Nginx开启TLS双向认证流程及配置

置顶 已于 2024-05-28 17:42:28 修改
阅读量1.7k 收藏 24
点赞数 31
分类专栏: Nginx 文章标签: nginx 网络 linux 运维 服务器
于 2024-05-28 17:22:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChinaCpp666/article/details/139272567
版权

1. 认证流程

双向认证流程图
双向认证流程说明:

  1. 客户端发起连接
    客户端首先向服务器发送ClientHello消息,其中包含以下信息:
    • 支持的协议版本和加密套件列表
    • 客户端随机数
  2. 服务器响应
    服务器响应客户端的ClientHello消息,并发送ServerHello消息,其中包含以下信息:
    • 服务器选择的协议版本和加密套件
    • 服务器随机数
    • 服务器证书链
  3. 客户端验证服务器证书
    客户端验证服务器证书链的有效性,包括检查证书是否由受信任的CA签发、证书是否有效以及证书中的主机名是否与服务器的主机名匹配。
  4. 客户端发送客户端证书(如果需要)
    如果服务器要求客户端进行身份验证,客户端会将自己的证书和客户端KeyProof消息发送给服务器。客户端KeyProof消息包含客户端使用服务器公钥加密的预主密钥。
  5. 服务器验证客户端证书(如果需要)
    服务器验证客户端证书的有效性,类似于客户端验证服务器证书的过程。服务器还会使用客户端公钥解密客户端KeyProof消息中的预主密钥。
  6. 双方计算共享会话密钥
    客户端和服务器使用各自的预主密钥、客户端随机数和服务器随机数来计算共享的会话密钥。
  7. 客户端发送ChangeCipherSpec消息
    客户端向服务器发送ChangeCipherSpec消息,指示服务器开始使用共享会话密钥加密通信。
  8. 服务器发送ChangeCipherSpec消息
    服务器向客户端发送ChangeCipherSpec消息,指示客户端开始使用共享会话密钥加密通信。
  9. 双方发送ApplicationData消息
    客户端和服务器可以使用共享会话密钥加密和解密ApplicationData消息,其中包含应用程序数据。

2. 客户端Nginx配置

server {
  listen 25300 http2;
  http2_body_preread_size 256m;

  access_log  /var/log/nginx/client/access.log;
  error_log   /var/log/nginx/client/error.log;

  location / {
    grpc_pass grpcs://127.0.0.1:25400;

    grpc_ssl_certificate                ca/client.crt;    # 客户端证书
    grpc_ssl_certificate_key            ca/client.key;    # 客户端私钥
    grpc_ssl_trusted_certificate        ca/server-ca.crt; # 可信服务端CA证书
    grpc_ssl_verify                     on;               # 开启双向认证
    grpc_ssl_verify_depth               2;                # 证书验证深度

    proxy_http_version 1.1;
    grpc_set_header x-ptp-session-id "00000000000000010000000000000001";

    proxy_set_header Host                $host:$server_port;
    proxy_set_header X-Real-IP           $remote_addr;
  }
}

3. 服务端Nginx配置

server {
  listen 25400 ssl http2;
  http2_body_preread_size 256m;

  ssl_certificate                ca/server.crt;  # 服务端端证书
  ssl_certificate_key            ca/server.key;  # 服务端私钥
  ssl_trusted_certificate        ca/client.crt;  # 指定可信客户端CA证书
  ssl_client_certificate         ca/client.crt;  # 客户端CA证书
  ssl_verify_client              on;             # 开启证书验证

  access_log  /var/log/nginx/server/access.log;
  error_log   /var/log/nginx/server/error.log;

  location / {
    grpc_pass grpc://127.0.0.1:5400;
    proxy_http_version 1.1;

    proxy_set_header Host                $host:$server_port;
    proxy_set_header X-Real-IP           $remote_addr;
  }
}​

附录1:生成证书

参考另一篇文章:Nginx证书生成(CA证书、服务器私钥、服务器证书)

附录2:参考链接

附录3:名词解释

主密钥

在TLS握手过程中,主密钥是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。它由以下几种随机数共同生成:

  • 客户端随机数:客户端生成的随机数。
  • 服务器随机数:服务器生成的随机数。
  • 预主密钥(可选):客户端使用服务器的公钥加密的随机数。

具体步骤如下:

