nginx双向认证配置proxy_ssl_verify_depth详解

最新推荐文章于 2024-09-03 12:28:14 发布
最新推荐文章于 2024-09-03 12:28:14 发布
阅读量6k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/felby/article/details/103663963
版权

当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件
也就是说,直接尝试使用中级 CA 来验证客户端是无法通过的,openssl 会自动的去找中级 CA 的签发者一层层验证上去,直到找到根。

因此,在实际使用的时候,需要注意一下两点:

  1. CA 文件中必须同时存在 中级 CA 和 根 CA,必须构成完整证书链,不能少任何一个;
  2. 默认的验证深度 SslVerifyDepth ssl_verify_depth 是 1,也就是说只要是中级 CA 签发的客户端证书一律无法通过认证,需要增大该值。

The depth actually is the maximum number of intermediate certificate issuers, i.e. the number of CA certificates which are max allowed to be followed while verifying the client certificate. A depth of 0 means that self-signed client certificates are accepted only, the default depth of 1 means the client certificate can be self-signed or has to be signed by a CA which is directly known to the server (i.e. the CA’s certificate is under SSLCACertificatePath), etc.

felby
关注
nginxproxy_protocol协议
一个致力于开源代码学习、分析和交流的博客
05-31 2032
本文详细介绍了nginxproxy_protocol协议的支持,以及如何进行配置来开启proxy_protocol协议功能
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** 在网络安全日益重要的今天,服务器与客户端之间的通信安全成为了一个不可忽视的问题。本文将详细介绍如何在Nginx服务器上配置SSL双向认证,以提高服务器的安全性,允许只有经过验证...
ssl双向验证— ssl_verify_depth的作用
weixin_44843710的博客
01-18 4287
前言 关键词:根证书、中间证书、验证深度、ssl_verify_depth 根证书与中间证书 在进行ssl验证前,服务器一般会向CA申请公钥证书,即将自己的公开密钥交给CA,CA用自己的私钥向服务器的公钥数字签名并返回公钥证书,在数字签名的过程中,CA一般会用根目录颁发证书,这种证书叫做根证书。 问题是,万一根目录颁发错了证书,或者需要撤销根,这时所有根目录颁发的证书都将失效,这样代价是巨大的,因此出现了中间根,顾名思义,CA用私钥对中间根进行签名,使它可信,因此由中间根颁发的证书也是可信的,即中间证书。当
Sersync监测多个需要实时同步的目录_代理及Nginx反向代理介绍_“proxy_pass”参数
最新发布
sq2048935747@163.com的博客
09-03 652
Nginx https反向代理502错误,proxy_ssl_server_name、proxy_ssl_verify
zzhongcy的专栏
08-10 6788
Nginx作用反向代理与上游服务器使用HTTPS建连时,默认不启用SNI,使用参数启用;默认不验证上游服务器返回的证书,使用开启上游证书验证后Nginx会使用配置文件中指定的CA验证上游服务器返回证书的合法性,同时也会比对证书中的CommonName信息。
OpenSSL命令---verify
VitalityShow(网络通讯)
11-21 1万+
该命令是证书验证工具
nginx:对上下游使用SSL连接
error311的博客
06-27 3034
对下游使用证书 1.ssl_certificate 指令 语法:ssl_certificate file; 默认:空 放置位置:http,server 2.ssl_certificate_key 指令 语法:ssl_certificate_key file; 默认:空 放置位置:http,server 验证下游证书 1.ssl_verify_client 指令 语法:ssl_verify_client on | off | ...
Nginx HTTPS反向代理,开启SNI,proxy_ssl_server_name 和proxy_ssl_name介绍
zzhongcy的专栏
07-24 1151
Nginx作用反向代理与上游服务器使用HTTPS建连时,默认不启用SNI,使用参数启用;默认不验证上游服务器返回的证书,使用开启上游证书验证后Nginx会使用配置文件中指定的CA验证上游服务器返回证书的合法性,同时也会比对证书中的CommonName信息。
详解Nginx启用proxy_buffer缓冲
01-10
