nginx + crl

最新推荐文章于 2023-02-06 01:12:33 发布
最新推荐文章于 2023-02-06 01:12:33 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: LINUX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daa20/article/details/78890050
版权

目的:使用nginx的吊销列表

环境:
Linux ubuntu 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

nginx-1.12.2
//编译
cd nginx-1.12.2/

./configure --prefix=/opt/nginx-server-ocsp --with-debug --with-openssl=/home/ubu/nginx-ocsp/lib/openssl-1.0.1g --with-http_ssl_module

make

//nginx 配置文件
ubu@ubuntu:/opt/nginx-server-ocsp$ cat conf/nginx-server-ocsp.conf 

#user  nobody;
worker_processes  1;

#error_log  logs/error.log;
error_log  logs/error.log  debug;
#error_log  logs/error.log  info;

pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;

    server {
        listen       80;
        server_name  localhost;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location /opt/nginx-ocsp-test {
            root   html;
            index  index.html index.htm index.txt;
        }

        #error_page  404              /404.html;

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }

        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #
        #location ~ \.php$ {
        #    proxy_pass   http://127.0.0.1;
        #}

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        #location ~ \.php$ {
        #    root           html;
        #    fastcgi_pass   127.0.0.1:9000;
        #    fastcgi_index  index.php;
        #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        #    include        fastcgi_params;
        #}

        # deny access to .htaccess files, if Apache's document root
        # concurs with nginx's one
        #
        #location ~ /\.ht {
        #    deny  all;
        #}
    }


    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}


    # HTTPS server
    #
    server {
        listen                      443 ssl;
        server_name                 server_test_01;
        charset                     utf-8;


        ssl_crl                     /home/ubu/openssl_ocsp_test/root-ca/all-revoked.crl;

        ssl_verify_client           on;
        ssl_client_certificate      /home/ubu/target/openssl_ocsp_test/root-ca/combine.crt;
        ssl_certificate             /home/ubu/target/openssl_ocsp_test/server/server.crt;
        ssl_certificate_key         /home/ubu/target/openssl_ocsp_test/server/server.key;
        #ssl_password_file           /home/ubu/target/certificate/ca/intermediate/private/server.key;

        ssl_protocols               TLSv1.2;
        ssl_verify_depth            2;
        ssl_session_cache           shared:SSL:1m;
        ssl_session_timeout         5m;
        ssl_ciphers                 HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers   on;

        location /opt/nginx-server-ocsp {
            root   html;
            index  index.html index.htm index.txt;
        }
    }

}
// nginx启动
/opt/nginx-server-ocsp/nginx-server-ocsp -c /opt/nginx-server-ocsp/conf/nginx-server-ocsp.conf

//curl 测试:
curl https://server_test_01:443/index.txt --cacert root-ca/combine.crt --cert client/client.crt --key client/client.key 

//正确结果:客户端证书被验证且没有被吊销
123
//错误结果:客户端证书被验证且客户端证书被吊销
<html>
<head><title>400 The SSL certificate error</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
<center>The SSL certificate error</center>
<hr><center>nginx/1.12.2</center>
</body>
</html>

注意:
1,ssl_client_certificate      /home/ubu/target/openssl_ocsp_test/root-ca/combine.crt;
如果客户端证书不是根CA(root-ca.crt)直接签发的,而是二级CA(sub-ca.crt)签发的。ssl_client_certificate  应指向一个证书链,即包含根CA和所有二级CA, 且按顺序二级CA在上,根CA在下的顺序:
cat sub-ca.crt root-ca.crt > combine.crt

2,ssl_crl     /home/ubu/openssl_ocsp_test/root-ca/all-revoked.crl;
参考:https://trac.nginx.org/nginx/ticket/344#no1
即:When using intermediate CAs, a file with CRLs is expected to contain CRLs for all CAs. The error in question will appear if there is no CRL for some CA in the certificate chain.

