Nginx https(SSL)双向认证配置

最新推荐文章于 2024-04-14 21:21:00 发布
最新推荐文章于 2024-04-14 21:21:00 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: linux https 文章标签: nginx linux https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fighterandknight/article/details/103975223
版权
linux 同时被 2 个专栏收录
11 篇文章 0 订阅
订阅专栏
https
5 篇文章 0 订阅
订阅专栏

基于Let’s Encrypt证书和自签名证书实现双向认证。使用Let’s Encrypt实现客户端对服务端的验证,利用自签名证书完成服务端对客户端的认证。

在此只介绍自签名证书生成与配置部分(服务端对客户端的认证),Let’s Encrypt认证参考Let’sEncrypt SSL证书一键安装。

生成服务端证书

openssl genrsa -des3 -out ca.key 4096
openssl genrsa -out ca.key 4096 
openssl req -new -x509 -days 365 -key ca.key -out ca.crt

生成客户端证书

openssl genrsa -out client.key 4096 
openssl req -new -key client.key -out client.csr
openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
openssl pkcs12 -in client.p12 -out all.pem -nodes

按提示填写信息,也可直接回车默认,遇到填写密码的地方,可以选择设置密码,防止证书被盗后的风险。

在Nginx开启对客户端的验证。

erver {
#....

ssl_client_certificate /root/ssl/all.pem;
ssl_verify_client on;

#.....
}

重启Nginx

nginx -t
nginx -s reload

在浏览器上导入证书

以Chrome为例,在地址栏输入chrome://settings/,在设置页下方找到[高级]选项,展开并找到[管理证书],导入证书(.p12文件)。
在这里插入图片描述
选择.pfx,p12类型的文件
在这里插入图片描述
输入证书密码
在这里插入图片描述
按提示导入完成后,重启浏览器(如果打开多个Chrome,关闭所有Chrome实例)。

重新打开Chrome输入地址,看到如下提示框,说明客户端证书导入成功。
在这里插入图片描述

以上是对一个Server范围的认证配置,也可针对具体的url实行认证。

修改Nginx配置

ssl_client_certificate ssl_client_certificate /root/ssl/all.pem;
ssl_verify_client optional;
location / {
      if ($ssl_client_verify != SUCCESS) {
        return 401;
      }
}

