使用Https双向证书认证建立安全传输通道

使用场景

Https双向证书认证适用于金融、医疗、政府与公共服务、企业数据管理等对数据安全性要求较高的场景。例如存储在OBS中的医院患者的医疗影像信息，双向证书认证可实现只有合法的客户端和OBS之间能够安全地传输和存储这些医疗数据，防止患者信息被非法访问或篡改，确保医疗数据的保密性和完整性。OBS支持基于国际通用证书和国密证书（ECDHE-SM4-SM3）的双向认证，证书托管相关详情可参见证书托管。

工作原理

与单向认证不同，双向证书认证在建立数据传输通道时，不仅客户端要验证服务器证书，服务器也要验证客户端证书，详细工作原理如下：

• 双向认证：双向通信流程，客户端除了需要从服务器端下载服务器的公钥证书进行验证外，还需要把客户端的公钥证书上传到服务器端给服务器端进行验证，等双方都认证通过后，才开始建立安全通信通道进行数据传输。

约束限制

• 双向证书认证只能配合桶的自定义域名使用，使用该特性时建议配合桶策略限制访问必须来自于自定义域名。例如，允许账号ID为1221f988bee*********7206724a35c4，IAM用户ID为1ae58b24*********1472917fd4abadc的IAM用户，在使用SSL加密的情况下，使用自定义域名访问obs-two-ways桶和桶内对象，对其进行列举、下载和上传对象操作。

  {
      "Statement": [
          {
              "Sid": "test",
              "Effect": "Allow",
              "Principal": {
                  "ID": [
                      "domain/1221f988bee*********7206724a35c4:user/1ae58b24*********1472917fd4abadc"
                  ]
              },
              "Action": [
                  "List*",
                  "GetObject",
                  "PutObject"
              ],
              "Resource": [
                  "obs-two-ways",
                  "obs-two-ways/*"
              ],
              "Condition": {
                  "Bool": {
                      "SecureTransport": [
                          "true"
                      ],
  		    "CustomDomain": [
  			"true"
  		    ]
                  }
              }
          }
      ]
  }

• 自定义域名支持单向认证和双向认证两种场景，在双向认证场景中，同一个自定义域名下仅支持配置国际证书或者国密证书其中的一种，不同时支持国际和国密的双向认证。在单向认证场景中，同一个自定义域名下支持同时配置国际证书和国密证书。

使用API

您可以使用API接口上传证书和获取证书配置：

设置桶的自定义域名

获取桶的自定义域名