边缘加速
  • 站点加速
    • 概述
    • 访问控制
      • Token authentication
        • Token 鉴权
        • 认证方法A
        • 认证方法B
        • 认证方法C
        • 认证方法D
        • 认证方法V
    • 智能加速
    • Cache configuration
      • 概述
      • EdgeOne caching rules introduction
        • EdgeOne 内容缓存规则
        • 缓存键(Cache Key)介绍
        • Vary 特性
      • 缓存配置
        • 自定义 Cache Key
        • 节点缓存 TTL
        • 状态码缓存 TTL
        • 浏览器缓存 TTL
        • 离线缓存
        • 缓存预刷新
      • 清除和预热缓存
        • 清除缓存
        • 预热缓存
        • Prefetch M3U8
      • How to improve the Cache Hit Rate of EdgeOne
    • 文件优化
      • 内容压缩
      • 智能压缩
    • 网络优化
      • HTTP/2
      • HTTP/3(QUIC)
        • 概述
        • 启用 HTTP/3
        • QUIC SDK
          • SDK 概览
          • SDK 下载和集成指引
          • 代码示例
            • Android
            • iOS
          • API 文档
            • Android
            • iOS
      • IPv6 访问
      • 最大上传大小
      • WebSocket
      • 携带客户端 IP 头部回源
      • 携带客户端 IP 地理位置头部回源
      • 开启 gRPC
      • Network Error Logging
    • URL 重写
      • 访问 URL 重定向
      • 回源 URL 重写
    • 修改头部
      • 修改 HTTP 节点响应头
      • 修改 HTTP 回源请求头
    • Modify response content
      • HTTP Response
      • Custom Error Page
    • 规则引擎
      • 概述
      • 规则管理
      • 变量
      • 规则引擎支持的匹配类型与操作
    • Image and video processing
      • Audio and Video Pre-pulling
      • Just-in-Time Image Processing
      • Video Just-In-Time Processing
      • VOD Media Origin
    • Speed limit for single connection download
    • 请求与响应行为
      • HTTP响应
      • 请求处理顺序
      • EdgeOne 默认 HTTP 回源请求头
      • EdgeOne 默认 HTTP 响应头
      • HTTP限制
    • 媒体服务
      • 音视频预拉取
      • 实时图片处理
      • 实时媒体处理
      • 点播媒体源
  • 四层代理
    • 概述
    • 新建四层代理实例
    • 修改四层代理实例配置
    • 停用/删除四层代理实例
    • 批量配置转发规则
    • 获取客户端真实IP
      • 通过 TOA 获取 TCP 协议客户端真实 IP
      • 通过 Proxy Protocol V1/V2 协议获取客户端真实 IP
        • 概述
        • 方式一:通过 Nginx 获取客户端真实 IP
        • 方式二:在业务服务器解析客户端真实 IP
        • Proxy Protocol V1/V2 获取的客户端真实 IP 格式
      • 通过 SPP 协议传递客户端真实 IP
  • 边缘 DNS
    • Domain Name Services
      • 概述
      • DNS resolution for managed domains
        • 修改 DNS 服务器
        • 配置域名 DNS 解析记录
        • 批量导入DNS记录
        • DNS 高级配置
      • Access accelerated domains
        • 添加加速域名
        • 站点/域名归属权验证
        • 修改 CNAME 解析
        • 验证业务访问
      • Traffic scheduling
        • 流量调度管理
    • HTTPS Certificate
      • Overview
      • Edge HTTPS Certificate
        • Overview
        • Deploying/Updating SSL Certificate for A Domain Name
        • Configuring A Free Certificate for A Domain Name
        • Using Keyless Certificate
      • Edge mTLS Authentication
      • Origin Certificate Validation
      • HTTPS configuration
        • Forced HTTPS Access
        • Enabling HSTS
        • SSL/TLS security configuration
          • Configuring SSL/TLS Security
          • TLS Versions and Cipher Suites
        • Enabling OCSP Stapling
      • Related References
        • Using OpenSSL to Generate Self-Signed Certificates
        • Certificate Format Requirements
        • The Difference Between one-way authentication and Mutual authentication
    • 源站配置
      • 负载均衡
        • 概述
        • 快速创建负载均衡实例
        • 健康检查策略介绍
        • 查看源站健康状态
        • 相关参考
          • 负载均衡相关概念
          • 请求重试策略介绍
      • Origin Group Configuration
      • 回源配置
        • 回源超时
        • 配置回源 HTTPS
        • Host Header 重写
        • 回源请求参数设置
        • 回源跟随重定向
        • HTTP/2 回源
        • 分片回源
        • Modify Origin
        • Origin-pull Rate Limiting Policy
      • Origin Protection(Obtaining/Updating Origin IP Address Range)
      • 相关参考
        • 旧版源站组兼容相关问题
文档概览/
边缘加速/
边缘 DNS/
HTTPS Certificate/
Edge mTLS Authentication/

