Nginx-配置HTTPS证书(单向认证)

已于 2022-06-16 09:44:41 修改
阅读量4.7k 收藏 6
点赞数 2
分类专栏: # Nginx 文章标签: https nginx http
于 2022-01-28 11:01:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W_Meng_H/article/details/122726871
版权
Java 同时被 2 个专栏收录
125 篇文章 0 订阅
订阅专栏
Nginx
14 篇文章 0 订阅
订阅专栏

目录

一、生成 CA 私钥

1、生成一个 CA 私钥: ca.key

二、生成CA 的数字证书

1、生成一个 CA 的数字证书: ca.crt

三、生成 server 端数字证书请求

1、生成 nginx 端的私钥: nginx.key

2、生成 nginx 端数字证书请求: nginx.csr

四、用 CA 私钥签发 server 的数字证书 

1、用 CA 私钥签发 nginx 的数字证书: nginx.crt

2、创建不需要输入密码的RSA证书,否则Nginx每次reload、restart都需要输入密码

生成的相关文件:

五、配置nginx

六、linux测试

1、curl测试

2、把证书加到客户端 linux 证书信任列表

HTTPS相关介绍:HTTPS相关介绍_孟孟的博客-CSDN博客

一、生成 CA 私钥

1、生成一个 CA 私钥: ca.key

mkdir /home/nginx/ssl
cd /home/nginx/ssl
openssl genrsa -out ca.key 4096

二、生成CA 的数字证书

1、生成一个 CA 的数字证书: ca.crt

openssl req -new -x509 -days 365 -key ca.key -out ca.crt
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BJ
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Team
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:Certificate Authority
Email Address []:

三、生成 server 端数字证书请求

1、生成 nginx 端的私钥: nginx.key

openssl genrsa -des3 -out nginx.key 4096

2、生成 nginx 端数字证书请求: nginx.csr

openssl req -new -key nginx.key -out nginx.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BJ
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Meng
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:IP 或 域名 (必填)
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

注意:由于使用ip地址访问的,所以Common Name,输入ip即可;如果使用域名访问,那么这一步,必须是域名才行!

四、用 CA 私钥签发 server 的数字证书 

1、用 CA 私钥签发 nginx 的数字证书: nginx.crt

openssl x509 -req -in nginx.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out nginx.crt -days 365

2、创建不需要输入密码的RSA证书,否则Nginx每次reload、restart都需要输入密码

openssl rsa -in nginx.key -out nginx_nopass.key

生成的相关文件:

不使用ca生成:

1.生成一个RSA密钥
openssl genrsa -des3 -out nginx.key 4096
2.生成一个证书请求
openssl req -new -key nginx.key -out nginx.csr
CN  BJ  BJ  G  G  221.0.111.131
3.创建不需要输入密码的RSA证书,否则每次reload、restart都需要输入密码
openssl rsa -in nginx.key -out nginx_nopass.key
4.签发证书(由于是测试自己签发,实际应该将自己生成的csr文件提交给SSL认证机构认证)
openssl x509 -req -days 365 -in nginx.csr  -signkey nginx.key -out nginx.crt

五、配置nginx

server {
        listen       8600 ssl;
        server_name  localhost;

        ssl_certificate      /home/nginx/ssl/nginx.crt;
        ssl_certificate_key  /home/nginx/ssl/nginx_nopass.key;
		#ssl_client_certificate /home/nginx/ssl/ca.crt; #双向认证
		#ssl_verify_client on; #双向认证
		

        ssl_session_timeout 10m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
        ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!3DES:!aNULL:!MD5:!ADH:!RC4;  # 选择加密套件
        ssl_prefer_server_ciphers  on;  # 设置协商加密算法时,优先使用我们服务端的加密套件,而不是客户端浏览器的加密套件。

        location / {
	        proxy_set_header  Host  $http_host;
            proxy_set_header  X-Real-IP  $remote_addr;
            proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_pass	http://localhost:8601;
        }
    }

六、linux测试

1、curl测试

curl --cacert ca.crt --cert nginx.crt --key nginx.key --tlsv1.2 https://IP:端口号

2、把证书加到客户端 linux 证书信任列表

cat ca.crt >> /etc/pki/tls/certs/ca-bundle.crt
linux 访问 https 证书问题:
curl: (60) Peer's Certificate issuer is not recognized.
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

