为API测试在Postman和Burp Suite中添加证书

当评估使用基于证书认证的API时，有必要将证书添加到我们的工具中，如Postman和Burp Suite。这使我们能够在客户端和服务器之间代理请求，以正确评估API的安全性。

在本快速指南中，我们将介绍将证书和私钥集成到Postman中以进行认证的步骤。我们还将介绍如何包含pkcs12格式的客户端证书，以便使用Burp Suite进行无缝流量拦截。

前置条件

要在Postman中添加证书，我们需要从其官方网站下载Postman桌面代理。此应用程序是跨平台的，支持Windows、Linux和MacOS。

下载链接：https://www.postman.com/downloads

下载Postman后，打开工作区仪表板，通过单击齿轮图标访问“设置”菜单。在“证书”部分，单击“添加证书”按钮。

图1和图2 — 显示Postman设置中的证书部分

然后，我们输入证书信息，包括证书文件（通常为.crt、.pem或.cer格式）和私钥文件（为.key或.pem格式）。如果证书使用密码短语，我们也需要提供该密码短语。

输入所有必需详细信息后，我们可以单击“添加”。这将在客户端证书部分下添加新证书，可以从设置中访问，如图4所示。

图3和图4 — 显示将客户端证书添加到Postman

Postman现在将包含发送到“test.com”域的所有HTTPS请求的客户端证书。为了验证这一点，我们使用HTTPS向该域发送请求，并在控制台中检查证书。

图5 — 显示在Postman中发送HTTPS请求

图6 — 显示在Postman控制台中检查客户端证书

添加客户端证书后，我们需要设置Postman将请求代理到Burp Suite。为此，我们再次导航到“设置”菜单，单击“代理”部分，并为“使用自定义代理配置”启用切换按钮。

之后，选择代理类型为HTTP和HTTPS，并指定代理服务器的IP地址（在本例中为localhost），输入127.0.0.1和Burp Suite的端口号8080（默认端口）。

图7 — 显示Postman中的代理设置

要将证书添加到Burp Suite，我们需要使用以下命令中的OpenSSL将证书和私钥文件捆绑到pkcs12格式。如果私钥使用密码短语，OpenSSL将要求输入该密码短语。

1

sudo openssl pkcs12 -export -out cert.pfx -inkey private.key -in certificate.crt

它还会要求输入导出密码，该密码在提取证书时需要。记住导出密码很重要，因为我们稍后在向Burp添加证书时需要它。

图8 — 显示将文件转换为pkcs12

接下来，我们转到Burp设置，在网络部分下，导航到TLS > 客户端证书。我们单击“添加”并选择证书类型为“PKCS#12”，然后单击下一步。

图9和图10 — 显示向Burp添加证书

我们选择新转换的.pfx格式证书，并提供我们在转换文件时使用的导出密码。一旦所有内容正确加载，我们将收到“证书已成功加载”消息。

完成这些步骤后，我们可以使用Burp无任何问题地拦截来自Postman的HTTPS请求。

这就是今天文章的全部内容，感谢阅读！