nginx配置https证书双向认证

最新推荐文章于 2024-05-28 17:22:23 发布
最新推荐文章于 2024-05-28 17:22:23 发布
阅读量1.6k 收藏 4
点赞数
分类专栏: nginx 系统运维 文章标签: openssl https nginx配置https ssl证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haoxinqing9698/article/details/119219386
版权

目标

        使用openssl生成证书并配置到nginx.

步骤

        1. 生成服务端证书和客户端证书

        2. 配置nginx并重启

        3. 本地浏览器导入客户端证书

        4. 测试验证

证书制作详细过程

# 1 创建目录
mkdir -p keys/private && mkdir -p keys/certs
cd keys
# 2 生成根证书:

    #生成根证书私钥
    openssl genrsa -aes256 -out private/ca.pem 1024
    #输入自己的密码 59001100
    #生产根证书签名请求
    openssl req -new -key private/ca.pem -out private/ca.csr
    #密码 59001100
    #生产根证书 有效期7300天 
    openssl x509 -req -days 7300 -sha1 -extensions v3_ca -signkey private/ca.pem -in private/ca.csr -out certs/ca.cer

# 3 生成服务器证书

    # 生产服务器证书私钥
    openssl genrsa -aes256 -out private/server-key.pem 1024
    # 密码 59001100  这里建议使用区别与跟证书私钥的密码
    # 生产服务器证书签名请求
    openssl req -new -key private/server-key.pem -out private/server.csr -subj "/C=CN/ST=BEIJING/L=BEIJING/O=MOGO/CN=server.mogo.com"
    # 密码 59001100
    # 生产服务器证书
    openssl x509 -req -days 7300 -sha1 -extensions v3_req -CA certs/ca.cer -CAkey private/ca.pem -CAcreateserial -in private/server.csr -out certs/server.cer

# 4 生成客户端证书

    # 生产客户端证书私钥
    openssl genrsa -aes256 -out private/client-key.pem 1024
    #设定自己的密码,客户端密码 13131313
    # 生产客户端证书签名请求,里面的-subj信息请替换掉
    # 其中的内容C=CN中的CN代表中国,后面的两个BEIJING分别代表省和市,O=MOGO中的MOGO为公司简称,CN=mogo.com中后面的mogo.com请设定你的服务名,与服务证书的名称不能一样 ; 下面命令需要输入客户端私钥的密码
    openssl req -new -key private/client-key.pem -out private/client.csr -subj "/C=CN/ST=BEIJING/L=BEIJING/O=MOGO/CN=mogo.com"
    # 创建一个文件,并标记证书版本号为01,也可以自定义版本号,使用0到F之间的16进制数值
    touch ca.srl && echo 01 >ca.srl
    # 生产客户端证书 下面的命令运行时需要输入跟证书私钥的密码 59001100
    openssl x509 -req -days 7300 -sha1 -extensions v3_req -CA certs/ca.cer -CAkey private/ca.pem -CAserial ca.srl -in private/client.csr -out certs/client.cer

# 5 导出客户端/服务器端证书仓库

    # 导出客户端证书仓库
    openssl pkcs12 -export -clcerts -name client -inkey private/client-key.pem -in certs/client.cer -out certs/client.keystore
    # 输入客户端私钥密码 13131313
    
    # 导出服务器端证书仓库
    openssl pkcs12 -export -clcerts -name client -inkey private/server-key.pem -in certs/server.cer -out certs/server.keystore
    # 输入服务端私钥密码 59001100

# 6 服务端私钥导出无密码私钥,用于nginx配置

    openssl rsa -in private/server-key.pem -out private/server-key.unsecure

nginx配置过程

  server {
        listen       443;
        ssl on;
        server_name  tracing-coll-test.zhidaoauto.com;
        ssl_certificate keys/certs/server.cer;
        ssl_certificate_key keys/private/server-key.unsecure;
        ssl_client_certificate keys/certs/ca.cer;
        ssl_verify_client on;
        location / {
            root   html;
            index  index.html index.htm;
        }

