nginx https 双向认证证书创建与配置

最新推荐文章于 2022-09-29 18:20:40 发布
最新推荐文章于 2022-09-29 18:20:40 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: shell linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/reyleon/article/details/41546871
版权
linux 同时被 2 个专栏收录
37 篇文章 0 订阅
订阅专栏
shell
20 篇文章 0 订阅
订阅专栏

脚本一键完成, 最后会提示输入一个客户端密码


#!/bin/bash
# function: 创建 nginx https ,双向认证证书
# create: 2014-11-27
#
# BEGIN
#
# 网站域名
# 在签发服务(客户)端证书的时候
# 这个域名必须跟 subj 中的 CN 对应
# 否则浏览器会报不安全的链接
domain="opt011.9yuonline.com"
#
# ---------- CA ----------
#
# 准备CA密钥
echo "创建CA密钥.."
openssl genrsa -out $domain.CA.key 2048
# 生成CA证书请求
# 证书请求都是根据私钥来生成的
echo "生成CA证书请求.."
openssl req -new \
    -key $domain.CA.key \
    -out $domain.CA.csr \
    -days 365 \
    -subj /C=CN/ST=GuangDong/L=GuangZhou/O=www.eyugame.com/OU=www.eyugame.com/CN=opcenter/emailAddress=yuanliang@eyugame.com -utf8

# 签名CA证书请求
# 使用自己的私钥来给这个CA证书请求签名
# 经过多次测试得知: 这个时间如何设置的太长,如 3650(10年) 
# chrome浏览器会报, 该网站使用的安全设置已过期
# 所以https不会显示是绿色, 而是带一个黄色三角形的图标
# 奇怪的是: 如果设成1年,也就是365天,不会提示该网站使用的安全设置已过期
# 而且也是绿色的标识
# 但如果是2年, 也是绿色的标识,但是会提示该网站使用的安全设置已过期
# 这个应该chrome浏览器的问题
echo "创建CA证书.."
openssl x509 -req -in $domain.CA.csr -signkey $domain.CA.key -out $domain.CA.crt -days 365

# CA证书转换为DER格式,
# DER格式似乎更加通用
openssl x509 -in $domain.CA.crt -out $domain.CA.der -outform DER
# 现在, 终于拿到了自己做 CA 需要的几个文件了, 
# 密钥: $domain.CA.key
# 证书: $domain.CA.crt
# 系统使用的: $domain.CA.der
# 接下来, 要创建一个网站, 就需要让 CA 给他签名一个证书了

#
# --------- SERVER ----------
#
# 准备网站密钥
echo "创建网站(服务端)密钥.."
openssl genrsa -out $domain.server.key 2048
# 生成网站证书请求
# CN 一定要是网站的域名, 否则会通不过安全验证
echo "生成网站(服务端)证书请求.."
openssl req -new -key $domain.server.key -out $domain.server.csr -days 365 \
    -subj /C=CN/ST=GuangDong/L=GuangZhou/O=www.eyugame.com/OU=www.eyugame.com/CN=$domain/emailAddress=yuanliang@eyugame.com -utf8

# CA签名网站证书请求
# 不是拿到 CA 的证书了就可以说自己是 CA 的, 最重要的是, 签名需要有 CA 密钥
# 如果客户端(个人浏览器)信任 CA 的证书的话, 那么他也就会信任由 CA 签名的网站证书
# 因此让浏览器信任 CA 的证书之后, 客户端就自然信任服务端了, 只要做单向认证的话, 到这一步证书这一类材料就已经准备好了
# 但是双向认证就还要给客户端(个人的浏览器)准备一份证书
# 让服务端可以知道客户端也是合法的。
# 假如让服务端也信任 CA 的证书
# 那 CA 签名的客户端证书也就能被信任了。
echo "通过CA证书签名, 创建网站(服务端)证书.."
openssl x509 \
    -req -in $domain.server.csr \
    -out $domain.server.crt \
    -CA $domain.CA.crt \
    -CAkey $domain.CA.key \
    -CAcreateserial \
    -days 365

