自签SSL证书实现Nginx配置https双向认证

最新推荐文章于 2024-09-22 12:05:20 发布
最新推荐文章于 2024-09-22 12:05:20 发布
阅读量5.4k 收藏 3
点赞数
分类专栏: Linux 文章标签: nginx ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goolejuck/article/details/54089170
版权

1.      前期的准备工作:

安装openssl和nginx的https模块

cd  ~/  
mkdir ssl  
cd ssl  
mkdir demoCA  
cd demoCA  
mkdir newcerts  
mkdir private  
touch index.txt  
echo '01' > serial

2.      制作CA证书(这个是信任的起点,根证书,所有其他的证书都要经过CA的私钥签名)。

生成 CA私钥: ca.key


openssl genrsa -des3 -out ca.key 2048

这样是生成rsa私钥,`des3`算法openssl格式,2048位强度。`ca.key`是密钥文件名。为了生成这样的密钥,需要一个至少四位的密码。

另外可以通过以下方法生成没有密码的key:


openssl rsa -in ca.key -out ca_decrypted.key


生成  CA 根证书的公钥  ca.crt 

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt


3.      制作网站的https证书,并用CA签名认证。


假设我们需要为 light.cn 域名制作证书,先生成 light.cn的证书私钥 light.cn.pem。

openssl genrsa -des3 -out light.cn.pem 1024

生成无密码的私钥: 

openssl rsa -in light.cn.pem -out light.cn.key


生成 csr 签名申请: 

openssl req -new -key light.cn.pem -out light.cn.csr


这里需要输入国家,地区,组织,email等。最重要的是**common name**,可以写你的名字或者域名。如果为了 https 申请,这个必须和域名一样,即,这里要写light.com,否则会引发浏览器警报,这里可以用 *.light.cn 来做泛域名证书。

最后要用CA证书进行签名: 


openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in light.cn.csr -out light.cn.crt

把 ca.crt 的内容追加到 light.cn.crt后面,因为有些浏览似乎不支持: 

cat ca.crt>> light.cn.crt

注:windows 使用type 命令

4.      制作客户端证书(跟制作网站的证书模式一样):

准备客户端私钥:

openssl genrsa -des3 -out client.pem 2048


生成客户端证书请求: 

openssl req -new -key client.pem -out client-req.csr

CA签名客户端证书请求 

openssl ca -policy policy_anything -days 1460 -cert ca.crt  -keyfile ca.key -in client-req.csr -out client.crt

客户端证书CRT转换为 PKCS #12格式( 全称应该叫做  Personal Information Exchange ,通常以  p12 作为后缀 ): 


openssl pkcs12 -export -clcerts -in client.crt -inkey client.pem -out client.p12


点击刚才生成的p12文件输入证书的密码将安装。


5.      nginx配置

server {  
  listen 443;  
  server_name test.com www.test.com;  
   
  root html;  
  index index.html index.htm;  
   
  ssl on;                                     #开启ssl  
  ssl_certificate  /usr/ssl/light.cn.crt;    #服务器证书位置  
  ssl_certificate_key /usr/ssl/light.cn.key;  #服务器私钥  
  ssl_client_certificate /usr/ssl/ca.crt;     #CA证书用于验证客户端证书的合法性  
   
  ssl_verify_client       on;                      #开启对客户端的验证  
   
  ssl_session_timeout 5m;                        #session有效期,5分钟  
   
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  
  ssl_ciphers 'AES128+EECDH:AES128+EDH:!aNULL';       #加密算法  
  ssl_prefer_server_ciphers on;  
   