  }

        配置好后需要重启 killall nginx && cd sbin && sudo ./nginx

        注意事项:443端口必须使用root权限才能起来。

本地导入客户端证书

        以火狐为例:

        在浏览器右侧找到设置》搜索“证书”〉打开“查看证书”

        或者接在火狐浏览器输入:about:preferences#searchResults

        或在chrome中输入chrome://settings/

导入client.keystore证书,导入时需要输入密码,客户端私钥密码13131313

浏览器测试

        https://IP:443

        提示不安全,需要手动选择信任,并选择导入的证书。

此时如果没有证书则返回400  No required SSL certificate was sent

itafeng
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Nginx SSL快速双向认证配置(脚本)
09-30
而在SSL双向认证中,服务端需要识别并信任客户端的证书,客户端也需要验证服务端的证书。这种机制可以有效地防止中间人攻击和未经授权的访问,因为只有拥有正确证书的客户端才能与服务器建立连接。 ### 二、Nginx ...
Nginx双向SSL认证配置详解
04-09
Nginx双向SSL认证配置详细步骤
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1505
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
Nginx配置https双向认证访问
endzhi的博客
03-21 1003
需求:某些机密网站,仅允许特定电脑访问,能在运维方式解决,就不去麻烦开发! 安装或升级openssl yuminstall-yopenssl 安装nginx,这里已经安装,安装目录为/usr/local/nginx/ 创建一个新的CA根证书,在nginx安装目录下新建ca文件夹并创建几个子文件夹 mkdir/usr/local/nginx...
Nginx配置https双向认证
CyborgLin的博客
09-01 4207
https双向认证原理: 网上查询很多文章,按照他们的步骤下来到最后都是失败的,然后摸索了3天终于搞定,记录下来,希望帮助到其他小伙伴。 一.生成自签名根证书 创建根证书私钥: openssl genrsa -out root.key 1024 创建根证书请求文件: openssl req -new -out root.csr -key root.key ############注意############## 根证书的Common Name填写root就可以,根证书的这个字段和.
https双向认证
qq_37079898的博客
08-21 2942
双向认证,顾名思义,客户端和服务器端都需要验证对方的身份,在建立HTTPS连接的过程中,握手的流程比单向认证多了几步。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。
nginx 配置https双向认证
qq_19641001的博客
05-22 432
参考博客 https://blog.csdn.net/zkt286468541/article/details/80864184 # 制作CA私钥 openssl genrsa -out ca.key 2048 # 制作CA公钥/根证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # 服务器端证书 # 制作服务器私钥 openssl genrsa -out server.pem 1024 openssl rsa -in serve.
nginx证书 服务器证书,Nginx双向证书校验(服务器验证客户端证书
weixin_35730840的博客
07-30 3798
1、创建Root CA私钥openssl genrsa -out root-ca.key 10242、创建Root CA证书请求openssl req -new -out root-ca.csr -key root-ca.key3、签发Root CA根证书openssl x509 -req -in root-ca.csr -out root-ca.crt -signkey root-ca.key ...
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
ssl双向认证_NGINX认证
weixin_39568659的博客
12-09 518
先说一下何为双向认证:单项认证,是客户确定客户访问的网站是否正确,且数据加密交互服务端和客户端数据。双向认证,是①客户确定访问的网站是否正确,证书是否和客户端存储的服务端证书匹配,②服务端也要确定客户是不是我认证的,允许访问的客户。双方都确定后身份正确后,在把数据加密传送。双向认证一般用于企业之间,对安全要求比较高的情况下。比如目前的区块链互访等都是采用的这种方式。单项认证双向认证的...
firefox+linux+nginx搭建server与client通过证书双向认证环境
weixin_30652897的博客
11-03 215