#
# --------- CLIENT ----------
#
# 准备客户端私钥
echo "创建浏览器(客户端)密钥.."
openssl genrsa -out $domain.client.key 2048
# 生成客户端证书请求
echo "生成浏览器(客户端)证书请求.."
openssl req -new -key $domain.client.key -out $domain.client.csr -days 3650 \
    -subj /C=CN/ST=GuangDong/L=GuangZhou/O=www.eyugame.com/OU=www.eyugame.com/CN=$domain/emailAddress=yuanliang@eyugame.com -utf8
# CA签名客户端证书请求
echo "通过CA证书签名, 创建浏览器(客户端)证书.."
openssl x509 -req \
    -in $domain.client.csr \
    -out $domain.client.crt \
    -CA $domain.CA.crt \
    -CAkey $domain.CA.key \
    -CAcreateserial \
    -days 365 
# 客户端证书转换为DER格式
openssl x509 -in $domain.client.crt -out $domain.client.der -outform DER
# 客户端证书转换为 PKCS, 即12格式
# 全称应该叫做 Personal Information Exchange
# 通常以 p12 作为后缀
echo "转换客户端证书为p12格式.."
openssl pkcs12 -export -in $domain.client.crt -inkey $domain.client.key -out $domain.client.p12

## nginx https 配置示例如下
#
# server {
#         listen 443;
#         server_name opt011.9yuonline.com;
#         root /var/www/html;
#         index index.html index.php;
#         ssl on;
#         ssl_certificate ssl/opt011.9yuonline.com.server.crt;
#         ssl_certificate_key  ssl/opt011.9yuonline.com.server.key;
#         ssl_client_certificate ssl/opt011.9yuonline.com.CA.crt;
#         ssl_session_timeout  5m;
#         ssl_verify_client on;
#         ssl_protocols  SSLv2 SSLv3 TLSv1;
#         ssl_ciphers  RC4:HIGH:!aNULL:!MD5;
#         ssl_prefer_server_ciphers   on;
# 
#         location ~ .*\.php$ {
#                 include fastcgi.conf;
#                 fastcgi_pass  127.0.0.1:9000;
#                 fastcgi_index index.php;
#                 expires off;
#         }
# }

