Nginx配置SSL证书-双向认证(HTTP转HTTPS)(可以参考,但是没看明白)

最新推荐文章于 2024-05-28 17:22:23 发布
最新推荐文章于 2024-05-28 17:22:23 发布
阅读量679 收藏 1
点赞数
分类专栏: nginx 大厂任性挑 JAVA 文章标签: Nginx SSL 证书 双向认证
原文链接:https://blog.csdn.net/jing344986203/article/details/110127405
版权
JAVA 同时被 3 个专栏收录
379 篇文章 15 订阅
订阅专栏
大厂任性挑
194 篇文章 18 订阅
订阅专栏
nginx
27 篇文章 2 订阅
订阅专栏

1.生成双向证书(server服务端,ca客户端)

1.1.openss生成所需证书

::==================生成服务器私钥==================
openssl genrsa -out server.key -passout pass:Abc123 2048
::生成服务器证书请求文件:
openssl req -new -key server.key -passin pass:Abc123 -out server.csr -subj "/CN=*.test.com/OU=xx Club/O=dy/L=nb/ST=Beijing/C=CN"
::==================生成服务器公钥证书(单向认证时使用)==================
openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 3650

::==================生成CA私钥==================
openssl genrsa -out ca.key -passout pass:123456 2048
::生成CA公钥证书及CA私钥转换p12(浏览器需要安装此证书,否则无法访问服务)
openssl req -new -x509 -key ca.key -passin pass:123456 -out ca.crt -days 3650 -subj "/CN=*.test.com/OU=xx Club/O=dy/L=nb/ST=Beijing/C=CN"
openssl x509 -in ca.crt -out ca.pem -outform PEM
::CA私钥转换p12(浏览器需要安装此证书,否则无法访问服务)
openssl pkcs12 -export -inkey ca.key -in ca.pem -out ca.p12 -password pass:123456

::==================生成服务端公钥(双向认证时使用)==================浏览器必须安装证书ca.p12
openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt
::生成服务端证书cer-客户端浏览器安装,不安装也可继续访问
openssl x509 -in server.crt -out server.cer -outform der

1.2.或openssl和keytool结合生成

::生成服务端私钥jks
keytool -genkeypair -alias server -keystore server.jks -storetype pkcs12 -keypass 123456 -storepass 123456 -keyalg RSA -keysize 2048 -validity 3650 -dname "CN=*.test.com, OU=xx, O=dy, L=nb,ST=Beijing,C=CN"
::keytool -export -alias server -keystore server.jks -storetype PKCS12 -storepass 123456 -rfc -file server.cer
::服务端jks先转换格式,再输出私钥keyjks转成pkcs12格式,“.pfx”等同于“.p12”)(jks->pfx->pem, pem输出私钥key)
keytool -importkeystore -srckeystore server.jks -destkeystore server.pfx -srcstoretype PKCS12 -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456
openssl pkcs12 -in server.pfx -nodes -out server.pem -password pass:123456
openssl rsa -in server.pem -out server.key
::服务端key创建csr
openssl req -new -key server.key -passin pass:123456 -out server.csr -subj "/CN=*.test.com/OU=xx Club/O=dy/L=nb/ST=Beijing/C=CN"

 

::生成客户端私钥jks
keytool -genkey -v -alias ca -keystore ca.jks -storetype PKCS12 -storepass 123456 -keypass 123456 -keyalg RSA -validity 3650 -dname "CN=*.test.com,OU=cn,O=cn,L=cn,ST=Beijing,c=CN"
::生成客户端公钥
openssl pkcs12 -in ca.p12 -nodes -clcerts -out ca.crt -password pass:123456
::客户端jks先转换格式,再输出私钥keyjks转成pkcs12格式,“.pfx”等同于“.p12”)(jks->pfx->pem, pem输出私钥key)
keytool -importkeystore -srckeystore ca.jks -destkeystore ca.pfx -srcstoretype PKCS12 -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456
openssl pkcs12 -in ca.pfx -nodes -out ca.pem -password pass:123456
openssl rsa -in ca.pem -out ca.key
::客户端jks私钥转换p12(浏览器需要安装此证书,否则无法访问服务)
keytool -importkeystore -srckeystore ca.jks -destkeystore ca.p12 -srcstoretype jks -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456

 

::生成服务端公钥(必须根据ca公钥和私钥生成服务端公钥)
openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt
::生成服务端证书cer-客户端浏览器安装,不安装也可继续访问
openssl x509 -in server.crt -out server.cer -outform der