W_Meng_H
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx配置+https
12-10
nginx配置+https
三、基于nginx构建单向认证服务
悠闲咖啡007的博客
01-22 292
修改nginx配置文件 #服务器的集群 upstream netitcast.com { #服务器集群名字 server localhost:8080 weight=1;#服务器配置 weight是权重的意思,权重越大,分配的概率越大。 } 解开配置文件注释 # HTTPS server # #server { # listen
手把手教你Nginx 配置 HTTPS 完整过程_nginx htps,还在等机会
最新发布
2401_83621603的博客
04-14 622
真正体系化!**
nginx配置ssl单向验证
love_yu_er的博客
05-09 1172
生成一个RSA密钥openssl genrsa -des3 -out bym.phpmyadmin.com.key 1024 (密码:xiao123)拷贝一个不需要输入密码的密钥文件openssl rsa -in bym.phpmyadmin.com.key -out bym.phpmyadmin.com_nopass.key生成一个证书请求openssl req -new -key bym.php
Nginx单向认证和双向认证安装配置
liucy007的博客
01-31 1815
1.Nginx单向认证的安装配置 参考 https://www.cnblogs.com/zhoulf/p/4040015.html?tdsourcetag=s_pcqq_aiomsg 补充 Nginx.config配置文件 upstream server_pool { server 10.110.26.78:8080; } server { listen 4...
nginx配置Https单向认证和双向认证
ONS_cukuyo的博客
01-26 3849
  1、配置nginx单向认证 配置文件为nginx解压目录下的conf/nginx.conf文件 其中关于https配置配置信息是有的,只是被注释掉了,所以我们简单修改就可以用了   Https监听端口为:443(http默认端口为80,https默认端口为443) 服务器名称为:test.XXXXXX.com,这一点需要和证书里声明的一致 公钥:../../XXHttps配置/...
Nginx配置Https证书详细过程
09-29
主要介绍了Nginx配置Https证书详细过程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
k8s-修改ingress-nginx-controller中nginx配置文件参数参考
07-20
k8s-修改ingress-nginx-controller中nginx配置文件参数参考
nginx-1.21.1_nginx-http-flv-module
06-23
windows版,2021年6月23日编译,已编译nginx-http-flv-module直播推流模块
nginx-http-flv-module(windows版)
04-14
--> nginx-1.21.6 ======================== 在网上查找半天都只有教程,没有可免费下载的版本,深知没有积分遍地找资源的痛苦,无奈之下只好自己按照教程一步一个坑编译出来的,供大家免费下载使用。(无毒放心使用...
nginx-common-configuration:Nginx常用配置
05-06
Nginx常用配置 Nginx配置。 不是最强大,最有生产力或最好的。 只是有用的配置,我想在开箱即用的默认Nginx包中看到 :grinning_squinting_face: 奖励:nginx的fail2ban,filebeat和docker-compose配置:) 警告:我住...
Nginx配置 https 证书
strivew的博客
03-03 9855
1.阿里云创建免费SSL证书 2.证书申请 3.填写相关信息执行下一步 4.DNS控制台添加解析 5.下载证书(这里选择的是Nginx)
nginx配置https证书
qq_41508632的博客
12-31 449
一、Nginx安装http_ssl_module模块 Nginx如果未开启SSL模块,配置Https时提示错误。 nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:xxx nginx缺少http_ssl_module模块,编译安装的时候带上–wit...
Nginx配置ssl证书(https证书)
u010797364的博客
10-19 1万+
Nginx配置SSL安全证书
Nginx单向认证的安装配置
海边的风
07-23 268
首先系统要已经安装 openssl,以下是使用 openssl 安装配置单向认证的执行步骤与脚本: #-------------------------------------------------------- #单向认证,就是传输的数据加密过了,但是不会校验客户端的来源 #单项SSL连接,也就是只是客户端验证服务器证书 #-----------------------------------...
Nginx配置https证书
qq_37705525的博客
04-23 8505
Nginx配置https证书
nginx配置https并自签名证书
抱抱熊的博客
11-15 1万+
nginx配置https并自签名证书一、把证书准备好。 步骤与使用OpenSSL自签发服务器https证书所述大同小异。在这里再重复一次。 1、制作CA证书: ca.key CA私钥:openssl genrsa -des3 -out ca.key 2048制作解密后的CA私钥(一般无此必要):openssl rsa -in ca.key -out ca_decrypted.keyca.cr
nginx配置ssl证书实现https访问
热门推荐
YHJ
06-04 3万+
配置ssl证书之前,先准备SSL证书,至于获取的途径很多(阿里云的服务,第三方服务购买)。这里不详细解释。以下是我的SSL证书 准备好证书后,找到nginx的安装目录,我的安装位置为:/usr/local/nginx 进入 config/nginx.conf 如果没有装winscp(一款可视化文件操作工具)的。可以通过命令行的方式,编辑nginx的config文件。 开始配置文件的修改 在修改配置文件之前,最好做一个备份,防止修改错误,也能及时回退错误 1、找到第一个监听..
nginx-1.13.7 证书配置
12-12
证书配置对于Nginx服务器的安全性和可靠性而言至关重要。 首先,我们需要获得SSL证书,可以通过购买商业证书或者使用免费的证书颁发机构(CA)如Let's Encrypt来获取SSL证书。一旦有了证书,我们就可以进行配置了。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值