编译nginx支持国密SSL协议

最新推荐文章于 2024-01-07 11:15:53 发布
最新推荐文章于 2024-01-07 11:15:53 发布
阅读量5.4k 收藏 13
点赞数 3
分类专栏: 国密SSL 系列 文章标签: nginx linux centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gmssl/article/details/108080409
版权

1 背景
Nginx自身支持标准的SSL协议,但并不支持国密SSL协议。本文描述了Nginx配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用。
Nginx无需修改源码、支持任意版本Nginx。
2 环境
服务器OS是CentOS7.7的64位版本,IP位192.168.0.98,客户端OS是WindowsXP。
Nginx是Nginx-1.18.0。
浏览器是360安全浏览器(支持国密)。
3 安装方法一:源码编译
GMSSL.cn提供一个OpenSSL的国密版库,可与nginx编译,生成的nginx即支持国密SSL协议。
1) 准备gmssl_openssl
下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown
下载其中的gmssl_openssl_1.1_b1.tar.gz
下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown
拷贝到/root/目录
解压
tar xzfm gmssl_openssl_1.1_bxx.tar.gz -C /usr/local
则/usr/local/gmssl为国密版openssl目录
2) 准备nginx
下载页面http://nginx.org/download/nginx-1.18.0.tar.gz
拷贝到/root/目录
解压
tar xzfm nginx-1.18.0.tar.gz
则/root/nginx-1.18.0为nginx目录
cd /root/nginx-1.18.0
vi auto/lib/openssl/conf,将全部 O P E N S S L / . o p e n s s l / 修 改 为 OPENSSL/.openssl/修改为 OPENSSL/.openssl/OPENSSL/并保存
3) 编译
./configure
–without-http_gzip_module
–with-http_ssl_module
–with-http_stub_status_module
–with-http_v2_module
–with-file-aio
–with-openssl="/usr/local/gmssl"
–with-cc-opt="-I/usr/local/gmssl/include"
–with-ld-opt="-lm"
make install
则/usr/local/nginx为生成的国密版nginx目录
注:可能需要安装需要的pcre-devel包。
4 安装方法二:直接安装
GMSSL.cn已经提供了一个按方法一编译好的国密版nginx,可以直接下载安装使用。
下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown
下载其中的gmssl_nginx_1.8.0_b7.tar.gz
拷贝到/root/目录
解压
tar zxfm gmssl_nginx_1.8.0_bxxx.tar.gz -C /usr/local
则/usr/local/nginx为国密版nginx目录
5 国密双证书
1) 生成国密双证书
访问https://www.gmssl.cn/gmssl/index.jsp?go=ca,可生成免费的测试国密双证书。

提交后保存sm2.demo1.gmssl.cn.zip
传到服务器/root/下解压
unzip sm2.demo1.gmssl.cn.zip -d /root/sm2.demo1/
6 Nginx部署国密SSL
1)配置Nginx
vi /usr/local/nginx/conf/nginx.conf
http下加入
server
{
listen 0.0.0.0:443 ssl;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-SM3:ECDHE-SM4-SM3;
ssl_verify_client off;

ssl_certificate /root/sm2.demo1/sm2.demo1.gmssl.cn.sig.crt.pem;
ssl_certificate_key /root/sm2.demo1/sm2.demo1.gmssl.cn.sig.key.pem;

ssl_certificate /root/sm2.demo1/sm2.demo1.gmssl.cn.enc.crt.pem;
ssl_certificate_key /root/sm2.demo1/sm2.demo1.gmssl.cn.enc.key.pem;

location /
{
root html;
index index.html index.htm;
}
}

2) 测试
/usr/local/nginx/sbin/nginx -t
OpenSSL(GM version) by www.gmssl.cn. Test Only!!!
OpenSSL(GM version) by www.gmssl.cn. Test Only!!!
OpenSSL(GM version) by www.gmssl.cn. Test Only!!!
OpenSSL(GM version) by www.gmssl.cn. Test Only!!!
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
注:Test Only等信息是国密版OpenSSL输出的提示信息,不影响测试和使用。
3) 运行
/usr/local/nginx/sbin/nginx
7 访问验证
1)下载360安全浏览器
https://se.360.cn
2)开启国密SSL支持