  location / {  
     proxy_pass   http://127.0.0.1:8080;  
  }        
}

6.      测试

当将一切都设置好,将 nginx启动成功后,就可以打开 IE来访问了,第一次访问,浏览器会询问双向认证时使用的证书,类似下图



点击确认






TheIndustryArooki
关注
专栏目录
nginx环境下配置ssl加密(单双向认证、部分https
09-30
Nginx环境下配置SSL加密主要涉及单向认证双向认证以及部分HTTPS页面加密。SSL(Secure Sockets Layer,安全套接层)和TLS(Transport Layer Security,传输层安全)是用于在网络上提供加密和数据完整性校验的...
nginx配置多个CA证书
qq_41937509的博客
09-23 3929
问题背景:在实际的C-S访问中,有需要多个客户端双向认证的情况。
nginx配置https双向验证(ca机构证书+自签证书
weixin_30646315的博客
04-29 1245
nginx配置https双向验证 服务端验证(ca机构证书) 客户端验证(服务器自签证书) 本文用的阿里云签发的免费证书实验,下载nginx安装ssl,文件夹有两个文件 这两个文件用于做服务器https验证 配置如下: 自签证书步骤如下: ca根证书生成 创建ca私钥 openssl genrsa -out ca.key 2048 生成ca证书...
本地电脑基于nginxhttps单向认证双向认证(自制证书+nginx配置)保姆级
最新发布
cshongye的专栏
09-22 1513
基于nginxhttps单向认证双向认证(自制证书+nginx配置)保姆级
通过Nginx搭建HTTPS双向认证代理
09-04 2583
一、Nginx双向认证配置: 在 Nginx.conf 增加如下 server 配置,或者在 Nginx.conf 指定读取其他子配置文件的位置,比如:include /etc/nginx/conf.d/*.conf,这里指定扫描并读取 /etc/nginx/conf.d/ 目录下的 .conf 后缀结尾的文件。 sslProxy.conf: server { listen 55111 ssl; server_name 11.11.11.111;
firefox+linux+nginx搭建server与client通过证书双向认证环境
weixin_30652897的博客
11-03 236
  项目中需要搭建一个server和client基于证书双向认证环境。由我来做,我也不会。   经过一晚上的研究,基本摸清了(知其然不知其所以然)。做下笔记。 基本环境:   1.安装nginx。   2.安装openssl。 生成证书:   首先建立一个工作目录,这里以我的工作目录为例。(/home/myca/),然后执行如下命令。建立生成证书的路径文件结构,这是由openssl的...
nginx实现双向认证
qq_41937509的博客
09-20 5002
如果手里面只有通过正规途径申请下来的证书(而不是上面自签证做法), 得到的证书如下面所示, 这里只有服务端证书而没有服务端和根证书, 所以仍需要我们以自签证的方式生成根证书以及客户端证书配置的主要内容是配置了服务器端证书的公钥私钥以及根证书的公钥, 并且ssl_verify_client 参数设置为 on。如果客户端证书不是由根证书直接颁发的,配置中还需要加一个配置ssl_verify_depth 1;server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成。
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** ...通过遵循上述步骤,你可以在Nginx上成功地配置SSL双向认证实现更高的安全性和隐私保护。但请注意,这仅适用于那些对安全性有较高要求的场景,对于普通网站,单向认证通常是足够的。
用keytool生成证书双向SSL认证配置的方法
12-01
用keytool生成证书双向SSL认证配置的方法,以Tomcat举例。包含步骤:一、为服务器生成证书;二、为客户端生成证书;三、让服务器信任客户端证书;四、让客户端信任服务器证书
Nginx+SSL实现双向认证的示例代码
09-30
Nginx+SSL实现双向认证是指在客户端与服务器进行SSL握手的过程中,不仅服务器需要验证客户端的身份,同时客户端也需要验证服务器的身份。这种认证方式比传统的单向认证安全,主要用于对安全性要求极高的场景。以下...
nginx证书 服务器证书,Nginx双向证书校验(服务器验证客户端证书
weixin_35730840的博客
07-30 3890
1、创建Root CA私钥openssl genrsa -out root-ca.key 10242、创建Root CA证书请求openssl req -new -out root-ca.csr -key root-ca.key3、签发Root CA根证书openssl x509 -req -in root-ca.csr -out root-ca.crt -signkey root-ca.key ...
Nginx+Tomcat配置SSL双向验证示例
03-18
本资源是一个 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证配置示例。详细如何配置请参考博客《图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》,地址是:http://blog.csdn.net/defonds/article/details/44410359。
Nginx 服务器 SSL 证书安装部署
acheding的博客
04-14 1161
本文旨在通过WinSCP、putty两种工具,先下载证书,在上传至服务器指定文件夹,修改配置,重启nginx实现nginx上部署SSL证书
PKI - 借助Nginx实现_客户端使用CA根证书签发客户端证书
小工匠
02-12 3952
这个命令生成了一个 2048 位长度的 RSA 私钥,并将其保存到文件中。这个私钥将用于后续创建自签名的根证书。这个命令使用上一步生成的私钥 () 来生成一个自签名的根证书。具体地,它执行了以下操作:-x509:生成一个自签名的 X.509 格式证书。-new:创建一个新的证书请求。-nodes:不使用密码加密密钥。:指定之前生成的私钥文件作为证书的密钥。:指定证书的主题信息。在这里,表示证书的通用名称 (Common Name) 为client-ca。-days 5000。
NGINX使用OpenSSL自签证书实现HTTPS安全访问-完整版
weixin_45500120的博客
04-28 4279
启动后访问http://IP 如果端口被占用 修改/nginx/conf/nginx.conf中http模块的监听端口。注意有可能会报pod2man的错, 删除就行, 没报错就跳过。下载完成后上传至服务器/nginx目录或者直接在服务器下载。选择你自己需要的版本, 我们这里使用最新版。可以下载本地上传或者直接服务器下载。点击受信任的根证书颁发机构–>证书
Nginx HTTPS证书) 部署实战
Lzcsfg的博客
06-21 3209
要搭建https服务首先需有SSL证书证书通常是在第三方申请,在阿~云的安全服务中有SSL证书这一项,可以在里面申请免费的证书。也可以在自己电脑中生成,虽然也能完成加密,但是浏览器是不认可的,因此最好还是去第三方申请。
nginx配置自签https
梦想起飞的地方.........
04-26 1557
nginx配置https是需要CA颁发证书的,为了测试方便,我们可以使用自签证书。 安装openssl 安装包和出现问题处理参考:Windows 下OpenSSL安装过程及错误解决办法_发呆的程序猿-CSDN博客_openssl安装 本次提供windows 64bit 轻量版安装包:Win64OpenSSL_Light-3_0_0.rar-网络安全文档类资源-CSDN下载 按照正常软件安装流程安装即可。 说明:一般Linux系统都有openssl,可以直接到Linu系统上直接操作。 如何生...
Nginx搭建HTTPS服务器
热门推荐
小一的专栏
01-20 1万+
HTTPS简介 HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单来讲就是HTTP的安全版。即HTTP下加入SSL层,HTTPS安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系,用于安全的http数据传输。https
Linux环境下Nginx与Tomcat的SSL双向认证配置
总结来说,Linux Nginx双向认证服务的搭建是一个涉及系统环境配置、服务器软件安装、SSL证书管理和网络通信安全的过程。每个环节都需要细致操作,以确保整个服务的安全和稳定性。在整个过程中,对Linux系统管理、...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值