为Postman和Burp Suite添加证书进行API测试

在评估使用基于证书认证的API时，我们需要将证书添加到测试工具如Postman和Burp Suite中。这样可以使我们在客户端和服务器之间代理请求，从而正确评估API的安全性。

本快速指南将介绍如何在Postman中集成证书和私钥以实现认证目的。我们还将介绍如何在Burp Suite中包含pkcs12格式的客户端证书，以实现无缝流量拦截。

前置要求

要在Postman中添加证书，我们需要从其官方网站下载Postman桌面代理。该应用程序是跨平台的，支持Windows、Linux和MacOS。

下载链接：https://www.postman.com/downloads

下载Postman后，打开工作区仪表板，通过点击齿轮图标访问"设置"菜单。在"证书"部分，点击"添加证书"按钮。

图1和图2 - 显示Postman设置中的证书部分

然后，我们输入证书信息，包括证书文件（通常为.crt、.pem或.cer格式）和私钥文件（.key或.pem格式）。如果证书使用密码短语，我们也需要提供。

输入所有必需信息后，我们可以点击"添加"。这将在客户端证书部分下添加新证书，可以从设置中访问，如图4所示。

图3和图4 - 显示将客户端证书添加到Postman

Postman现在将包含发送到"test.com"域的所有HTTPS请求的客户端证书。为了验证这一点，我们使用HTTPS向该域发送请求，并在控制台中检查证书。

图5 - 显示在Postman中发送HTTPS请求图6 - 显示在Postman控制台中检查客户端证书

添加客户端证书后，我们需要设置Postman将请求代理到Burp Suite。为此，我们再次导航到"设置"菜单，点击"代理"部分，并启用"使用自定义代理配置"的切换按钮。

之后，选择代理类型为HTTP和HTTPS，并指定代理服务器的IP地址（本例中为本地主机），输入127.0.0.1和Burp Suite的端口号为8080（默认端口）。

图7 - 显示Postman中的代理设置

要将证书添加到Burp Suite，我们需要使用OpenSSL将证书和私钥文件打包成pkcs12格式，使用以下命令。如果私钥使用密码短语，OpenSSL将要求输入。

1

sudo openssl pkcs12 -export -out cert.pfx -inkey private.key -in certificate.crt

它还会要求输入导出密码，在提取证书时需要。记住导出密码很重要，因为我们稍后在向Burp添加证书时需要它。

图8 - 显示将文件转换为pkcs12格式

接下来，我们转到Burp设置，在网络部分下，导航到TLS > 客户端证书。我们点击"添加"，选择证书类型为"PKCS#12"，然后点击下一步。

图9和图10 - 显示向Burp添加证书

我们选择新转换的.pfx格式证书，并提供转换文件时使用的导出密码。一切正确加载后，我们将收到"证书已成功加载"的消息。

完成这些步骤后，我们可以无问题地使用Burp拦截来自Postman的HTTPS请求。

今天的帖子就到这里，感谢阅读！