2)启用极速模式
访问https://192.168.0.98,出现错误页面,开启极速模式

3)访问国密SSL成功

8 小结
通过使用国密SSL组件,使得Nginx自身不做任何编译修改,即可比较简单的支持国密SSL协议,满足等保等政策合规,确实是一个简单可操作的方法。www.gmssl.cn提供了全部免费的测试组件,并且支持双向国密SSL,支持国密SSL/标准 SSL自适应,也支持Tomcat和Apache,值得推荐和试用。

国密二三事
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
linux安装nginx支持ssl
01-29
linux安装nginx支持ssl,使得服务器支持证书签名,提升应用的安全性
信创-nginx-国密ssl改造
最新发布
twobun的博客
02-19 1032
信创 nginx 国密改造
编译配置nginx支持国密(二)
qq_15077747的博客
08-25 3213
从官网下载nginx源码 http://nginx.org/en/download.html,我下载的是1.18版本 下载解压到root目录下 进入目录 cd /root/nginx-1.18.0 编辑auto/lib/openssl/conf,将全部 $OPENSSL/.openssl/修改为$OPENSSL/并保存 编译配置 ./configure \ --without-http_gzip_module \ --with-http_ssl_module \ --with-http_st
nginx国密ssl测试
zhangxm_qz的博客
11-23 886
root/apps/nginx-1.24.0/auto/lib/openssl/conf 文件内容中。修改nginx配置文件,如下,证书先配置 签名证书和私钥,再配置加密证书和私钥。如果编译过程中出现错误,根据错误信息baidu进行解决。执行make&& make install 进行安装,结果如下。下载文件并上传到服务器,这里使用centos 7.8。如下四个上传到 服务器并在nginx中进行配置。提交后下载的证书文件压缩包内容如下,下载解压nginx程序包,目录如下。
Nginx国密改造
qq_49081692的博客
05-31 2472
国密web服务器,国密nginxnginx国密国密改造
构建网络信息安全的中国方案 - 国密SSL协议介绍以及国密Nginx服务器部署
new9232的博客
01-07 2228
国密SSL协议指的是采用国密算法,符合国密标准的安全传输协议。简而言之,国密SSL就是SSL/TLS协议国密版本。
ubuntu18.04搭建基于国密算法nginx环境
a1309525802的博客
01-22 4027
ubuntu18.04搭建基于国密算法nginx环境 ubuntu18.04安装 https://mirrors.tuna.tsinghua.edu.cn/ubuntu-releases/18.04/ 可以选择安装桌面版的或者服务器版的,看个人需求 安装基本依赖 #进入root用户 sudo -i #更新源 apt update apt upgrade #安装gcc apt install gcc #安装make apt install make #安装git apt install git #安装li
基于GmSSL搭建Nginx国密反向代理服务器
weixin_45548465的博客
05-22 4385
环境:centos7 1810 安装编译依赖包 yum install -y vim lrzsz tree screen psmisc lsof tcpdump wget ntpdate gcc gcc-c++ glibc glibc-devel pcre pcre-devel openssl openssl-devel systemd-devel net-tools iotop bc zip unzip zlib-devel bash-completion nfs-utils automake libxm
国密Nginx服务器安装
啊渊的专栏
11-01 4499
一、简介 GMSSL提供一个国密版OpenSSL国密Nginx支持单向/双向认证,支持标准SSL/国密SSL自适应。 其中国密版OpenSSL基于OpenSSL1.1.1d实现,且已经修正了CVE-2020-1967。 证书申请 https://gmssl.cn/gmssl/index.jsp 二、运行环境 Centos7 x86_64 三、下载 yum install wget -y 国密OpenSSL国密Nginxgmssl_openssl_1.1_bxx.tar.gz...
centos使用nginx部署国密SSL证书