Edge mTLS Authentication

功能简介

HTTPS 双向认证,又称为双向 TLS 认证或客户端认证,是一种安全通信协议,其中服务器和客户端都需要验证对方的身份。在标准 HTTPS 中,主要是服务器向客户端证明自己的身份(通过服务器证书),从而建立起一个安全的、加密的通信通道。双向认证在此基础上更进一步,要求客户端也提供证书,由服务端验证客户端的身份。这种方式常用于需要高度安全的系统,以确保通信双方都是可信任的。认证方式区别可参见 单向认证和双向认证的区别
在客户端和边缘节点进行 HTTPS 连接时,如果当前已配置了边缘 HTTPS 证书,EdgeOne 可支持在此基础上进一步要求提供客户端证书,使用双向认证握手。

准备工作

一本服务端证书,分别是 server.crt、server.key;
一本客户端证书,分别是 client.crt、client.key,以及为该客户端证书签发的 CA 证书:CA.crt,该证书需要将完整的证书链提前上传至 腾讯云 SSL 控制台,该证书需要包含完整的证书链,格式要求可参考:CA 证书格式和证书链规范
说明:
如果您当前还没有购买服务端证书和客户端证书,在测试环境下,您也可以参见使用 OpenSSL 生成自签名证书来生成自签名证书。

使用限制

当前每个域名仅支持配置 1 本客户端 CA 证书,支持 RSA、ECC 或者 SM2 国密算法证书。
如果服务端配置的是国密算法证书,客户端 CA 证书也必须为国密算法证书。

操作步骤

例如:需要针对 www.example.com 域名配置双向认证, 客户端 CA 证书已上传至腾讯云 SSL 控制台内。
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 在站点详情页面,单击域名服务 > 域名管理。
3. 在域名管理页面,选择待配置证书的域名,在 HTTPS 列内单击编辑,弹出 HTTPS 证书配置,在双向认证配置中,打开边缘双向认证开关并选择已有的客户端 CA 证书进行配置。



4. 单击确定,即可下发配置,部署完成后即可生效。配置完成后,客户端需要携带由该客户端 CA 证书签发的客户端证书进行访问,否则无法完成 HTTPS 握手。您也可以通过参照以下 curl 命令,携带客户端证书信息来验证是否握手成功。
curl https://www.example.com --cert client.crt --key client.key -v -k
其中,--cert 为客户端公钥证书在本地的路径,--key 为客户端私钥证书在本地的路径。

常见问题

测试时报错,返回:Empty reply from server?

这种情况下,最常见的可能性是由于当前配置的客户端 CA 证书的证书链不完整,您需要将完整的证书链内容拼接到一起,上传到腾讯云 SSL 控制台内,拼接内容的顺序需要严格按照 CA 证书格式和证书链规范 的顺序进行拼接。
您也可以在本地通过 openssl 命令先校验 CA 证书和客户端证书,如果显示 client.crt: OK,说明链路没问题。
openssl x509 -in client.crt -text -noout
openssl verify -CAfile CA.crt client.crt