完成后重启Nginx。

注:使用其他未导入证书的浏览器,验证双向认证是否生效。

缺失客户端证书效果

在这里插入图片描述

拥有客户端证书的访问效果

在这里插入图片描述

Fighter168
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
详解Nginx SSL快速双向认证配置(脚本)
09-30
主要介绍了详解Nginx SSL快速双向认证配置(脚本),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
【原创】nginx配置SSL双向认证的CA证书链(工具openssl
HD243608836的博客
07-06 6195
配置SSL双向认证的CA证书链时,其中最关键的两步骤: ssl_client_certificateca.crt;#包含证书链的ca.crt ssl_verify_depth 2;# 指定双向认证客户端证书到根证书的深度,默认是1 配置如下: # HTTPS server # server { listen 443 ssl; listen 8110 ssl; server_name aaa.abc.com; ssl on; ssl_certif...
SSL双向认证(高清版)
热门推荐
Linvo's blog
06-26 1万+
上一篇介绍了SSL双向认证的一些基本问题,以及使用Nginx+PHP基于它搭建https的Webservice。 之前的方式只是实现1:1的模式,昨天同事继续实现了n:1的模式,这里我再整理记录下。 由于nginxssl_client_certificate参数只能指定一个客户端公钥,如果增加一个客户端进行通信就要重新配一个server。 n:1的模式是通过CA的级联证书模式实现的,首先自
TLS/SSL 协议详解(15) client certificate
Network/Storage/Linux Kernel
09-07 4578
如果服务器端请求了客户端的证书,客户端即使没有证书,也需要发送该类型的握手报文,只是这种情况下,里面的内容为0。 如果浏览器有对应的证书,则会发送证书,当然,也有可能发送上级证书(即发送证书链),这个完全取决于浏览器。特别说明一点,我亲眼见过IE带了一个错误的上级证书发送到服务器,这个简直亮瞎了我。
Nginx配置ssl_client_certificate客户端认证问题
qq_34823218的博客
11-17 8005
问题1:ssl_client_certificate配置的CA证书格式错误 参考Minitutorialforconfiguringclient-sideSSLcertificates和ClientSideCertificateAuthinNginx配置客户端的证书认证配置好后,在浏览器使用证书认证报400错误 400BadRequest NorequiredSSLcertificatewassent 按照教程,生成相关证书都没有问题,在配置nginx的...
Nginx ssl_client_certificate支持多CA 证书链使用记录
jin_recruit的博客
12-17 4131
nginx ssl_client_certificate 双向验证 多CA 客户端证书校验
nginx(六十七)http_ssl模块 clientnginxssl握手
wzj_110的博客
11-26 3396
clientnginxssl握手之http_ssl模块
ssl证书CA双向认证完整实现步骤(附java客户端代码)(好文章!)
HD243608836的博客
07-13 4728
一、基础概念 注:以下概念除专业名词外,均为个人理解,不具备权威性。 1、什么是系统安全管理 置于公网的系统,通常都需要一定的安全管理,据我个人理解,这里的安全管理主要分三个方面: 一是应用内的权限控制,比如具体应用的用户名、密码等; 二是应用数据传输过程中的安全机制,例如各种报文的加解密方案; 三是数据传输前的通讯安全机制,保证通讯双方都是可靠可信任的,PKI就是其中一个解决方案。 2、什么是PKI PKI是 Public Key Infrastructure的简称,意思是公钥基础设施。 公钥基
nginx ssl 配置说明
由入门到精通
11-19 771
Ssl_certificate :服务器公钥地址 Ssl_certificate_key :服务器私钥地址 Ssl_client_certificate : CA公钥地址 验证客户端证书是否是同一CA签发 Ssl_verify_client : on打开双向认证
证书类型、自签CA证书、https双向认证(一篇就懂系列)
MX__LL的博客
06-16 6791
证书类型、自签CA证书、https双向认证(一篇就懂系列)
Nginx双向SSL认证配置详解
04-09
Nginx双向SSL认证配置详细步骤
Vue项目部署Nginx配置文件 SSL
08-11
Vue项目结果build编译后,放在Nginx的html文件夹内,替换该配置文件,就可以在Nginx服务器上运行Vue项目
nginx配置ssl双向验证的方法
09-30
主要介绍了nginx配置ssl双向验证的方法,需要的朋友可以参考下
TCP连接状态详解及TIME_WAIT过多的解决方法
Fighter168的专栏
04-01 2350
上图对排除和定位网络或系统故障时大有帮助,但是怎样牢牢地将这张图刻在脑中呢?那么你就一定要对这张图的每一个状态,及转换的过程有深刻地认识,不能只停留在一知半解之中。下面对这张图的11种状态详细解释一下,以便加强记忆!不过在这之前,先回顾一下TCP建立连接的三次握手过程,以及关闭连接的四次握手过程。 1、建立连接协议(三次握手) (1)客户端发送一个带SYN标志的TCP报文到服务器。这是
httpstat的简单使用
Fighter168的专栏
09-09 994
centos7 安装python 和 pip yum intall python -y #安装python curl https://bootstrap.pypa.io/get-pip.py -o get-pip.py #下载pip安装文件 python get-pip.py #安装pip 安装httpstat模块 pip install httpstat 使用 ...
Linux 网络排查命令
最新发布
学习记录
04-14 593
学习记录
LinuxLinux信号
ZHENGZJM的博客
04-14 807
介绍Linux中信号的概率
如何配置 Linux 服务在崩溃或重启后自动启动 – 第一部分:实际示例
rubys007的博客
04-14 857
在这个两部分的教程中,你将学习如何使用systemd配置 Linux 服务,在重启或崩溃后自动重启。第一部分涵盖了一般的 Linux 服务管理概念,比如init守护进程和运行级别。它以systemd中的服务管理演示结束。在这里,你将研究targetswantsrequires和unit文件。第二部分提供了一个逐步完成实际和常见systemd任务的教程。具体来说,你将配置一个 MySQL 数据库服务器,在崩溃或重启后自动启动。Linux 服务可以通过改变它们被服务管理守护进程(也称为init。
nginx https双向认证
12-01
以下是nginx https双向认证的步骤: 1.生成自签名证书 使用openssl命令生成自签名证书,其中需要设置证书的common name为服务器的域名或IP地址,同时需要设置证书的扩展属性为客户端认证: ```shell openssl req -newkey rsa:2048 -nodes -keyout server.key -x509 -days 365 -out server.crt -subj "/CN=<server_ip_or_domain>" -addext "subjectAltName = DNS:<server_ip_or_domain>" -addext "extendedKeyUsage = clientAuth" ``` 2.配置nginxnginx配置文件中添加以下内容: ```nginx server { listen 443 ssl; server_name <server_ip_or_domain>; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; ssl_client_certificate /path/to/client.crt; ssl_verify_client on; location / { # your server configuration } } ``` 其中,`ssl_client_certificate`指定客户端证书的路径,`ssl_verify_client on`开启客户端认证。 3.导入客户端证书 将生成的客户端证书分发给客户端,并在客户端的浏览器中导入证书。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值