使用openssl自签发证书,nginx反向代理https请求

最新推荐文章于 2024-05-08 14:33:34 发布
最新推荐文章于 2024-05-08 14:33:34 发布
阅读量1k 收藏 5
点赞数
文章标签: openssl nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flyhorstar/article/details/80912257
版权

我们需要证书时,有两种方式获得,一种是向CA证书颁发机构申请,另一种就是自己做CA证书颁发机构,自己给颁发证书。

向CA证书颁发机构申请证书

需要先生成“证书请求”文件(后缀大多为.csr),这个文件中包含你的名字和公钥。然后将此证书请求文件交给诸如verisign等提供CA服务的公司(当然要连同几百美元)。证书请求经验证后,CA机构用它的私钥签名,形成合法的证书发给你。你在web服务器上导入这个证书就行了。为啥它们颁发的证书才是合法的,因为浏览器和操作系统已经把这些CA根证书预置到了电脑里,所以浏览器认为使用了这些CA机构颁发的证书的网站是安全的,地址栏上有个小锁标志。

自颁发证书

在组织内网使用,为节省费用,组织一般自己做CA,自己给自己颁发证书。为了让组织内的电脑认为自颁发的证书是合法的,就需要把这个CA根证书内植入组织内的每台电脑中,告诉电脑这个CA是受信任的颁发机构。基本步骤为:先配置CA的私钥和公钥,私钥保存,自签CA,公钥可以公开。当组织内需要证书时,将生成证书请求提交给组织的CA进行签发。

这里讲一下如何自签发证书:

一、知识介绍

介绍两种常见加密算法

  1. AES 对称加密
    加密和解密使用同一个密钥。

    优点:加密快、方便;

    缺点:密钥容易被偷,或被破解。

    常见的对称加密算法还有:DES、3DES、Blowfish、RC2以及国密的SM4。
  2. RSA 非对称加密
    密钥分为两个:公钥和私钥。公钥发给对方,可以公开,私钥自己保管。用公钥加密的数据只能用私钥打开 。

    常见的非对称加密算法还有:Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)以及国家商用密码SM2算法。

两种证书编码

  1. der
    二进制der编码的证书,这些证书也可以用.cer或.crt作为扩展名。
    比较合适的说法是“我有一个DER编码的证书”,而不是“我有一个DER证书”。
  2. .PEM
    X.509 v3 证书。文件内容由"—– BEGIN …“开始的ASCII(Base64)数据。

常见几种扩展名文件

  1. .key:私钥。可以是DER编码或者PEM编码。通常是rsa算法。
  2. .csr :证书请求文件,用于申请证书。
  3. .crt:证书文件。可以是DER编码,也可以是PEM编码。
  4. .cer:crt证书的微软形式。可以用微软的工具把crt文件转换为cer文件(crt和cer必须是相同编码类型,要么是der,要么是pem)
  5. .pem:证书文件。也代表证书的编码类型。

 

windows版的OpenSSL,下载地址:http://slproweb.com/products/Win64OpenSSL.html,安装完openssl后,添加系统环境变量C:\OpenSSL-Win64\bin。

MAC系统自带OpenSSL,不需要再安装。

 

二、实例

使用openssl自签发一个CA根证书,然后用这个根证书签发一个通配符证书,以下为操作步骤:

注意:openssl命令中,多一个空格,少一个空格都会造成命令出错。参数的短横线也要注意。

第一步 生成根证书

1、生成根证书私钥

生成无密码的私钥:

先在用户目录下建立一个ssl目录,用来存放生成的文件

openssl genrsa -out ssl/ca.key 2048

2、生成证书请求文件

据私钥生成证书请求文件

openssl req -new -key ssl/ca.key -out ssl/ca.csr

会提示输入以下内容:

假设你的域名为123.com,除了Commn name要和你的域名有关以外,其它随便输入即可。

国家(CN)、地区(BJ)、组织(helloworld)、部门(ca)、Common name(ca.123.com),email(dd@dd.com)。

3、自签发根证书

openssl x509 -req -days 3650 -sha256 -extensions v3_ca -signkey ssl/ca.key -in ssl/ca.csr -out ssl/ca.crt

至此,~/ssl/目录中应该生成了三个文件:ca.csr、ca.crt、ca.key

第二步 用根证书签发一个通配符证书

1、生成一个证书私钥

openssl genrsa -out ssl/server1.key 2048

注意:生成的文件名是server1.key,而不是server1.key 2048,如果是后者,需要检查一下命令格式(把2048前面的空格,删除,重新输入空格,再执行命令)

