背景

对信息安全要求较高的互联网应用，除了传统的HTTPS之外，还引入了客户端证书认证，变成双向认证，比如银行客户端专业版软件，通常需要配合类似USB KEY的数字证书，才能使用。
随着对安全的越来越重视，一般企业应用引入双向认证的案例也越来越多。本文介绍的案例是面向代理商的应用，代理商大小不一，有的有专门IT人员规范公司IT，安全性较高，有的则全靠前端门店店员自己管理。
客户引入双向认证除了确保通信安全外，还有一个重要考虑是确保员工岗位变动或离职，引起的账户泄露风险，有客户端证书（USB KEY）之后，只要集中管理好客户端证书就可以了。
但同时也存在一些问题：

发行客户端证书需要费用还要走申请流程（向外部CA申请的话，申请资料邮寄，发行制作，邮寄证书等）
为识别客户端证书通常需要安装专门驱动软件，这可能不符合组织安全政策，另外因系统升级容易破坏驱动的兼容性，导致证书不可用。

为解决上述问题，在不增加成本前提下，本文尝试探讨NGINX单双向混合认证。

方案示意图

系统构成图

实现步骤

安装NGINX
sudo apt install nginx
更改配置文件
sudo vi /etc/nginx/sites-enabled/default
用以下类容替换原来的

upstream backend {
    server 10.100.99.195:8080; #后端APP应用地址
}

geo $is_in_white_list {
    default NO;     #默认拒绝
    10.100.99.221 YES;  #白名单用户，通过
}

server {
    listen 443 ssl default_server;

    include snippets/snakeoil.conf; #服务器证书设置，偷懒使用NGINX安装自带证书
    ssl_client_certificate /home/simon/root/root-cert.pem;  #客户端认证证书CA，需要自己制作，请自行百度
    ssl_verify_client optional; #请求提供客户端证书，但不强制
    location / {
        if ($is_in_white_list = YES) {  #白名单用户，通过
            proxy_pass http://backend;
            break;
        }
        #客户端证书验证未通过
        if ($ssl_client_verify != "SUCCESS") { return 400 ;}
        proxy_pass http://backend;
    }
}

启动nginx（服务器地址10.100.99.195）
sudo systemctl start nginx
启动后端APP
（这里在同一台机器用的docker容器启动tomcat，各位根据实验条件自己设置，只要设置的地址能访问后端服务即可）
sudo docker run --rm -p8080:8080 tomcat &>/dev/null &

验证一下

在10.100.99.221用IE访问https://10.100.99.195

服务器证书错误，请无视

无证书，白名单，访问成功

在10.100.99.221以外地址用IE访问https://10.100.99.195

服务器证书错误，请无视
无证书，非白名单，被拒了
在10.100.99.221以外地址持客户端证书，用IE访问https://10.100.99.195，
（证书需要提前制作,注意需要经过上文提到的客户端认证证书CA签名）

客户端证书

再次访问服务器

IE自动弹出匹配的客户端证书
有证书，非白名单，访问成功