nginx 配置 https双向认证

最新推荐文章于 2023-12-29 22:26:14 发布
最新推荐文章于 2023-12-29 22:26:14 发布
阅读量772 收藏 1
点赞数 1
分类专栏: nginx https 双向认证 https双向认证 文章标签: https双向认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/binghongchazuoan/article/details/94624812
版权

参考文章:

https://blog.csdn.net/xiangguiwang/article/details/76400805

https://blog.csdn.net/qq_37049781/article/details/84837342

一、首先 证书的概念。

X.509证书,其核心是根据RFC 5280编码或数字签名的数字文档。
X.509 DER 编码(ASCII)的后缀是: .DER .CER .CRT
X.509 PAM 编码(Base64)的后缀是: .PEM .CER .CRT

nginx配置和springboot配置还是有区别的,这里坑很多。我的环境是windows+springboot+nginx。双向.认证配置springboot需要的是服务器证书库serve.jks和客户端证书 server.crt。而nginx需要的是服务器证书 server.pem,服务器秘钥privateKey.key,以及客户端证书client.pem(这里要根据linux需要的证书格式给)。

二、配置nginx

upstream tomcatsever{
	    server 192.168.43.238:8080;#代理服务器及端口
	}
	
    server {
        listen       8089; #nginx监听端口
        server_name  192.168.43.238:8089; 

        #charset koi8-r;

        #access_log  logs/host.access.log  main;
		
		listen 443 ssl;   #打开ssl认证
		ssl_certificate      G:\work\jks\project\server.pem;  #服务器证书
        ssl_certificate_key   G:\work\jks\project\privateKey.key; #服务器私钥
		ssl_client_certificate  G:\work\jks\project\client.pem;#客户端证书
		ssl_verify_client   on;  #打开客户端认证
        location / {
            root   html;
            index  index.html index.htm;
			proxy_pass http://tomcatsever;
        }
		
		location /api/ {
			proxy_pass http://tomcatsever;
        }

1.upstream后面的tomcatsever 不要加下划线,tomcat从7.0以后不支持了,不然会报错。

2.如果改了端口,原来的配置端口还可以访问,新的配置无效,要手动杀死nginx.exe程序,重新启动。

3.要想局域网可用,设置listen后面的端口A,servername要设成 ip+A。注意防火墙关闭

4.证书的格式需要 pem还是der,根据nginx配置。

三、证书格式转化(pem转 der,der转pem)

linux环境一般自带 openssl,windows环境还需要安装

PEM到DER
openssl x509 -in cert.crt -outform der-out cert.der
DER到PEM
openssl x509 -in cert.crt -inform der -outform pem -out cert.pem

四、  查看 pem、der格式证书信息

1.查看pem格式

openssl x509 -in cert.pem -text -noout

2.查看der格式

openssl x509 -in certificate.der -inform der -text -noout

五、提取私钥

这里有两种办法,一是openssl,二是java代码

第一种:

jks先转 pfx格式

keytool -v -importkeystore -srckeystore server.jks -srcstoretype jks -srcstorepass demopwd -destkeystore server.pfx -deststoretype pkcs12 -deststorepass password-destkeypass password

pfx 转pem格式

openssl pkcs12 -in server.pfx -nodes -out server.pem

提取公钥:

openssl rsa -in server.pem -out pub.key

提取私钥:

openssl x509 -in server.pem -out pri.key

第二种:

/**
 * @author zhen
 * @Date 2018/4/16 10:58
 */
public class ExportCert {

    //导出证书 base64格式
    public static void exportCert(KeyStore keyStore, String alias, String exportFile) throws Exception {
        Certificate certificate = keyStore.getCertificate(alias);
        BASE64Encoder encoder = new BASE64Encoder();
        String encoded = encoder.encode(certificate.getEncoded());
        FileWriter fw = new FileWriter(exportFile);
        fw.write("------BEGIN CERTIFICATE----- \r\n ");//非必须
        fw.write(encoded);
        fw.write("\r\n-----END CERTIFICATE-----");//非必须
        fw.close();
    }

    //得到KeyPair
    public static KeyPair getKeyPair(KeyStore keyStore, String alias, char[] password){
        try{
            Key key = keyStore.getKey(alias, password);
            if (key instanceof PrivateKey){
                Certificate certificate = keyStore.getCertificate(alias);
                PublicKey publicKey = certificate.getPublicKey();
                return new KeyPair(publicKey, (PrivateKey) key);
            }
        }catch (UnrecoverableKeyException | NoSuchAlgorithmException | KeyStoreException e){
            e.printStackTrace();
        }
        return null;
    }