  1. 客户端和服务器在握手过程中各自生成一个随机数,称为客户端随机数服务器随机数
  2. 客户端向服务器发送客户端随机数预主密钥(如果使用预主密钥)。
  3. 服务器收到客户端随机数预主密钥后,使用其私钥解密预主密钥(如果使用预主密钥)。
  4. 客户端和服务器使用以下公式共同生成主密钥
    主密钥 = PRF(客户端随机数 || 服务器随机数 || 预主密钥)
    其中,PRF是一个伪随机函数,用于将输入数据映射到一个随机的输出值。

主密钥用于生成以下加密密钥:

  • 会话密钥:用于加密和解密通信数据。
  • 消息认证码(MAC):用于确保数据完整性。

主密钥具有以下特点:

  • 对称性:客户端和服务器使用相同的主密钥加密和解密数据。
  • 安全性主密钥是随机生成的,因此很难被破解。
  • 临时性主密钥只用于一次TLS会话,在会话结束后丢弃。

预主密钥是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。

以下是一些关于主密钥的常见问题:

  • 主密钥的长度是多少?
    主密钥的长度通常为256位,但这取决于所使用的密码套件。

  • 主密钥是否会存储在客户端或服务器上?
    主密钥是临时性的,只在会话期间存在,不会存储在客户端或服务器上。

  • 如果主密钥被泄露,会有什么后果?
    如果主密钥被泄露,攻击者可能会窃听或篡改通信数据。

28の坏叔叔
关注
  • 31
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用openSSL实现TLS双向认证
新时代农民工
07-26 1290
TLS(传输层安全性)双向认证,也称为客户端认证或互相认证,是一种网络安全协议的扩展,用于建立在传输层上的安全连接。传统的TLS认证只需要服务器验证客户端的身份,而双向认证则要求客户端也验证服务器的身份。在TLS双向认证中,客户端和服务器都必须拥有数字证书。数字证书由可信的第三方证书颁发机构(CA)签发,用于证明实体(如服务器)的身份。以下是TLS双向认证的基本步骤:1. 服务器配置服务器需要配置受信任的数字证书,该证书由CA签发。配置包括私钥和公钥。
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** 在网络安全日益重要的今天,服务器与客户端之间的通信安全成为了一个不可忽视的问题。本文将详细介绍如何在Nginx服务器配置SSL双向认证,以提高服务器的安全性,允许只有经过验证...
Nginx 进阶】4、SSL/TLS 配置
最新发布
weixin_52938153的博客
05-31 572
Nginx(发音为“engine-x”)是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3代理服务器。由俄罗斯的程序员Igor Sysoev所开发,首个公开版本发布于2004年。Nginx是免费的开源软件,遵循类BSD许可协议的条款发布。 Nginx的设计优化重点在于高并发、高性能和低内存使用。在架构上,Nginx使用异步事件驱动的方法,这使得它在处理大量并发连接时表现出色,特别是在处理静态资源、反向代理或负载平衡时,效率极高。由于其稳定性和轻量级的资源占用,Nginx非常适合在现代的
学习Nginx(十四):配置SSL/TLS支持HTTPS
Linux技术宅
05-25 935
学习Nginx(十四):配置SSL/TLS支持HTTPS。
nginx 配置 TLS 加密方式 、密钥交换方式
ITxiaozhang7的博客
01-21 3945
设置nginx 的加密方式、采用的椭圆曲线
nginxTLS1.3配置
enjoy.day
11-29 8190
配置TLS1.3 环境: nginx 1.20 openssl 1.1.1l 如果查看openssl支持的ciphers 使用命令openssl ciphers 如何查看openssl支持的所有TLS/SSL版本: penssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/{print $1}' 配置tls1.3 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; #增加 TLSv1.3 ssl_cipher
ssl双向认证_详解TLS/SSL运行机制
weixin_39827850的博客
12-08 461
TLS传输层安全性协议(Transport Layer Security)及其前身SSL安全套接层(Secure Sockets Layer)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障,TLS/SSL协议位于网络OSI七层模型的会话层,用来加密通信。TLS/SSL握手过程 第一步,客户端(Client)以明文的形式发起请求信息(client_hello),其中信息包含; 客户端生...
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
yygr的博客
02-13 1620
什么是 SSL, 什么是 TLS 呢?官话说 SSL 是安全套接层 (secure sockets layer), TLS 是 SSL 的继任者,叫传输层安全 (transport layer security)。说白点,就是在明文的上层和 TCP 层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP 协议是明文传输,加上 SSL 层之后,就有了雅称 HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
