一、背景

很多主机厂都说需要做HTTPS的双向认证，那到底什么是双向认证呢？

二、什么是Https的双向认证？

英文是Mutual TLS

HTTPS双向认证是一种安全通信方式，它需要在客户端和服务端之间进行双向身份验证。在这种方式中，客户端需要提供服务端所需的证书，而服务端也需要提供客户端所需的证书。双方都需要验证对方的证书，确保通信的安全性。这样就可以确保只有双方都被认证后，才能进行安全的通信。

三、PKI 系统是啥？为啥会有PKI系统？

3.1 PKI 是什么？

PKI (公钥基础设施) 是一种用于管理公钥证书的系统。
它包括证书颁发机构 (CA)、证书管理器、证书库等组件。
PKI 可用于加密通信、数字签名、身份认证等多种用途。

3.2 为啥会有PKI系统？

PKI系统（公钥基础设施）是为了解决在电子商务和其他在线交易中的安全性问题而产生的。它使用公钥加密技术来保证交易的安全性和真实性，并使用数字证书来

3.3 双密钥证书的生成过程

项目组使用的PKI技术采用双密钥、双证书机制，双密钥证书的生成过程包括以下步骤:

• 首先，用户需要生成一对公钥和私钥。这对密钥是非常重要的，私钥用于签名和加密，而公钥用于验证签名和解密。
• 用户将公钥发送给证书颁发机构 (CA)，请求颁发证书。
• CA收到公钥后，会验证该公钥的真实性和有效性。如果通过了验证，CA会签发一个数字证书，其中包括了用户的公钥和一些其他的信息，如用户名和证书有效期。
• 数字证书签发完成后，CA会用自己的私钥对该证书进行签名，并将该证书发送给用户。
• 用户收到证书后，可以使用该证书与其他用户进行加密和签名操作。
• 另外，用户也可以生成另一对公钥和私钥,经过类似的流程获取另一个证书.
• 用户可以使用这两对密钥的证书分别用于不同的场景,例如一个用于身份认证,一个用于数据加密.

四、基于车机与云服务之间的HTTPS双向认证如何做？

以下是示意图

五、基于云服务之间的HTTPS双向认证怎么做？

云端服务之间的双向认证可以通过使用证书来实现。在这种方式中，服务提供者将公钥证书发送给服务消费者，服务消费者使用该证书来验证服务提供者的身份。反之亦然，服务消费者也可以向服务提供者发送自己的公钥证书，服务提供者可以使用该证书来验证服务消费者的身份。

如果有个第三方服务平台，说要跟你的云平台做Https的双向认证（X.509）
这个时候，你考虑两件事

5.1 看对方的证书的签发情况

场景1：运营级证书

如果对方也是运营级的证书，即证书签发方是权威CA网站，而且你的服务器也是运营级的证书，那么系统是自动互相信任的。不需要任何证书的参与

场景2：自签发证书

如果对方也是自签发的证书，那么此时我们需要获得到对方的CA.crt根证书。

5.2 你的云平台能提供的证书情况

5.2.1 场景1：运营级证书

如果你的云平台的是运营级CA生成，那么你所有证书都不同提供给对方，这类证书就是类似与门户网站的证书。

（1）SSL证书的主要角色
就是为网站的机密数据提供加密传输功能，从而确保机密信息的机密性、完整性和不可否认性。对于网上电子商务来讲，用户在向网站提交机密信息之前如果不能信任此网站，那再高强度的加密也是没有用的，因为加密只是一种技术保护措施。所以， SSL证书标准也在不断完善，使得 SSL证书不仅起到加密作用，并起到网站的电子身份证的作用，因为 SSL证书中将包含经过证书颁发机构验证的单位名称和所在地区等信息，这样，就大大方便了在线用户能实时查验此网站是否是用一个现实世界的实体所拥有和是否就是网站上所声称的单位，从而让用户放心地从事在线交易。

（2）最新的SSL证书
最新的SSL证书为 EV SSL 证书的推出，其推出的Secure Site Pro-EV 具有强制SGC128位加密技术，最大程度上确保网站的安全可靠性。

（3）全球最大的 SSL证书厂商
全球最大的 SSL证书厂商是VeriSign ，该公司提供的SSL证书保护着全世界超过 百万台 Web 服务器的安全。目前VeriSign在中国区不提供直接数字证书服务，其中国区授权的合作伙伴是天威诚信数字认证中心，该机构为VeriSign在中国区首席合作伙伴，拥有VeriSign旗下VeriSign、GeoTrust、Thawte三各品牌证书产品，可以访问VeriSign 中国区官方网站 或 其合作伙伴天威诚信 查找详细的信息。

HTTPS运营级证书厂商，包括以下：

• Godaddy
• 阿里云的证书https
• 飘淼科技
• 天威
• 沃通科技（蓝岭）

5.2.2 场景2：自签发证书

如果你的云平台的是自签发证书（符合X.509，一种数字证书的格式标准），需要对方信任我们的CA.crt，需要对方配置这个证书 ，并且需要将我们的云平台的Nginx上配置好client.crt +client.key。