需了。 不过一个 https 证书还是挺费钱的,个人开发者可以在各个云服务提供商那里申请一个免费的证书。我印象中有效期一年,可以申请 20 个。 今天要和大家聊的是在 Spring Boot 项目中,如何开启 https 配置,为我们的接口保驾护航。 https 简介 ...
树莓派搭建centos7服务器 第二小时 配置动态域名+端口转发
weixin_41580949的博客
11-23 409
树莓派搭建centos7服务器 第二小时 配置动态域名+端口转发
通过 SSH 隧道将本地端口转发远程主机
猿小白的博客
11-09 529
由于服务器防火墙,只开放了22端口,想要通过5901访问服务器上的远程桌面,可以通过下面的方式进行隧道转发
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值