Nginx实现tcp代理并支持TLS加密实验
向往天空的鱼
11-08 2500
nginx代理tcp服务,实现客户端与服务器之间的TLS加密。
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
SSL双向认证握手过程 非常详细
08-03
SSL双向认证握手过程 非常详细
Nginx双向SSL认证配置详解
04-09
Nginx双向SSL认证配置详细步骤
nginx配置ssl认证 及 作为ssl客户端代理
一杯米酒
04-12 271
生成相关ssl证书,获得 ca.key ca.cart server.key server.crt client.key client.crt。好久没有弄证书相关的,费了些劲儿,在此记录一下。
nginx 配置https_NGINX 一文配置 HTTPS (TLS1.3)
weixin_39992665的博客
11-27 766
TLS1.3 是现在最新的 HTTPS 加密版本,网上很多教程为了兼容老版本,会写一大堆配置。本文给一个精简的开启且只开启 TLS1.3 的配置,适用于不用考虑兼容性的个人网站。user www-data; pcre_jit on; events { multi_accept on; } http { sendfile on; tcp_nopush on; incl...
https认证过程(TLS认证过程)
Allennnnnnnnnn的博客
03-11 940
目前的HTTPS是使用http+tls的,所以直接了解tls认证过程即可 曾经广泛使用的运输层安全协议有两个 (1)安全套接字层 SSL (Secure Socket Laver)。 **(2)运输层安全 TLS (Transport Layer Security)。** ​ SSL是TLS的前身,TLS在SSL基础上改进了很多,但是现在还经常能够看到把SSL/TLS视为TLS的同义词。而现在旧协议SSL被更新为新协议TLS
Nginx TLS 1.3 简介与部署
浴血重生-学习空间
08-19 7575
TLS 1.3 相对于之前的版本,主要有两大优势: Enhanced security: 安全性增强 Improved speed:速度提升
介绍Nginx的SSL/TLS加密支持功能,并学习怎么使用
LJH_java10086的博客
10-09 524
在本文中,我们将介绍如何使用Nginx的SSL / TLS加密支持功能,同时使用Java编写一个简单的Web应用程序来测试SSL / TLS加密。例如,如果你的Nginx服务器的IP地址是`192.168.0.1`,则可以通过访问`https://192.168.0.1`来获取Java生成的SSL / TLS加密的内容。2. 配置Nginx的SSL / TLS支持:在Nginx配置文件(通常是nginx.conf)中,你需要添加SSL / TLS支持的配置项。你需要将它们保存在安全的地方。
nginx(七十九)nginxtls/ssl续
wzj_110的博客
09-25 644
ssl_conf_command和ssl_reject_handshake补充。与client之间的tls变量。nginxtls/ssl续。ssl_ciphers再探。nginx作为服务端。
nginx配置wss双向认证
12-20
nginx配置wss双向认证的步骤如下: 1. 在/etc/nginx/conf.d目录下创建一个名为443.conf的文件,用于处理443端口的转发。 2. 在443.conf文件中添加以下配置: ```shell server { listen 443 ssl; server_name your_domain; ssl_certificate /path/to/your/certificate.crt; ssl_certificate_key /path/to/your/private.key; ssl_client_certificate /path/to/your/client.crt; ssl_verify_client on; location / { proxy_pass http://your_backend_server; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } } ``` 其中,your_domain替换为你的域名,/path/to/your/certificate.crt和/path/to/your/private.key替换为你的服务器证书和私钥的路径,/path/to/your/client.crt替换为客户端证书的路径,your_backend_server替换为你的后端服务器地址。 3. 保存并退出443.conf文件。 4. 运行命令nginx -t检测配置是否有错。 5. 如果没有错误,运行命令nginx -s reload重新加载nginx配置。 请注意,以上配置假设你已经有了有效的服务器证书、私钥和客户端证书,并将其放置在正确的路径下。另外,你还需要将your_backend_server替换为实际的后端服务器地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值