ubu@ubuntu:~/target/openssl_ocsp_test/root-ca$ openssl ca -gencrl -config root-ca.conf -out root-ca-revoked.crl
Using configuration from root-ca.conf
Enter pass phrase for ./private/root-ca.key:
ubu@ubuntu:~/target/openssl_ocsp_test/root-ca$ openssl ca -gencrl -config sub-ca.conf -out sub-ca-revoked.crl
Using configuration from sub-ca.conf
Enter pass phrase for ./private/sub-ca.key:
ubu@ubuntu:~/target/openssl_ocsp_test/root-ca$ cat root-ca-revoked.crl sub-ca-revoked.crl > all-revoked.crl
daa20
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx基本配置与参数说明
chengxuyuanyonghu的专栏
03-11 4256
user nobody; #启动进程,通常设置成和cpu的数量相等 worker_processes  1;    #全局错误日志及PID文件 #error_log  logs/error.log; #error_log  logs/error.log  notice; #error_log  logs/error.log  info;
nginx配置ssl
穿过你的代码我的手
01-12 4168
感谢大牛的技术分享,本文参照:http://blog.csdn.net/kunoy/article/details/8239653,进行,并修正为自己的配置,本文为双向验证的配置。 配置环境 系统:centos6.5 nginx:1.6.2(安装通过yum安装,添加源,这个是stable`稳定版本`,http://nginx.org/packages/centos/6/noarch/RPMS
nginx配置反向代理验证ssl证书 双向认证
weixin_45548465的博客
05-15 6017
适用于公司内部一些业务系统对安全性要求比较高,业务系统只允许公司内部人员访问,而且要求浏览器要安装证书登录,对公司入职有需求的人员开通证书,流失的人员注销证书。 修改openssl配置参数 vim /etc/pki/tls/openssl.cnf 下面只列出配置文件中和自建CA有关的几个关键指令 dir=/etc/pki/CA #CA的工作目录 database=$dir/index.txt #签署证书的数据记录文件,下面会生成index这个文件 new_certs_dir=$dir/n
Nginx Https(十五)
最新发布
董坤的博客
02-06 474
CRL服务器:CA把已经吊销的证书放在这个服务器里面(会一个一个查)性能非常差OCSP就当前一个证书进行查询,这个性能也不高CRL服务器:CA把已经吊销的证书放在这个服务器里面(会一个一个查)性能非常差OCSP就当前一个证书进行查询,这个性能也不高wb服务器nginx支持OCSP的一个开关,如果打开的话,那么nginx服务器,会自动的到OCSP响应程序上查询证书还有多久过期大量客户端访问服务器的时候,nginx就是返回证书,是否有效。Https证书的类型DVOVEV。
nginx代理服务器配置双向证书验证的方法
01-10
生成证书链 用脚本生成一个根证书, 一个中间证书... mkdir certs crl newcerts private cd .. echo 1000 > $C/serial touch $C/index.txt $C/index.txt.attr echo ' [ ca ] default_ca = CA_default [ CA_defa
certificate-manager:管理网络服务器(主要是 nginx)的自签名服务器和客户端证书的脚本
06-05
证书管理员此脚本创建和管理自签名证书: 初始化和管理 CA 数据库自动创建服务器证书创建和撤销客户端证书更新服务器的吊销证书 CRL 文件。 生成 nginx 配置一个单独的 bash 脚本,除了 openssl 之外没有任何依赖项...
coreos_cluster:初始化文件以启动Coreos集群
05-10
vagrant up --provisionvagrant ssh core-01// inside core-01// starts all the symlink services of app on different ports> fleetctl start share/instances/*// starts nginx service which starts the nginx ...
certificate
03-29
PHP提供`openssl_crl`函数来处理证书撤销列表CRL),检查证书是否有效。 总的来说,理解和掌握PHP中的证书处理对于开发安全的Web应用至关重要。这涉及到对SSL/TLS协议的理解、证书格式的熟悉以及如何在代码中验证...
certificate-upload
03-31
10. **证书吊销**:如果证书被盗用或不再需要,应通过证书撤销列表CRL)或在线证书状态协议(OCSP)来吊销证书。 综上所述,“certificate-upload”涉及到一系列PHP编程和网络服务器配置技能,确保了网站和应用...
