PHP의 SSL/TLS 양방향 인증 메커니즘에 대한 심층적인 이해

PHP의 SSL/TLS 양방향 인증 메커니즘에 대한 심층적인 이해

SSL(Secure Sockets Layer) 및 TLS(Transport Layer Security)는 네트워크 통신의 보안을 보호하는 데 사용되는 프로토콜입니다. PHP에서는 OpenSSL 확장을 사용하여 SSL/TLS 프로토콜을 사용할 수 있습니다. SSL/TLS 프로토콜은 클라이언트와 서버 간의 인증을 보장하고 통신 보안을 보장하기 위한 양방향 인증 메커니즘을 제공합니다. 이 기사에서는 PHP의 SSL/TLS 양방향 인증 메커니즘을 자세히 살펴보고 몇 가지 코드 예제를 제공합니다.

1. 인증서 만들기

양방향 인증을 위해서는 두 당사자 모두 자신의 인증서가 있어야 합니다. 일반적으로 서버에는 공개 키 인증서가 있어야 하며, 클라이언트는 공개/개인 키 쌍을 생성하고 공개 키를 서버에 제공해야 합니다.

다음 단계에 따라 서버 인증서를 생성할 수 있습니다.

$sslConfig = array(
    "private_key_bits" => 2048,
    "private_key_type" => OPENSSL_KEYTYPE_RSA,
);
$sslContext = openssl_pkey_new($sslConfig);
openssl_pkey_export($sslContext, $privateKey);
$csr = openssl_csr_new(
    array(
        "commonName" => "example.com",
        "subjectAltName" => "www.example.com",
    ),
    $privateKey
);
openssl_csr_export($csr, $csrOut);
openssl_csr_sign($csr, null, $privateKey, 365);
openssl_x509_export($csr, $publicKey);

file_put_contents("server.key", $privateKey);
file_put_contents("server.csr", $csrOut);
file_put_contents("server.crt", $publicKey);

클라이언트의 공개 키/개인 키 쌍은 다음 단계에 따라 생성할 수 있습니다.

$sslConfig = array(
    "private_key_bits" => 2048,
    "private_key_type" => OPENSSL_KEYTYPE_RSA,
);
$sslContext = openssl_pkey_new($sslConfig);
openssl_pkey_export($sslContext, $privateKey);
$csr = openssl_csr_new(
    array(
        "commonName" => "client.example.com",
    ),
    $privateKey
);
openssl_csr_export($csr, $csrOut);
openssl_csr_sign($csr, null, $privateKey, 365);
openssl_x509_export($csr, $publicKey);

file_put_contents("client.key", $privateKey);
file_put_contents("client.csr", $csrOut);
file_put_contents("client.crt", $publicKey);

2. 서버 구성

서버는 공개 키를 로드해야 합니다. 인증서와 개인키를 입력한 후 양방향 인증을 진행하세요.

다음은 간단한 예입니다.

$sslOptions = array(
    "local_cert" => "server.crt",
    "local_pk" => "server.key",
);

$sslContext = stream_context_create(array(
    "ssl" => $sslOptions,
));

위의 SSL 컨텍스트는 서버를 생성할 때 사용할 수 있습니다.

$server = stream_socket_server(
    "ssl://0.0.0.0:443",
    $errno,
    $errorMessage,
    STREAM_SERVER_BIND | STREAM_SERVER_LISTEN,
    $sslContext
);

이 예에서 서버는 로컬 포트 ​​443을 수신하고 SSL 통신을 위해 신뢰할 수 있는 인증서를 사용합니다.

3. 클라이언트 구성

클라이언트는 공개/개인 키 쌍을 로드하고 공개 키를 사용하여 서버와 핸드셰이크해야 합니다.

다음은 간단한 예입니다.

$sslOptions = array(
    "local_cert" => "client.crt",
    "local_pk" => "client.key",
);

$sslContext = stream_context_create(array(
    "ssl" => $sslOptions,
));

위의 SSL 컨텍스트는 클라이언트를 생성할 때 사용할 수 있습니다.

$client = stream_socket_client(
    "ssl://example.com:443",
    $errno,
    $errorMessage,
    30,
    STREAM_CLIENT_CONNECT,
    $sslContext
);

이 예에서 클라이언트는 example.com의 포트 443에 연결하고 서버에서 공개 키를 사용합니다. SSL 핸드셰이크를 수행합니다.

4. 양방향 인증 확인

양쪽이 성공적으로 연결을 설정하고 SSL/TLS를 사용하여 핸드셰이크하면 양방향 인증을 수행할 수 있습니다.

다음은 간단한 예입니다.

서버 측:

$peerCertificate = openssl_x509_parse(stream_context_get_params($client)["options"]["ssl"]["peer_certificate"]);

if ($peerCertificate["subject"]["CN"] === "client.example.com") {
    // 鉴权成功
} else {
    // 鉴权失败
}

클라이언트 측:

$peerCertificate = openssl_x509_parse(stream_context_get_params($client)["options"]["ssl"]["peer_certificate"]);

if ($peerCertificate["subject"]["CN"] === "example.com") {
    // 鉴权成功
} else {
    // 鉴权失败
}

이 예에서는 서버 측과 클라이언트 모두 서로의 인증서를 구문 분석하고 인증서의 일반 이름(CN)이 있는지 확인합니다. 기대에 부합합니다. 인증에 실패하면 인증서가 일치하지 않거나 인증서가 변조되었을 수 있습니다.

결론

PHP의 SSL/TLS 양방향 인증 메커니즘을 깊이 이해함으로써 인증서 생성, 서버 및 클라이언트 구성, 양방향 인증 확인 수행 방법을 배웠습니다. SSL/TLS 양방향 인증 메커니즘은 서버와 클라이언트 간의 보안 통신을 보장하고 데이터 전송 보안을 향상시킬 수 있습니다. 실제 개발에서는 실제 필요에 따라 SSL/TLS 양방향 인증을 합리적으로 구성하고 사용해야 합니다.

위 내용은 PHP의 SSL/TLS 양방향 인증 메커니즘에 대한 심층적인 이해의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!