2.nginx配置证书

http{

……

    server {# 可以不要
        listen 80;
        server_name localhost;# 自己的域名
        rewrite ^(.*)$ https://$host$request_uri;
    }


    server {
        listen 443 ssl;
        server_name localhost;# 自己的域名
        ssl_certificate /etc/nginx/keys/server.crt;#配置证书位置
        ssl_certificate_key /etc/nginx/keys/server.key;#配置秘钥位置
        ssl_client_certificate /etc/nginx/keys/ca.crt;#双向认证-客户端公钥
        ssl_verify_client on; #双向认证-开启校验客户端
        ssl_session_timeout 20m;

        # 配置服务器可使用的加密算法
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE;

        # 指定服务器密码算法在优先于客户端密码算法时,使用 SSLv3 和 TLS 协议
        ssl_prefer_server_ciphers on;

        # ssl 版本 可用 SSLv2,SSLv3,TLSv1,TLSv1.1,TLSv1.2 
        # ie6 只支持 SSLv2,SSLv3 但是存在安全问题, 故不支持
        #ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        location / {
            root /home/www.example.com/;
            try_files $uri /index.html;
            index index.html index.htm;
        }
    }

……

3.浏览器访问服务

 

3.1.未安装证书

用chrome浏览器访问:https://127.0.0.1

up-4044c6273c5595bd8b23139d0e89270d3f8.png

 

3.2.安装证书ca.p12

up-ba887051c528c2deba5b80616eed8b02c97.png

up-a85d0c156898ca92056e7bc4f098a689239.png

用chrome浏览器重新访问:https://127.0.0.1

提示:选择证书

up-fdcba08055af970e9fad7772fc21a736e2b.png

确定后,即可正常访问服务

up-988234844bd2bd315ffac9a9b14c2d6de6f.png

 

