nginx中配置ssl双向认证详解
需求说明:公司内部一些业务系统对安全性要求比较高,例如mis、bi等,这些业务系统只允许公司内部人员访问,而且要求浏览器要安装证书登录,对公司入职有需求的人员开通证书,流失的人员注销证书。
一、首先修改openssl配置的参数 ##没安装openssl需要先安装
vim /etc/pki/tls/openssl.cnf
#下面只列出配置文件中和自建CA有关的几个关键指令
dir=/etc/pki/CA #CA的工作目录
database=$dir/index.txt #签署证书的数据记录文件,下面会生成index这个文件
new_certs_dir=$dir/newcerts #存放新签署证书的目录
serial=$dir/serial #新证书签署号记录文件下,下面会生成serial这个文件
certificate=$dir/ca.crt #CA的证书路径,下面会对应生成ca.crt这个证书
private_key=$dir/private/cakey.pem #CA的私钥路径,下面会生成这个密钥
crlnumber = $dir/crlnumber # 吊销证书用,下面会生成这个文件
crl = $dir/ca.crl # 当前证书列表,与下面生成的吊销证书文件名一致
二、使用openssl制作CA的自签名证书
#切换到CA的工作目录
cd/etc/pki/CA
#制作CA私钥
umask077 ###确保证书只有拥有者才可以访问
openssl genrsa -out private/cakey.pem 2048
#制作自签名证书
openssl req -new -x509 -key private/cakey.pem -out ca.crt
#生成数据记录文件,生成签署号记录文件,给文件一个初始号。
####注意 commonName = aaa.com(对应域名) ###这个填域名,这个是后面证书的颁发者
touch index.txt
touch serial
touch crlnumber ###注销证书用
echo '01' > serial
echo '01' > crlnumber
openssl ca -gencrl -crldays3650 -out ca.crl # 产生crl文件,供吊销证书使用
#自建CA完成
三、准备服务器端证书
#建立存放服务器证书文件夹
cd /etc/pki/CA;mkdir server;cd server
#制作服务器端私钥
umask077
openssl genrsa -out server.key 1024
#制作服务器端证书申请指定使用sha512算法签名(默认使用sha1算法)
openssl req -new -key server.key -sha512 -out server.csr
#签署证书,3650是指证书有效期为10年
openssl ca -in server.csr -out server.crt -days 3650
#服务器证书准备完成
四、准备客户端证书
#建立存放客服端证书的文件夹
cd /etc/pki/CA;mkdir client;cd client
#制作客户端私钥
umask077
openssl genrsa -out client.key 1024
#制作客户端证书申请
openssl req -new -key client.key -out client.csr
#签署证书,有效期为10年
openssl ca -in client.csr -out client.crt -days 3650
注意事项:
1、制作证书时会提示输入密码,设置密码可选,服务器证书和客户端证书密码可以不相同。
2、服务器证书和客户端证书制作时提示输入省份、城市、域名信息等,需保持一致,commonName这个需要不同。
五、nginx的配置 注意:nginx编译的时候要带上--with-http_ssl_module选项
server{
listen 443;
server_name localhost;
ssi on;
ssi_silent_errors on;
ssi_types text/shtml;
ssl on;
ssl_certificate /etc/pki/CA/server/server.crt;
ssl_certificate_key /etc/pki/CA/server/server.key;
ssl_client_certificate /etc/pki/CA/ca.crt;
ssl_verify_client on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers On;
ssl_crl /etc/pki/CA/server/ca.crl; #检查吊销的证书
location / {
proxy_pass http://localhost:8080; ##反向代理到tomcat 8080 端口
proxy_redirect default;
}
}
六、客户端证书格式转换
#将文本格式的证书转换成可以导入浏览器的证书
cd /etc/pki/CA/client
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
#sz client.p12 到windows,然后把client.p12导入到浏览器的个人证书里,重启浏览器,导入正常就能正常访问,否则返回400没有证书被发送错误。
七、撤销用户证书(例如要注销名字为ceshi的证书)
cat index.txt | grep ceshi 类似如下
V 261106092713 04 unknown /C=CN/ST=GD/O=CKY/OU=YW/CN=ceshi/emailAddress=1234567@qq.com
可得 值为04
cd /etc/ssl/newcerts
openssl ca -revoke 04.pem ##完成注销,证书的V会变为R
openssl ca -gencrl -crldays 3650 -out ca.crl ###更新ca.crl文件
/usr/local/nginx/sbin/nginx -s reload ####重启nginx ,吊销证书生效