什么是双向 TLS（mTLS）？客户端证书认证

2026-05-08

mtlsmutual-tlsclient-certificateapizero-trust

在普通 HTTPS 中，只有服务器用证书证明身份。客户端（浏览器）是匿名的——服务器不知道是谁在连接。

**双向 TLS（mTLS）**增加了第二步：客户端也出示证书。双方相互认证。服务器根据受信任的 CA 验证客户端证书，客户端验证服务器的——因此称为”双向”。

普通 TLS vs 双向 TLS

	普通 TLS	双向 TLS（mTLS）
服务器证明身份	✅ 证书 + CA 签名	✅ 相同
客户端证明身份	❌ 匿名	✅ 客户端证书
认证方式	单向（仅服务器）	双向（双方）
使用场景	公开网站	内部 API、零信任
客户端需要	仅浏览器	证书 + 私钥
配置复杂度	标准	较高——需要管理客户端证书

何时使用 mTLS

服务间通信

微服务之间通过网络相互通信。mTLS 确保只有授权的服务才能连接——不是任何知道 URL 的人。

Service A ←──mTLS──→ Service B
Both verify: "Are you who you claim to be?"

零信任架构

在零信任中，没有网络连接是默认受信任的——即使在企业网络内部。mTLS 用基于身份的信任（证书）取代基于网络的信任（防火墙、VPN）。

API 安全

超越 API 密钥保护敏感 API。被窃取的 API 密钥任何人都能使用。客户端证书绑定到特定私钥——更难窃取和使用。

物联网设备认证

设备在制造时预置客户端证书连接到后端。服务器知道它在与真实设备通信，而非伪造的。

mTLS 的工作原理

客户端连接并发起 TLS 握手（与普通 TLS 相同）
服务器发送其证书 —— 客户端验证（与普通 TLS 相同）
服务器请求客户端证书 —— 发送 CertificateRequest 消息
客户端发送其证书 —— 服务器根据受信任的 CA 验证
双方计算会话密钥，加密通信开始

步骤 3-4 使其成为”双向”。

Nginx mTLS 配置

server {
    listen 443 ssl;
    server_name api.example.com;

    # Server certificate (same as regular HTTPS)
    ssl_certificate     /etc/ssl/server-fullchain.pem;
    ssl_certificate_key /etc/ssl/server-privkey.pem;

    # Client certificate verification
    ssl_client_certificate /etc/ssl/client-ca.pem;  # CA that signed client certs
    ssl_verify_client on;                            # Require client cert

    # Optional: pass client cert info to your app
    proxy_set_header X-Client-DN $ssl_client_s_dn;
    proxy_set_header X-Client-Verify $ssl_client_verify;
}

mTLS vs 其他认证方式

方式	安全级别	复杂度	最适合
API key	低（可共享）	低	公开 API、速率限制
OAuth/JWT	中	中	面向用户的 API
mTLS	高（密码学绑定）	高	服务间通信、零信任
mTLS + JWT	最高	高	传输层和应用层双重认证