nginx ssl双向认证配置
weixin_38191691的博客
04-06 3344
#增加客户端CA证书配置 ssl_client_certificate /etc/nginx/cert/ca.crt; ssl_crl ssl_certs/demoCA/private/ca.crl; #开启客户端认知 ssl_verify_client on; #测试 curl --insecure --key client-test.key --cert client-test.crt ‘https://update-server-test.medbotsurgical.com/basic-busine
什么是证书吊销列表(CRL)? 吊销列表起什么作用 ?
weixin_33720956的博客
01-23 1019
答:证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。 CRL 文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。证书吊销列表最短的有效期为一个小时,一般为 1 天,甚至一个月不等,由各个...
证书吊销列表(Certificate Revocation List,CRL
渡安H的博客
05-17 4665
证书吊销列表(Certificate Revocation List,CRL)一个被签署的列表,它指定了一套证书发布者认为无效的证书。除了普通CRL外,还定义了一些特殊的CRL类型用于覆盖特殊领域的CRLCRL一定是被CA所签署的,可以使用与签发证书相同的私钥,也可以使用专门的CRL签发私钥。CRL中包含了被吊销证书的序列号。 证书具有一个指定的寿命,但 CA 可通过称为证书吊销的过程来缩...
SSL/TLS深度解析--在Nginx上openssl配置CA证书链及多域名证书(好文章,配置很全面!!)
HD243608836的博客
07-06 2489
该文章配置很全面但是有些地方有冗余的配置,我只归纳提取了简化了本文的ssl双向认证时CA为证书链的相关配置,链接为: 原文如下: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 生成私钥与自签根证书(这次使用aes256加密,密码是redhat) # 进行简单处理 [root@www ~]# cd /usr/local/openssl/ [root@www openssl]# mkdir root-CA sub-CA [root@www openssl]# cp -r
nginx中配置ssl双向认证详解
远玖的博客
11-16 8249
nginx中配置ssl双向认证详解 需求说明:公司内部一些业务系统对安全性要求比较高,例如mis、bi等,这些业务系统只允许公司内部人员访问,而且要求浏览器要安装证书登录,对公司入职有需求的人员开通证书,流失的人员注销证书。 一、首先修改openssl配置的参数  ##没安装openssl需要先安装 vim  /etc/pki/tls/openssl.cnf #下面只列出配置文件中和自建C
nginx配置ssl单-双向验证 nginx https ssl证书配置
梦想起飞的地方.........
04-26 2238
1、安装nginx 参考《nginx安装》:http://www.ttlsa.com/nginx/nginx-install-on-linux/ 如果你想在单IP/服务器上配置多个https,请看《nginx 同一个IP上配置多个HTTPS主机》 2、使用openssl实现证书中心 由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同 1 2 3 4 5 Country Name
nginx配置ssl双向验证(后台登录限制)
weixin_33714884的博客
08-25 265
需求:管理后台登录限制,只允许在职人员登录,离职人员无法登录。解决方案:nginx配置ssl双向验证环境:ubuntu14.04 openssl位置:/etc/ssl/openssl.conf nginx版本:1.8.0 nginxssl目录:/etc/nginx/admin------------------...
Nginx - Additional Modules, SSL and Security
weixin_30627381的博客
08-14 77
Nginx provides secure HTTP functionalities through the SSL module but also offersan extra module called Secure Link that helps you protect your website and visitors ina totally different way. SS...
nginx ssl模块使用详解
热门推荐
huzilinitachi的专栏
05-03 1万+
        nginx 针对https提供ssl/tls配置功能的支持,这些功能由openssl库提供,除了原生的nginx模块能对https提供支持之外,openresty也同样在nginx原生的基础上 提供了lua脚本层面对https进行配置与处理的功能。        nginx openssl模块在ngx_http_ssl_module实现,实际与openssl进行交互的模块还是在ng...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值