【原创】nginx上配置SSL双向认证的CA证书链(工具openssl)

最新推荐文章于 2024-07-02 07:51:42 发布
最新推荐文章于 2024-07-02 07:51:42 发布
阅读量6.7k 收藏 6
点赞数 1
分类专栏: SSL nginx 大厂任性挑 文章标签: nginx SSL 双向认证 CA 证书链openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HD243608836/article/details/118528543
版权
大厂任性挑 同时被 3 个专栏收录
194 篇文章 18 订阅
订阅专栏
nginx
27 篇文章 2 订阅
订阅专栏
SSL
17 篇文章 4 订阅
订阅专栏

配置SSL双向认证的CA证书链时,其中最关键的两步骤:

  1. ssl_client_certificate ca.crt# 包含证书链的ca.crt
  2. ssl_verify_depth 2# 指定双向认证客户端证书到根证书的深度,默认是1

配置如下:

# HTTPS server
#
server {
	listen       443 ssl;
	listen       8110 ssl;
	server_name  aaa.abc.com;

	ssl on;
	
	ssl_certificate      /usr/local/nginx/cert/server.crt; #配置证书位置
	ssl_certificate_key  /usr/local/nginx/cert/server.key; #配置秘钥位置

	#包含证书链的ca
	ssl_client_certificate /usr/local/nginx/cert/ca.crt; #双向认证
	#或者把ca链拆开,分成root_ca.crt和sub_ca.crt,如下(注意属性名):
	#ssl_client_certificate /usr/local/nginx/cert/sub_ca.crt; #双向认证
	#ssl_trusted_certificate /usr/local/nginx/cert/root_ca.crt; #双向认证
	ssl_verify_client on; #双向认证
	ssl_verify_depth 2; #指定双向认证客户端证书到根证书的深度,默认是1
	ssl_session_cache    shared:SSL:1m;
	ssl_session_timeout  5m;

	#ssl_ciphers  HIGH:!aNULL:!MD5;
	ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	ssl_prefer_server_ciphers  on;

	location / {
		root   /usr/local/abc/abc_web;
		index  index.html index.htm;
	}
	location /abcApi {
	   proxy_pass   http://aaa.abc.com:8119;
	}
}

 如果CA证书是没有证书链的话(vim打开之后可以直接查看,里面只有rootCA信息,没有subCA信息),则配置ssl_verify_depth值为1,或者直接去掉,因为默认是1。而ssl_client_certificate 值还是ca.crt,只不过这个ca.crt文件里面没有证书链。

补充:

从pfx文件导出ca证书链这样导出的ca.crt文件是root根证书和sub子证书合在一起的

openssl pkcs12 -in myssl.pfx -cacerts -nokeys -out ca.crt  

参考自:

https://blog.csdn.net/HD243608836/article/details/118528131

https://blog.csdn.net/HD243608836/article/details/118362421

HD243608836
关注
专栏目录
Nginx -- -- 配置SSL证书
m0_54594153的博客
09-02 2332
此选项创建一个新的证书请求和一个新的私钥。该参数采用以下几种形式之一。2048 是代表位数 位数越多越安全 常见的有 2048、4096。然后用源码中刚刚编译好的nginx把安装目录中的nginx替换。重启,测试访问http://www.kya.com。-x509 签发x509格式证书命令。-days 3650 时间=10 年。不要make install。req 表示证书输出的请求。-new表示新的请求。
Nginx配置SSL自签名证书的方法
09-30
本文将详细介绍如何在Nginx服务器上配置SSL自签名证书。 首先,我们需要生成自签名SSL证书。这通常包括以下步骤: 1. **生成RSA密钥**:使用`openssl genrsa`命令创建一个带有密码保护的RSA私钥。例如,`openssl ...
一文读懂SSL认证全解析
最新发布
sunxunyong的博客
07-02 1350
storepasswd 修改keystore口令 keytool -storepasswd -keystore e:/yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)-export 将别名指定的证书导出到文件 keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码。
nginx配置ssl加密(单/双向认证、部分https)
weixin_34174322的博客
06-01 508
nginx配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番。一开始采用的是全站加密,所有访问http:80的请求强制转换(rewrite)到https,后来自动化测试结果说响应速度太慢,https比http慢慢30倍,心想怎么可能,鬼知道他们怎么测的。所以就试了...
nginx证书配置
pht314057的博客
09-22 6595
server { listen 443 ; ssl on; #填写绑定证书的域名 server_name 域名; #证书文件名称 ssl_certificate /etc/nginx/keys/xxx.crt; #私钥文件名称 ssl_certificate_key /etc/nginx/keys/xxx.key; #ssl参数的过期时间 ssl_session_timeout 5m; #选择加密套件 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AE
SSL/TLS深度解析--在Nginxopenssl配置CA证书及多域名证书(好文章,配置很全面!!)
HD243608836的博客
07-06 2606
该文章配置很全面但是有些地方有冗余的配置,我只归纳提取了简化了本文的ssl双向认证CA证书的相关配置接为: 原文如下: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 生成私钥与自签根证书(这次使用aes256加密,密码是redhat) # 进行简单处理 [root@www ~]# cd /usr/local/openssl/ [root@www openssl]# mkdir root-CA sub-CA [root@www openssl]# cp -r
Nginx 配置 HTTPS 证书
彭楷淳在 CSDN
02-12 547
随着我们网站用户的增多,我们会逐渐意识到 HTTPS 加密的重要性。在不修改现有代码的情况下,要从 HTTP 升级到 HTTPS,让 Nginx 支持 HTTPS 是个很好的选择。今天我们来讲下如何从 Nginx 入手,从 HTTP 升级到 HTTPS,同时支持静态网站和 Spring Boot 应用,希望对大家有所帮助! 生成 SSL 自签名证书 虽然自签名证书浏览器认为并不是安全的,但是学习下 SSL 证书的生成还是很有必要的! 首先创建 SSL 证书私钥,期间需要输入两次用户名和密码,生成文件为 b
Nginx双向SSL认证配置详解
04-09
本文将详细介绍如何在Nginx服务器上配置双向SSL认证。 #### 二、环境准备 为了进行Nginx双向SSL认证配置,首先需要准备好必要的环境: 1. **安装OpenSSL工具**:通过`yum install openssl`命令安装。 2. **配置...
OpenSSL生成的ssl证书
01-11
**OpenSSL生成的ssl证书** 在互联网安全领域,SSL(Secure Socket Layer)证书是保障网站数据传输安全的重要工具OpenSSL是一个开源的库,包含了各种加密算法,它提供了生成SSL证书的功能。本教程将详细介绍如何...
Nginx+SSL实现双向认证的示例代码
09-30
以下将详细介绍Nginx配置SSL双向认证的全过程,包括相关命令的使用和配置文件的编写。 首先,需要创建一个工作目录用于存放证书文件。命令如下: ``` cd /etc/nginx mkdir ssl cd ssl ``` 接下来,需要创建证书...
nginx配置ssl双向验证的方法
09-30
总结来说,NginxSSL双向验证配置是一个涉及证书生成、Nginx配置修改以及客户端设置的多步骤过程。正确实施后,它能提供更高级别的安全保护,防止中间人攻击和其他网络安全威胁。在实际操作中,务必确保所有涉及的...
使用Nginx配置客户端实现SSL双向认证
qq_25855003的博客
08-01 1906
一、Nginx配置客户端SSL双向认证 1. CA 与自签名 创建相关目录 #mkdir ssl #cd ssl 制作 CA 私钥 #openssl genrsa -out ca.key 2048 制作 CA证书(公钥) #openssl req -new -x509 -days 3650 -key ca.key -out ca.crt 2. ...
Nginx配置ssl双向认证
Tiger、
04-28 1837
Nginx配置ssl双向认证
Nginx ssl_client_certificate支持多CA 证书使用记录
jin_recruit的博客
12-17 4707
nginx ssl_client_certificate 双向验证 多CA 客户端证书校验
Nginx 配置 SSL证书
热门推荐
程序猿进阶
02-10 1万+
成功配置SSL证书后,您将能够通过HTTPS加密通道安全访问Nginx服务器。
nginx配置ssl证书
Know Destiny的博客
10-20 474
nginx配置ssl证书 简介:我的是腾讯云,给服务器安装证书是在腾讯云这里操作的,先搜索ssl证书,选择使用免费版的一年,大概一天就可以审批通过,然后下载ssl证书 1.下图是ssl证书安装的11种方式,我们选择nginx服务器证书安装 腾讯云nginx服务证书安装网址:https://cloud.tencent.com/document/product/400/35244 )] 2.解压下载的文件夹目录 我们选择nginx文件夹,里面有两个文件 1_cloud.tencent.com_bund
nginx使用自签CA证书(docker-compose启动nginx容器,https访问nginx
运维玄德公
01-20 1631
1. nginx.conf 2. docker-compose.yml 3. 证书文件 4. build目录 5. 启动和查看
如何在Nginx配置中使用证书
乔木的博客
01-29 1100
在本文中,我们将详细介绍如何在Nginx中使用证书。。通过使用证书,我们可以确保网站的安全性,保护用户数据,并提高网站的可信度。以下是关于如何在Nginx中使用证书的详细教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值