HTTPS测试的痛点与解决方案

作为一名网络安全工程师和性能测试专家，我经常遇到这样的场景：当使用LoadRunner对HTTPS网站进行压力测试时，控制台突然报错"SSL handshake failed"。这就像你想进一家高档餐厅吃饭，却因为没有会员卡被拒之门外一样令人沮丧。究其原因，90%的情况都是因为LoadRunner没有正确识别服务器的HTTPS证书。

HTTPS协议就像是一个加密的信使，在客户端和服务器之间传递信息前会先"对暗号"（SSL/TLS握手）。如果LoadRunner不认识服务器出示的"身份证"（数字证书），这个握手就会失败。本文将手把手教你如何为LoadRunner手动添加HTTPS证书，让你的性能测试畅通无阻。

理解HTTPS证书的工作原理

想象一下这样的场景：Alice想给Bob寄一封机密信件。在普通HTTP世界里，这封信就像明信片一样，所有经手的人都能看到内容。而在HTTPS世界里：

1. Bob先把自己的公钥（相当于开锁密码）放在一个经过公证处认证的保险箱（证书）里寄给Alice

2. Alice用公证处提供的钥匙（CA根证书）验证这个保险箱真伪

3. 确认无误后，Alice用Bob的公钥加密信件

4. 只有Bob用自己的私钥才能解密阅读

在LoadRunner测试中，"公证处的钥匙"就是CA根证书库。默认情况下，LoadRunner只携带了少数知名CA机构的"钥匙"。如果被测网站使用的是自签名证书或小众CA颁发的证书，就需要我们手动添加这些"钥匙"。

实战操作：五步添加HTTPS证书

第一步：获取目标网站证书

打开Chrome浏览器访问目标网站：

1. 点击地址栏左侧的锁图标 → "连接是安全的" → "证书有效"

2. 在弹出窗口选择"详细信息"标签 → "复制到文件"

3. 按照向导将证书导出为Base64编码的X.509(.CER)格式

小技巧：对于多层架构的系统，可能需要获取整条证书链。比如一个典型电商网站的证书链可能是：

`商户自签名证书 ← 中间CA证书 ← GeoTrust根CA`

第二步：定位LoadRunner的信任库

不同版本的LoadRunner存放位置略有差异：

- LoadRunner 12.x及更早版本：

`%ProgramFiles%\HP\LoadRunner\bin\cacerts.pem`

- LoadRunner最新版：

`%ProgramFiles%\Micro Focus\LoadRunner\bin\cacerts.pem`

安全提醒：修改前建议备份原始文件！执行命令：

`copy cacerts.pem cacerts_backup.pem`

第三步：使用OpenSSL合并证书

打开CMD/PowerShell执行（需提前安装OpenSSL）：

```bash

openssl x509 -in new_cert.cer -inform DER -out new_cert.pem

type new_cert.pem >> cacerts.pem

```

常见问题排查：

- 如果报错"unable to load certificate"，可能是导出格式不对

- "permission denied"表示需要用管理员权限运行命令行

第四步：配置VuGen脚本识别新证书记录

在脚本的`Run-time Settings`中：

1. Preferences → Options → Network → HTTPS/SSL

2. Enable SSL protocol level: TLS1.2 (根据被测系统调整)

3. Trust all certificates: NO (保持关闭以获得准确的安全测试结果)

第五步：验证配置效果

使用以下方法确认配置成功：

```c

web_set_certificate_ex("CertStore=MY;CertSubject=*.example.com");

web_url("test", "URL=https://example.com", LAST);

观察Controller输出日志中不再出现类似错误：

Error -26627: HTTP Status-Code=500 (Internal Server Error) for https://example.com/api [MsgId: MERR-26627]

高级应用场景解析

Scenario

1: 双向SSL认证系统

某些金融系统要求客户端也提供证书（就像进入军事基地需要双方互相检查证件）。处理方案：

1. `web_set_certificate_ex()`函数指定客户端证书记录位置

2. `web_set_user()`设置对应的私钥密码

3. `web_add_auto_header()`添加特殊的SSL头信息

web_set_certificate_ex("CertStore=MY;Location=LocalMachine;

CertSubject=CN=ClientAuthCert");

web_set_user("private_key_password", "P@ssw0rd123", "");

Scenario

2: CI/CD流水线集成

在自动化测试环境中推荐采用命令行方式：

lr_openssl import -in /path/to/cert.crt -out %LR_PATH%/bin/cacerts.pem -nokeys

可以在Jenkins Pipeline中添加如下stage：

```groovy

stage('Setup SSL Certs') {

steps {

bat '''

cd "%LR_PATH%\\bin"

type "%WORKSPACE%\\certs\\app_cert.pem" >> cacerts.pem

'''

}

}

HTTPS性能测试最佳实践

1. 混合协议场景：现代Web应用通常同时使用HTTP/2和HTTPS。建议在场景设计中使用占比策略：

```c

// 30%的用户使用HTTP/1.1 over TLS

web_set_proxy("TLS1_2_ONLY");

// 70%的用户尝试HTTP/2

web_set_option("HTTP_VERSION", "HTTP2");

```

2. 弱网环境模拟：通过额外配置模拟不同网络质量下的SSL握手表现：

web_set_sockets_option("SSL_LATENCY", "2000"); // 2秒额外延迟

3. 安全扫描集成：结合OWASP ZAP等工具发现潜在漏洞：

漏洞类型 | LoadRunner检测方法

--|-

心脏出血漏洞 | web_set_option("HEARTBEAT_CHECK", "1")

POODLE攻击 | web_disable_protocol("SSLv3")

Troubleshooting指南

遇到问题时可以按此流程排查：

Certificate Error Flowchart:

开始 → Controller报错? → Yes → SSL错误详情?

→ Unknown CA → CA证书记录缺失

→ Hostname mismatch → web_set_option("SSL_HOST_FLAG", "IGNORE_HOST")

→ Expired cert → [需要更新被测环境]

→ Revoked cert → [联系开发团队]

→ No → [检查网络基础设置]

特别提醒：生产环境压测时切勿启用`web_accept_all_certs()`函数！这会掩盖真实的安全问题。

HTTPS的未来演进趋势

随着TLS 1.3的普及和量子计算的发展，HTTPS技术也在快速迭代。值得关注的几个方向：

1. 零信任架构下的mTLS（双向TLS）将成为标配。建议学习Istio等服务网格技术中的证书记录管理方式。

2. 自动化轮换将成为刚需。像Let's Encrypt这样的CA已经实现90天自动续期，测试工具也需要跟进支持ACME协议。

3. 后量子密码学标准(NIST PQC)即将落地。现有的RSA/ECC算法在未来5年内可能面临淘汰风险。

掌握这些前瞻性技术趋势，将使你的性能测试工作始终立于不败之地！

希望这篇结合实战经验的指南能帮助你彻底解决LoadRunner的HTTPS证书记录问题。记住一句安全行业的金科玉律："Trust, but verify"。即使在性能测试中也要保持这种谨慎态度！

TAG:loadrunner手动加https证书,loadrunner ssl证书,loadrunner许可证,loadrunner教程