如何在Web服务器中安全地从PHP进行TLS连接

前端之家收集整理的这篇文章主要介绍了如何在Web服务器中安全地从PHP进行TLS连接前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
假设我在Web服务器中运行了一些PHP代码,例如,运行一个简单的Cake程序.从这个应用程序,我想偶尔建立一个TLS连接到一些服务器来交换一些数据.这通常是怎么做的? (我对PHP的经验不多.)

建议使用哪些PHP插件或库或其他方法来完成TLS连接?哪些地方可以开始寻找? (我最初的谷歌搜索给了我很大比例的噪音信号.)

将X509私钥放在Web服务器上涉及哪些安全问题?要建立TLS连接,我将需要X509证书和相应的私钥,可能需要PEM文件,或DER文件,或Java密钥库,或其他任何东西.这个私钥是否会位于Web根目录下易受攻击的位置?这通常如何处理?有什么安全问题,特别是保护用于建立TLS连接的私钥的安全问题?什么是最佳做法?

编辑:我忘了提到程序连接的服务器需要提供客户端证书.客户端确实需要私钥才能连接.此外,我连接的服务器不是HTTP服务器 – 我只需要在与服务器的普通套接字连接上读取/写入(通过SSL / TLS连接).

解决方法

TLS是正确的名称,但大多数人仍将其称为SSL.在PHP中,您可以建立此连接 using CURL.

使用TLS / SSL客户端,您只需要公钥即可验证远程主机.这个公钥只是那个公共密钥,它是否泄露给攻击者并不重要.在服务器端,Apache可以访问公钥和私钥.使用普通文件访问权限保护这些密钥.在* nix系统下,这些密钥通常存储在/ etc /中的某个地方,由Apache进程拥有,而chmod 400最好.

客户端最简单的身份验证方法是简单的用户名/密码.您可以使用SSL对客户端和服务器进行身份验证.这将要求您将私钥存储在您的程序可以访问的位置,理想情况下,在具有chmod 400的webroot之外,但您可以轻松地将其重命名为.PHP或将其放在包含拒绝的.htaccess的文件夹中.所有.在服务器端,您可以使用these environmental variables验证客户端证书.

如果您只想要TLS连接而不是HTTP.然后你可以通过设置Context Options来使用stream_context_set_option:

<?PHP 
$context = stream_context_create(); 
$result = stream_context_set_option($context,'ssl','local_cert','/path/to/keys.pem'); 
// This line is needed if your cert has a passphrase
$result = stream_context_set_option($context,'passphrase','pass_to_access_keys'); 

$socket = stream_socket_client('tls://'.$host.':443',$errno,$errstr,30,STREAM_CLIENT_CONNECT,$context); 
?>

猜你在找的HTML相关文章