#
# END
#


6子
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx 双向证书验证_使用Nginx的基于证书双向TLS身份验证
weixin_26740495的博客
09-03 1610
nginx 双向证书验证Additional layer of security for your Flask or FastAPI serverFlask或FastAPI服务器的附加安全层 You will learn to create self-signed server certificates in order to serve your web application as https...
centos 6.8 yum 无法正常使用: 报Illegal instruction (core dumped)
不以物喜不以己悲
08-12 8746
今天有同事说有台服务器 yum 不能用, 执行yum安装包报错如下: # yum install python-dateutil Loaded plugins: fastestmirror, security Setting up Install Process Loading mirror speeds from cached hostfile Illegal instruction (
详解Nginx SSL快速双向认证配置(脚本)
09-30
主要介绍了详解Nginx SSL快速双向认证配置(脚本),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx 配置 https双向认证
CheerTan is here
10-11 1879
注意事项 配置双向认证,这里的common name需要都配置成不同 nginx 配置 https双向认证 1.准备工作 linux环境安装openssl 2.生成证书步骤 1.新建一个文件夹 mkdir /root/keys 2.生成CA私钥 ca.key openssl genrsa -out ca.key 4096 3.生成ca的数字证书 ca.crt openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Co
使用Nginx实现HTTPS双向验证的方法
09-30
主要介绍了使用Nginx实现HTTPS双向验证的方法,涉及到单向验证和双向验证的区别介绍,本文介绍的非常详细,具有参考借鉴价值,感兴趣的朋友一起学习吧
nginx实现双向认证
qq_41937509的博客
09-20 4461
如果手里面只有通过正规途径申请下来的证书(而不是上面自签证做法), 得到的证书如下面所示, 这里只有服务端证书而没有服务端和根证书, 所以仍需要我们以自签证的方式生成根证书以及客户端证书配置的主要内容是配置了服务器端证书的公钥私钥以及根证书的公钥, 并且ssl_verify_client 参数设置为 on。如果客户端证书不是由根证书直接颁发的,配置中还需要加一个配置:ssl_verify_depth 1;server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成。
nginx配置https
weixin_42684235的博客
08-05 720
nginx配置https请求详细步骤
利用tomcat服务器配置https双向认证
pegasus827的博客
06-19 269
利用tomcat服务器配置https双向认证 步骤 1、为服务器生成证书 进入控制台,切换到%JAVA_HOME%/bin目录,具体操作略。 使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件想要存放在“D:\home\tomcat.keystore”,口令为“password”,使用如下命令生成: keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystor
Nginx配置ssl双向认证(精简!好文章!)
HD243608836的博客
02-04 3667
最近在搞ssl双向认证的任务,需要在本地调测,所以就使用自己生成的CA来生成证书。 这里只说如何配置双向认证双向认证的概念就不说了。 具体看如下链接:https://www.jianshu.com/p/fb5fe0165ef2 CA与自签名 # 制作CA私钥 openssl genrsa -out ca.key 2048 # 制作CA公钥/根证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # Common Name 随意填写
Nginx双向认证
weixin_44480960的博客
01-25 6259
Nginx双向认证 一、前言 参考链接 OPENSSL加密DSA,RSA介绍 客户端默认是相信权威CA机构的,操作系统内置了CA证书。 说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。 centos操作系统中被信任的证书一般在此文件中 cat /etc/pki/tls/certs/ca-bundle.crt 我们可以查看一下访问百度的一个通信过程 curl -v https://www.b
nginx双向认证配置及验证-脚本实现制作证书过程及浏览器验证遇到的一些问题解决
u011285281的博客
09-29 2274
nginx实现mTLS双向认证,制作证书的过程,脚本实现制作证书,参数自己更改脚本里的变量
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
自动化脚本一键生成Nginx https证书证书格式为pem
11-12
说明: 1、一键生成Nginx https证书证书格式为pem 2、只需修改ip地址为当前环境的ip地址即可使用
Nginx配置Https证书详细过程
09-29
主要介绍了Nginx配置Https证书详细过程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
awk 处理文本:行转列,列转行
热门推荐
不以物喜不以己悲
10-25 2万+
[root@centos ~]# cat f 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 [root@centos ~]# awk '{for(i=1;i<=NF;i++)a[NR,i]=$i}END{for(j=1;j<=NF;j++)for(k=1;k<=NR;k++)printf k==NR?a[k,j] RS:a[k,j] FS}'
shuf 命令: 随机排序文件
不以物喜不以己悲
11-01 2万+
有时候我们需要将文本的顺序打乱,也就是随机排序,我以前的做法是写个shell,利用内置bash 里的内置变量 $RANDOM 进行排序,然后打印。代码如下: while read line;do echo $RANDOM $line; done 这里取了个巧而已。虽然也能实现需求,但是如果遇到大文件,本身 shell 的效率是很低的。偶然得知系统本身有一个命令是专职干这事儿的,那就是 s
终于知道保存SCP日志了
不以物喜不以己悲
11-01 1万+
诸如 scp 这样的命令,打印在屏幕上的东西没法直接通过重定向来保存,因为它的输出并不是标准输出,那我要搞保存 scp 的日志怎么办呢?终于学到了一个不错的方法!利用 script 命令。如下所示: script -q /dev/stdout -c 'scp remotehost:path path' > /tmp/scp.log 参考:http://bbs.chinaunix.
yum 命令 update 与 upgrade 的区别
不以物喜不以己悲
12-04 1万+
yum -y update   升级所有包,改变软件设置和系统设置,系统版本内核都升级   yum -y upgrade   升级所有包,不改变软件设置和系统设置,系统版本升级,内核不改变 起初我还不信,一致认为这两个命令是一样的,我错了  但是,man yum 的说明我看不懂了: update If run without any
awk 取绝对值最大
不以物喜不以己悲
11-20 7142
[root@centos6-1 ~]# cat infile aaa -1 aaa -2 aaa -3 aaa 28 aaa -22 bbb -2 bbb -4 bbb -6 ccc -2 ccc -3 ccc -8 ccc -10 ddd -2 ddd -4 ddd -12 [root@centos6-1 ~]# [root@centos6-1 ~]# [ro
nginx https双向认证
最新发布
12-01
以下是nginx https双向认证的步骤: 1.生成自签名证书 使用openssl命令生成自签名证书,其中需要设置证书的common name为服务器的域名或IP地址,同时需要设置证书的扩展属性为客户端认证: ```shell openssl req ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值