2、生成证书请求文件

openssl req -new -key ssl/server1.key -out ssl/server1.csr

这一步中的Common name要写成通配符形式,如*.123.com,这样这个域名的其它子域名都可以用这一个证书了。

3、使用根证书签发这个证书

openssl x509 -req -days 3650 -sha256 -extensions v3_req -CA ssl/ca.crt -CAkey ssl/ca.key -CAserial ca.srl -CAcreateserial -in ssl/server1.csr -out ssl/server1.crt

 

如果需要的是pfx格式(一般windows需要这种格式)的证书,使用以下命令进行合成(需要上面生成的私钥.key文件和服务器证书.crt文件):

openssl pkcs12 -export -out ssl/server1.pfx -inkey ssl/server1.key -in ssl/server1.crt

 

至此,我们已经使用openssl自签发了一个CA证书,并用CA证书签发了一个通配符证书。下一步,我们把它部署到nginx上。

在~/ssl/目录下,又生成了四个文件:server1.pem、server1.csr、server1.crt、server1.key

nginx反向代理https后端服务器

一般而言,网站与用户之间如果使用了nginx反向代理,只需要在用户访问nginx启用https即可,nginx到web服务器是https还是http不重要。

如果nginx到web服务器之间也需要https通信,则参照以下描述:

  1. 用户通过https访问nignx(这里需要在nginx上部署合法的证书)
  2. nginx通过https反向代理到web服务器(这里用自签发的证书即可)
  3. web服务器启用https(可以是web服务器自身启用https,也可以再架设一台内网nginx服务器,外网nginx到内网nginx启用https,内网nginx到web服务器仍保持http)

在nginx服务器上建立以下目录(建议):

  1. /etc/letsencrypt/live/XXXX.com/
    存放let's encrypt生成的合法的证书:
  2. 以下目录存放自签发的证书:
    /etc/certs/ca.cert
    /etc/certs/*.xxxx.com/*.xxx.com.crt
    /etc/certs/*.xxxx.com/*.xxx.com.key

 

nginx主要配置如下:

server {
        server_name XXXX;
        add_header Strict-Transport-Security "max-age=31536000";
		listen 443 ssl;
      
        ssl_certificate /etc/letsencrypt/live/XXXX.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/XXXX.com/privkey.pem;
        

        location / {
        proxy_pass https://XXXX$request_uri;

        proxy_ssl_certificate    /etc/certs/*.xxxx.com/*.xxxx.com.crt;
        proxy_ssl_certificate_key    /etc/certs/*.xxxx.com/*.xxxx.com.key;
        proxy_ssl_trusted_certificate /etc/certs/ca.crt;
        proxy_ssl_verify        off;

        proxy_ssl_session_reuse on;
     	proxy_ssl_verify_depth  2;
        proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        proxy_ssl_ciphers   HIGH:!aNULL:!MD5;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header REMOTE-HOST $remote_addr;
        proxy_pass_header  Set-Cookie;
}

        error_page 404 /404.html;
            location = /40x.html {
        }

        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
   		 

}

附:证书转换命令:

.key 转换成 .pem

openssl rsa -in ssl/ca.key -out ssl/ca.pem

.crt 转换成 .pem

openssl x509 -in ssl/ca.crt -out ssl/ca.pem

倒过来转换:

.pem转换成.key

openssl rsa -in ssl/ca.pem -out ssl/ca.key

.pem转换成.crt

openssl x509 -in ssl/ca.pem -out ssl/ca.crt 

 