3.3.补充:删除已安装证书教程

up-21dd849e1fa2132d4ab6cbba8a0fcc6fb8b.png

up-278645abe0995cdd1867d4447dfcbe6ea52.png

up-27b7db0b8008a958eabaa7c8ff62d393f24.png

up-011507f44821d4ead867fdb4641f8ab24fc.png

HD243608836
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx SSL双向认证
zhangyunpengchang的专栏
07-05 1050
一.建立证书授权中心 1.检查是否已经安装openssl #which openssl /usr/bin/openssl 2.创建CA目录 #mkdir /usr/local/nginx/conf/ssl 3.生成私钥 #cd /usr/local/nginx/conf/ssl #echo 01 | tee ca.srl #openssl genrsa -des3 -out ca-
nginx环境下配置ssl加密(单双向认证、部分https
09-30
主要介绍了nginx环境下配置ssl加密(单双向认证、部分https),具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
nginx配置双向认证
weixin_33841722的博客
01-22 221
实现的功能:外网访问nginx证书才能打开页面,无证书打不开页面一、在192.168.13.45安装nginxapt-get install nginx二、配置生成ca的参数mkdir-pv/etc/nginx/ca cd/etc/nginx/ca mkdir-pvmkdirnewcertsprivateconfserver cdconf vimop...
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1931
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
Nginx双向认证
weixin_44480960的博客
01-25 6639
Nginx双向认证 一、前言 参考链接 OPENSSL加密DSA,RSA介绍 客户端默认是相信权威CA机构的,操作系统内置了CA证书。 说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。 centos操作系统中被信任的证书一般在此文件中 cat /etc/pki/tls/certs/ca-bundle.crt 我们可以查看一下访问百度的一个通信过程 curl -v https://www.b
nginx双向认证
qq_37657914的博客
07-06 1363
nginx双向认证配置,多级CA配置
nginx实现双向认证
qq_41937509的博客
09-20 4835
如果手里面只有通过正规途径申请下来的证书(而不是上面自签证做法), 得到的证书如下面所示, 这里只有服务端证书而没有服务端和根证书, 所以仍需要我们以自签证的方式生成根证书以及客户端证书配置的主要内容是配置了服务器端证书的公钥私钥以及根证书的公钥, 并且ssl_verify_client 参数设置为 on。如果客户端证书不是由根证书直接颁发的,配置中还需要加一个配置ssl_verify_depth 1;server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成。
Nginx 域名SSL证书配置(网站 http 升级为 https)
09-29
Nginx 域名SSL证书配置(网站 http 升级为 https)】 在互联网领域,为了确保用户数据的安全传输,很多网站已从传统的HTTP协议升级至更安全的HTTPS协议。HTTP(超文本传输协议)是无加密的,而HTTPS(超文本传输...
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** 在网络安全日益重要的今天,服务器与客户端之间的通信安全成为了一个不可忽视的问题。本文将详细介绍如何在Nginx服务器上配置SSL双向认证,以提高服务器的安全性,允许只有经过验证...
详解Nginx配置SSL证书实现Https访问
01-10
首先在硬负载上配置放弃了,然后通过在网上查找资料,发现可以只在Nginx配置证书,就是说Nginx接入使用Https,而Nginx与Tomcat之间使用Http进行衔接,这样就游了一个整体思路。 关于SSL证书 关于SSL证书这里简单...
Nginx SSL 双向认证
嗜鞋瘾君子
03-11 1000
一、安装Nginx和OpenSSL yum install nginx openssl -y 二、SSL 服务器 / 客户端双向验证证书的生成 创建一个新的 CA 根证书,在 nginx 安装目录下新建 ca 文件夹,进入 ca,创建几个子文件夹 mkdir ca && cd ca mkdir newcerts private conf server # newcer...
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过的,openssl 会自动的去找中级 CA 的签发者一层层验证上去,直到找到根。 因此,在实际使用的时候,需要注意一下两点: CA 文件中必须同时存在 中级 CA 和 根 CA,必须构成完整证书链,不能少任何一个; 默认的验证深度 SslVerifyDepth ssl_verify_depth 是 1,也就是说只要是中级
nginx 代理服务器配置双向证书验证的方法
01-10
生成证书链 用脚本生成一个根证书, 一个中间证书(intermediate), 三个客户端证书. 脚本来源于(有修改) https://stackoverflow.com/questions/26759550/how-to-create-own-self-signed-root-certificate-and-intermediate-ca-to-be-importe 中间证书的域名为 localhost. #!/bin/bash -x set -e for C in `echo root-ca intermediate`; do mkdir $C cd $C mkdir certs
nginx 配置 https双向认证
CheerTan is here
10-11 2023
注意事项 配置双向认证,这里的common name需要都配置成不同 nginx 配置 https双向认证 1.准备工作 linux环境安装openssl 2.生成证书步骤 1.新建一个文件夹 mkdir /root/keys 2.生成CA私钥 ca.key openssl genrsa -out ca.key 4096 3.生成ca的数字证书 ca.crt openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Co
Nginx配置https双向认证
CyborgLin的博客
09-01 4276
https双向认证原理: 网上查询很多文章,按照他们的步骤下来到最后都是失败的,然后摸索了3天终于搞定,记录下来,希望帮助到其他小伙伴。 一.生成自签名根证书 创建根证书私钥: openssl genrsa -out root.key 1024 创建根证书请求文件: openssl req -new -out root.csr -key root.key ############注意############## 根证书的Common Name填写root就可以,根证书的这个字段和.
Nginx配置ssl双向认证(精简!好文章!)
HD243608836的博客
02-04 4237
最近在搞ssl双向认证的任务,需要在本地调测,所以就使用自己生成的CA来生成证书。 这里只说如何配置双向认证双向认证的概念就不说了。 具体看如下链接:https://www.jianshu.com/p/fb5fe0165ef2 CA与自签名 # 制作CA私钥 openssl genrsa -out ca.key 2048 # 制作CA公钥/根证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # Common Name 随意填写
Nginx配置https双向认证访问
endzhi的博客
03-21 1008
需求:某些机密网站,仅允许特定电脑访问,能在运维方式解决,就不去麻烦开发! 安装或升级openssl yuminstall-yopenssl 安装nginx,这里已经安装,安装目录为/usr/local/nginx/ 创建一个新的CA根证书,在nginx安装目录下新建ca文件夹并创建几个子文件夹 mkdir/usr/local/nginx...
自建CA实战之 《0x02 Nginx 配置 https双向认证
一条老萌新
11-26 886
上一章节我们已经实现了Nginx配置https单向认证,主要场景为客户端验证服务端的身份,但是服务端不验证客户端的身份。本章节我们将实现Nginx配置https双向认证,主要场景为客户端验证服务端的身份,同时服务端也验证客户端的身份,简称双向认证双向认证的使用场景很多,比如我们在使用网银的U盾登录的时候,就是使用的双向认证,客户端验证服务端的身份,同时服务端也验证客户端的身份。
HTTPHTTPS详细教程:申请SSL证书Nginx配置步骤
http_ssl_module",此时可参考文章链接 [https://blog.csdn.net/u012946310/article/details/85106653](https://blog.csdn.net/u012946310/article/details/85106653) 解决,确保在重启前关闭Nginx以避免问题。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值