    //导出私钥
    public static void exportPrivateKey(PrivateKey privateKey, String exportFile) throws Exception {
        BASE64Encoder encoder = new BASE64Encoder();
        String encoded = encoder.encode(privateKey.getEncoded());
        FileWriter fileWriter = new FileWriter(exportFile);
        fileWriter.write("-----BEGIN PRIVATE KEY-----\r\n");//非必须
        fileWriter.write(encoded);
        fileWriter.write("\r\n-----END PRIVATE KEY-----");//非必须
        fileWriter.close();
    }

    //导出公钥
    public static void exportPublicKey(PublicKey publicKey, String exportFile) throws Exception {
        BASE64Encoder encoder = new BASE64Encoder();
        String encoded = encoder.encode(publicKey.getEncoded());
        FileWriter fileWriter = new FileWriter(exportFile);
        fileWriter.write("-----BEGIN PUBLIC KEY-----\r\n");//非必须
        fileWriter.write(encoded);
        fileWriter.write("\r\n-----END PUBLIC KEY-----");//非必须
        fileWriter.close();
    }

    public static void main(String[] args) throws Exception{
        String keyStoreType = "jks";
        String keystoreFile = "G:\\work\\jks\\project\\server.key.p12";
        String password = ""; //keystore的解析密码
        String friendPassword = "";//条目的解析密码

        KeyStore keyStore = KeyStore.getInstance(keyStoreType);
        keyStore.load(new FileInputStream(keystoreFile), password.toCharArray());

        String alias = "server";//条目别名
        String exportCertFile = "G:\\work\\jks\\project\\cert.crt";
        String exportPrivateFile = "G:\\work\\jks\\project\\privateKey.key";
        String exportPublicFile = "G:\\work\\jks\\project\\publicKey.key";

        ExportCert.exportCert(keyStore, alias, exportCertFile);
        KeyPair keyPair = ExportCert.getKeyPair(keyStore, alias, friendPassword.toCharArray()); //注意这里的密码是你的别名对应的密码,不指定的话就是你的keystore的解析密码
        ExportCert.exportPrivateKey(keyPair.getPrivate(), exportPrivateFile);
        ExportCert.exportPublicKey(keyPair.getPublic(), exportPublicFile);

        System.out.println("OK");

    }

这样 nginx https双向认证配置就完成了。

 


        