dong123aaa的博客
11-03 719
6) 编辑auto/lib/openssl/conf,将全部$OPENSSL/.openssl/修改为$OPENSSL/并保存。2) 解压 tar xzfm gmssl_openssl_1.1_bxx.tar.gz -C /usr/local。1) 下载gmssl_openssl_1.1_bxx.tar.gz到/root/下。9) /usr/local/nginx即为生成的nginx目录。5) 进入目录 cd /root/nginx-1.24.0。(1)采用RPM包安装(源码包没有gcc环境无法编译
nginx环境下配置ssl加密(单双向认证、部分https)
09-30
主要介绍了nginx环境下配置ssl加密(单双向认证、部分https),具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
nginx配置https ssl 安全协议
12-05
nginx配置https ssl 安全协议nginx配置https ssl 安全协议
Vue项目部署Nginx配置文件 SSL
08-11
Vue项目结果build编译后,放在Nginx的html文件夹内,替换该配置文件,就可以在Nginx服务器上运行Vue项目
Nginx+SSL搭建 HTTPS 网站
01-20
超文本传输安全协议(缩写:HTTPS,英语:Hypertext Transfer Protocol Secure)是超文本传输协议SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统...
国密SSL协议之双证书体系
gmssl的博客
09-10 9409
1 背景 国密SSL协议使用双证书体系。本文描述了国密双证书体系的组成和差别,并描述了在U盾里面的使用情况。 2 国密SSL双证书 国密SSL协议使用双证书体系,分别称为签名证书和加密证书,服务器和用户持有两对SM2独立的密钥对。其中加密证书和签名证书主要的区别就是密钥用法(KeyUsage)不一样(当然对应的密钥等也不一样),使用相同的DN。密钥用法具体是: 签名证书:Digital Signature, Non-Repudiation (c0) 加密证书:Key Encipherm..
国密SSL系列之Java编程
gmssl的博客
08-24 4826
1 背景 Java自身通过JCE和JSSE支持标准的SSL协议,但并不支持国密SSL协议。本文描述了Java使用国密JCE和国密JSSE开发一个简单的客户端程序,连接国密Web网站,发送HTTP请求,并接收HTTP应答。 2 环境 JRE是jre8。 国密JCE和国密JSSE。下载参https://www.gmssl.cn/gmssl/index.jsp?go=gmsdk gmjce.jar和gmjsse.jar放到jre的lib/ext/目录下 3 源码 package cn.gm...
tomcat支持国密SSL
gmssl的博客
08-18 3546
让tomcat支持国密SSL 1 背景 Tomcat自身支持标准的SSL协议,但并不支持国密SSL协议。本文描述了Tomcat配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用。 2 环境 服务器OS是CentOS7.7的64位版本,IP位192.168.0.97,客户端OS是WindowsXP。 JRE是jre-8u212-linux-x64.rpm。 Tomcat是apache-tomcat-9.0.37.tar.gz。 浏览器是360安全浏览器(支持国密)。 3 国密双证书 1) 生成国密双证
nginx 国密ssl
05-30
要在 Nginx 中使用国密 SSL,需要使用支持国密算法SSL 库,例如 GmSSL。您需要按照以下步骤进行设置: 1. 安装 GmSSL 库,并将其路径添加到系统环境变量中。 2. 生成国密 SSL 证书和密钥。您可以使用 GmSSL 提供的命令行工具来生成。 3. 在 Nginx 配置文件中指定国密 SSL 证书和密钥的路径,以及使用的 SSL 协议和加密算法。 下面是一个示例配置文件: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/gmsl.crt; ssl_certificate_key /path/to/gmsl.key; ssl_protocols TLSv1.3; ssl_ciphers GM1:GM2:GM3; } ``` 请注意,国密 SSL 目前仍处于实验阶段,可能会遇到一些问题。因此,使用国密 SSL 时需要特别注意安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值