大风哥的博客
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenSSLHttpsServer代理
08-24
关于Https的中间人代理服务器,有合理的注释,详细的流程,清晰的代码
nginxhttps证书
07-25
Nginx作为一款高性能的HTTP和反向代理服务器,支持HTTPS证书的配置,为网站提供安全的HTTPS服务。本篇文章将深入探讨Nginx配置HTTPS证书的相关知识点。 首先,了解HTTPS的基本原理。HTTPS是在HTTP的基础上加入了SSL...
Nginx实现HTTPS反向代理openssl证书
qq_33396462的博客
08-03 644
Nginx SSL HTTPS OPENSSL
Nginx】如何使用自签CA配置HTTPS加密反向代理访问?看了这篇我会了!!(1)
最新发布
2401_84048205的博客
05-08 652
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
SpringBoot同时支持http,httpsnginx反向代理配置https证书
weixin_40241255的博客
12-30 1067
1.生成证书 keytool -genkey -alias tomcat -dname "CN=Andy,OU=kfit,O=kfit,L=HaiDian,ST=BeiJing,C=CN" -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore keystore.p12 -validity 365 2.springboot配置多端口监听 将生成的证书复制到SpringBoot应用的src/main/resources下,在application.prop
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过的,openssl 会自动的去找中级 CA 的签发者一层层验证上去,直到找到根。 因此,在实际使用的时候,需要注意一下两点: CA 文件中必须同时存在 中级 CA 和 根 CA,必须构成完整证书链,不能少任何一个; 默认的验证深度 SslVerifyDepth ssl_verify_depth 是 1,也就是说只要是中级
界面化实现https证书生成和nginx配置
07-31
在生成.crt证书的过程中,通常会涉及到生成私钥、请求证书签名(CSR)以及签发证书等步骤。 “动态修改nginx.conf文件,启用nginx中的https功能”这部分说明了该工具不仅生成证书,还能自动更新Nginx服务器的配置...
详解nginx使用ssl模块配置HTTPS支持
09-30
5. 最后,使用`openssl x509`命令签发证书:`$ openssl x509 -req -days 365 -in servercsr -signkey serverkey -out servercrt`。这里 `-days 365` 表示证书的有效期为365天。 **配置Nginx**以使用新生成的SSL证书...
Linux中Nginx添加自签证书TLS的方法
09-15
在Linux环境中,Nginx作为一款高性能的HTTP和反向代理服务器,经常被用来提供HTTPS服务,即使用TLS(Transport Layer Security)协议进行加密通信。本文将详细介绍如何在Linux的Nginx服务器上添加自签名证书来实现...
nginx所需所有环境rpm包,包含openssl
12-24
配置过程包括生成私钥、证书签名请求(CSR),购买或自签发SSL证书,以及在Nginx配置文件中正确设置这些证书。 `gcc`是GNU Compiler Collection的缩写,它是开发人员编译C、C++和其他语言源代码的必备工具。在安装...
Go-具有自动生成证书的单命令SSL反向代理LetsEncrypt自签名提供
08-14
Single-command SSL reverse proxy with autogenerated certificates (LetsEncrypt, self-signed, provided)
Nginx 实现 HTTPS(基于 Let's Encrypt 的免费证书
weixin_34197488的博客
12-27 438
SSL / TLS加密会为您的用户带来更高的搜索排名和更好的安全性。 Let’s Encrypt 是一个认证机构(CA)。它可以提供免费证书,并且已经被大多数浏览器所信任。另外,通过工具 Certbot 可以让我们完全自动化证书的安装和更新。 安装证书的前提条件: 安装服务器(这里用 NGINX)。注册域名。创建一个DNS记录,将域名和服务器的 IP 地址相关联。记得安装完成后,防火墙需要打开 ...
openssl生成https证书nginx https配置
爱兰河少
05-31 2283
一、nginx根目录下创建 cert 目录,用于存放https证书。二、openssl生成https证书证书。三、nginx配置https
OpenSSL 生成自签名证书
weixin_51715424的博客
10-19 3362
Nginx
openssl req命令
来说意义非凡3
03-05 1709
openssl req可生成请求文件及证书文件等;req [options] <infile >outfile where options are -inform arg input format - DER or PEM -outform arg output format - DER or PEM -in arg input file -out a...
使用openssl命令行产生密钥对、签发证书[详细]
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
08-30 7849
这个公钥内容的前半部分是什么呢?注意:以下操作命令均在openssl的bin目录内执行。
https迁移实践手记
weixin_34365417的博客
08-01 172
前言什么是公钥和私钥?使用OpenssL生成私钥。使用Keytool导出私钥。主流数字证书都有哪些格式?SSL证书类型注册SSL证书使用OpenSSL工具生成CSR文件使用keytool工具生成CSR文件下载安装Nginx/TengineApacheTomcatIIS7/8注意事项补充 前言 以前想过全站https,但那个时候证书难搞,所以一直没动力去弄,这两年IOS和小程序相继强制使...
nginx反向代理https
03-29
使用nginx反向代理https,需要做以下步骤: 1. 安装nginx服务器,可以使用apt-get或yum进行安装; 2. 生成SSL证书和私钥,可以使用openssl工具生成; 3. 配置nginx服务器以使用SSL证书和私钥,具体配置如下: ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值