_左左
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
Https双向验证与Springboot整合测试-人来人往我只认你
南瓜慢说
05-05 990
1 简介 不知不觉Https相关的文章已经写了6篇了,本文将是这个专题的最后一篇,起码近期是最后一篇。前面6篇讲的全都是单向的Https验证,本文将重点介绍一下双向验证。有兴趣的同学可以了解一下之前的文章: (0)Https专题 (1)Springboot整合https原来这么简单 (2)HTTPS之密钥知识与密钥工具Keytool和Keystore-Explorer (3)Springboot以...
nginx配置ssl
u012785397的博客
09-20 1090
nginx配置ssl
SpringBoot+Vue前后端分离,基于Nginx实现双向Https部署并实现数字证书登录
长春小汪汪的博客
01-04 2160
SpringBoot+Vue前后端分离,基于Nginx实现双向Https部署并实现数字证书登录背景概要说明Web应用的配置开启https增加登录接口Nginx配置总结 背景 最近公司要求将基于SpringBoot+Vue开发的Web应用进行双向Https部署,在此对本次部署进行了总结,本文章内容不对数字证书的生成以及单、双向Https等基本概念进行讲解。 概要说明 部署时,客户端到Nginx采用双向Https访问,客户端选择数字证书进行登录,由Nginx配置双向Https认证Nginx可以自动解析数字证
springboot + nginx配置https
weixin_67093769的博客
12-29 465
证书的制作证书的制作。
SpringBoot 配置单向和双向认证
一个95后开发者,热爱编程,喜欢玩游戏. 希望可以结识更多的小伙伴...
06-30 832
本地测试使用自签名证书以开启网站https(例子说明:Nginx、Tomcat)
MysticalDream的博客
05-16 6265
数字证书是由证书颁发机构(CA)签名并颁发的电子文件,用于建立网络连接的身份认证和加密通信。SSL 证书是数字证书的一种。
nginx实现双向认证
qq_41937509的博客
09-20 4463
如果手里面只有通过正规途径申请下来的证书(而不是上面自签证做法), 得到的证书如下面所示, 这里只有服务端证书而没有服务端和根证书, 所以仍需要我们以自签证的方式生成根证书以及客户端证书。配置的主要内容是配置了服务器端证书的公钥私钥以及根证书的公钥, 并且ssl_verify_client 参数设置为 on。如果客户端证书不是由根证书直接颁发的,配置中还需要加一个配置ssl_verify_depth 1;server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成。
Nginx双向认证
weixin_44480960的博客
01-25 6261
Nginx双向认证 一、前言 参考链接 OPENSSL加密DSA,RSA介绍 客户端默认是相信权威CA机构的,操作系统内置了CA证书。 说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。 centos操作系统中被信任的证书一般在此文件中 cat /etc/pki/tls/certs/ca-bundle.crt 我们可以查看一下访问百度的一个通信过程 curl -v https://www.b
nginx 配置 https双向认证
CheerTan is here
10-11 1880
注意事项 配置双向认证,这里的common name需要都配置成不同 nginx 配置 https双向认证 1.准备工作 linux环境安装openssl 2.生成证书步骤 1.新建一个文件夹 mkdir /root/keys 2.生成CA私钥 ca.key openssl genrsa -out ca.key 4096 3.生成ca的数字证书 ca.crt openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Co
详解Nginx SSL快速双向认证配置(脚本)
09-30
主要介绍了详解Nginx SSL快速双向认证配置(脚本),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Nginx双向SSL认证配置详解
04-09
Nginx双向SSL认证配置详细步骤
Nginx下面部署springboot项目+HTTPSSSL认证
m0_37747750的博客
07-17 1020
亲身经验分享,小蔫本人环境:VM+centos+Nginx 首先想要在nginx下面部署springboot项目,则必须安装nginx,这里不再累赘,不会的同学请看小蔫的这篇文章https://blog.csdn.net/m0_37747750/article/details/95473902。 申请SSL证书 HTTPS需要SSL证书,SSL证书的申请可以在腾讯云申请免费的证书。 在 S...
NginxSpringBootHttps认证
布道师小羊的博客
10-27 622
1、安装nginx和制作证书:用openssl制作证书 2、配置SpringBoot: 在SpringBoot的application-dev.yml里面进行配置: #配置服务器信息 server: port: 8080 servlet: context-path: / tomcat: remoteip: protocol-header: x-forwarded-proto remote-ip-header: x-forwarded-for rem
Nginx配置双向认证以及证书文件的制作流程
qq_36258498的博客
09-09 1875
Nginx配置双向认证以及证书文件的制作流程 ssl协议 ssl协议在传输过程中使用了对称加密和非对称加密的方式 对称加密使用的是相同的秘钥进行加密,有加密速度快的特点 非对称加密使用的则是秘钥对(公钥和私钥)的方式进行加密,相对对称加密的单秘钥拥有更加安全的特点,但是缺点就是加密速度慢 证书格式之间的问题 CRT:crt意为certificate的简略写法,也就是证书的意思 KEY:key格式的文件为秘钥,也可以有PEM和DER格式的,都为秘钥文件 CSR:csr文件为证书
SSL双向认证-Nginx配置
localhost
09-14 706
3.浏览器添加证书,在浏览器设置里找到SSL证书,导入client.p12证书,再次访问后选择证书即可访问。Nginx配置适用于前端项目或前后端都通过Nginx转发的时候(此时可不配置后端启用双向认证SSL双向认证需要CA证书,开发过程可以利用自签CA证书进行调试验证。
通过Nginx搭建HTTPS双向认证代理
Victor Lv的博客
09-04 2338
一、Nginx双向认证配置: 在 Nginx.conf 增加如下 server 配置,或者在 Nginx.conf 指定读取其他子配置文件的位置,比如:include /etc/nginx/conf.d/*.conf,这里指定扫描并读取 /etc/nginx/conf.d/ 目录下的 .conf 后缀结尾的文件。 sslProxy.conf: server { listen 55111 ssl; server_name 11.11.11.111;
Nginx配置https双向认证
热门推荐
happyzhang的Blog
11-20 1万+
1.      前期的准备工作: 安装opensslnginxhttps模块 cd  ~/ mkdir ssl cd ssl mkdir demoCA cd demoCA mkdir newcerts mkdir private touch index.txt echo '01' > serial 2.      制作CA证书(这个是信任的起点,根证书,所有其他的证书都要
行政数据分析看板8.xlsx
最新发布
04-26
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
nginx配置wss双向认证
12-20
nginx配置wss双向认证的步骤如下: 1. 在/etc/nginx/conf.d目录下创建一个名为443.conf的文件,用于处理443端口的转发。 2. 在443.conf文件中添加以下配置: ```shell server { listen 443 ssl; server_name your_domain; ssl_certificate /path/to/your/certificate.crt; ssl_certificate_key /path/to/your/private.key; ssl_client_certificate /path/to/your/client.crt; ssl_verify_client on; location / { proxy_pass http://your_backend_server; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } } ``` 其中,your_domain替换为你的域名,/path/to/your/certificate.crt和/path/to/your/private.key替换为你的服务器证书和私钥的路径,/path/to/your/client.crt替换为客户端证书的路径,your_backend_server替换为你的后端服务器地址。 3. 保存并退出443.conf文件。 4. 运行命令nginx -t检测配置是否有错。 5. 如果没有错误,运行命令nginx -s reload重新加载nginx配置。 请注意,以上配置假设你已经有了有效的服务器证书、私钥和客户端证书,并将其放置在正确的路径下。另外,你还需要将your_backend_server替换为实际的后端服务器地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值