顾名思义,proxy_buffer 是用于 proxy 模式的缓冲功能。本文介绍其基本用法。 buffer 是什么 buffer ,即缓冲区,它在 Nginx 上发挥的作用就是 启用一个缓冲区,先在这个缓冲区内进行存储,再把数据发送出去 。和...
Nginxproxy_redirect使用详解
01-10
所以在这里用到了nginxproxy_redirect指定修改被代理服务器返回的响应头中的location头域跟refresh头域数值 以下是截取nginx的一小段配置文档 server { listen 80; server_name www.boke.com; l
nginx(六十八)proxy模块(八)nginx与上游的ssl握手
wzj_110的博客
11-27 4289
对上游使用证书(指定自身使用的证书)的SSL/TLS握手。nginx与后端选择。nginx作为客户端。④ 验证上游的证书。
nginx 根证书 服务器证书,Nginx双向证书校验(服务器验证客户端证书)
weixin_35730840的博客
07-30 3864
1、创建Root CA私钥openssl genrsa -out root-ca.key 10242、创建Root CA证书请求openssl req -new -out root-ca.csr -key root-ca.key3、签发Root CA根证书openssl x509 -req -in root-ca.csr -out root-ca.crt -signkey root-ca.key ...
推荐开源项目:ssl-proxy — 简易SSL反向代理
gitblog_00081的博客
05-18 339
推荐开源项目:ssl-proxy — 简易SSL反向代理 ssl-proxy:lock: Simple zero-config SSL reverse proxy with real autogenerated certificates (LetsEncrypt, self-signed, provided)项目地址:https://gitcode.com/gh_mirrors/ss/ssl-p...
ubuntu16.04 proxy ssl 设定
修炼之路
02-19 2153
原文链接:https://qiita.com/cad/items/a6c69ab34f9f0b39dcb4 apt echo 'Acquire::http::proxy "http://[address]:[port]";' | sudo tee -a /etc/apt/apt.conf wget echo 'https_proxy=http://[address]:[p...
requests的Proxy-SSL错误
weixin_42831564的博客
11-02 3419
1.ProxyError(当不需要配置代理出现代理错误) requests.exceptions.ProxyError: HTTPSConnectionPool(host=’***.com’, port=443): Max retries exceeded with url: /***.detail.json (Caused by ProxyError(‘Cannot connect to proxy.’, error(‘Tunnel connection failed: 504 Gateway Time-
nginx配置反向代理验证ssl证书 双向认证
weixin_45548465的博客
05-15 6235
适用于公司内部一些业务系统对安全性要求比较高,业务系统只允许公司内部人员访问,而且要求浏览器要安装证书登录,对公司入职有需求的人员开通证书,流失的人员注销证书。 修改openssl配置参数 vim /etc/pki/tls/openssl.cnf 下面只列出配置文件中和自建CA有关的几个关键指令 dir=/etc/pki/CA #CA的工作目录 database=$dir/index.txt #签署证书的数据记录文件,下面会生成index这个文件 new_certs_dir=$dir/n
python+requests之二:登陆https网站(设置proxy+SSL证书)
热门推荐
wdlnancy的专栏
02-12 2万+
1、因公司需要通过代理连接外网,故这里需要增加proxies参数 ,参考:https://blog.csdn.net/wdlnancy/article/details/87007000 2、2.1 忽略SSL证书方法: 因登陆的是https网站,需要使用SSL证书,但若无证书进行连接的话,可增加verify=False方法忽略证书验证,但这样会出现如下告警: D:\Python35\lib\...
【原创】nginx配置SSL双向认证的CA证书链(工具openssl
HD243608836的博客
07-06 6787
配置SSL双向认证的CA证书链时,其中最关键的两步骤: ssl_client_certificateca.crt;#包含证书链的ca.crt ssl_verify_depth 2;# 指定双向认证客户端证书到根证书的深度,默认是1 配置如下: # HTTPS server # server { listen 443 ssl; listen 8110 ssl; server_name aaa.abc.com; ssl on; ssl_certif...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值