  项目中需要搭建一个server和client基于证书双向认证环境。由我来做,我也不会。   经过一晚上的研究,基本摸清了(知其然不知其所以然)。做下笔记。 基本环境:   1.安装nginx。   2.安装openssl。 生成证书:   首先建立一个工作目录,这里以我的工作目录为例。(/home/myca/),然后执行如下命令。建立生成证书的路径文件结构,这是由openssl的...
nginx 配置 https双向认证
Welcome to Radish Blog
01-27 272
SSL双向认证就是,客户端要获取服务端的证书,检查下服务端是不是我可以信任的主机,否则我就认为那个站点的内容不可信任,不应该去访问你(浏览器会告诉你),同时服务端也要检查客户端的证书,客户端如果不是服务端所信任的,那服务端也会认为,你不是我的合法用户,我拒绝给你提供服务。所以,要让 HTTPS双向认证顺利完成,就要在服务端给定一个证书,这个证书是浏览器可信任的,同时客户端(浏览器)也要...
Nginx双向认证
weixin_44480960的博客
01-25 6561
Nginx双向认证 一、前言 参考链接 OPENSSL加密DSA,RSA介绍 客户端默认是相信权威CA机构的,操作系统内置了CA证书。 说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。 centos操作系统中被信任的证书一般在此文件中 cat /etc/pki/tls/certs/ca-bundle.crt 我们可以查看一下访问百度的一个通信过程 curl -v https://www.b
Nginx配置客户端SSL双向认证
yazhiye的专栏
12-10 3623
转自:https://www.cnblogs.com/qiumingcheng/p/13282145.html 对于 NGINXHTTPS 配置,通常情况下我们只需要实现服务端认证就行,因为浏览器内置了一些受信任的证书颁发机构(CA),服务器端只需要拿到这些机构颁发的证书配置好,浏览器会自己校验证书的可用性并通过 SSL 进行通讯加密。 但特殊情况下我们也需要对客户端进行验证,只有受信任的客户端才能使用服务接口,此时我们就需要启用双向认证来达到这个目的,只有当客户端请求带了可用的证书才能调通服.
Nginx-配置HTTPS证书(单向认证)
孟孟的博客
01-28 4803
1. 生成一个 CA 私钥: ca.key mkdir /home/nginx/ssl cd /home/nginx/ssl openssl genrsa -out ca.key 4096
Nginx配置Https证书详细过程
热门推荐
smartdt的博客
04-21 7万+
一、Http与Https的区别 HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。 HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSLHTTPS协议的...
使用Nginx实现HTTPS双向验证的方法
fjz_lihuapiaoxiang的博客
12-19 8970
单向验证与双向验证的区别: 单向验证: 指客户端验证服务器端证书,服务器并不需要验证客户端证书双向验证:指客户端验证服务器端证书,而服务器也需要通过CA的公钥证书来验证客户端证书。 详细的握手过程: 单向验证 浏览器发送一个连接请求给安全服务器。 1、服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。 2、客户浏览器检查服务器送过来的证书是否是
Nginx配置ssl证书
月明海沧
11-11 1638
1.下载证书ssl证书管理界面下载对应于Nginx证书。 下载的Nginx证书压缩文件解压后包含: .pem:证书文件。PEM文件的扩展名为CRT格式。 .key:证书的密钥文件。申请证书时如果未选择自动创建CRS,则下载的证书文件压缩包中不会包含.key文件,需要您将自己手动常见的私钥文件拷贝到cert目录下。 2.更改nginx设置 在nginx安装目录下新建cert目录存储ngin...
nginx配置wss双向认证
12-20
nginx配置wss双向认证的步骤如下: 1. 在/etc/nginx/conf.d目录下创建一个名为443.conf的文件,用于处理443端口的转发。 2. 在443.conf文件中添加以下配置: ```shell server { listen 443 ssl; server_name your_domain; ssl_certificate /path/to/your/certificate.crt; ssl_certificate_key /path/to/your/private.key; ssl_client_certificate /path/to/your/client.crt; ssl_verify_client on; location / { proxy_pass http://your_backend_server; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } } ``` 其中,your_domain替换为你的域名,/path/to/your/certificate.crt和/path/to/your/private.key替换为你的服务器证书和私钥的路径,/path/to/your/client.crt替换为客户端证书的路径,your_backend_server替换为你的后端服务器地址。 3. 保存并退出443.conf文件。 4. 运行命令nginx -t检测配置是否有错。 5. 如果没有错误,运行命令nginx -s reload重新加载nginx配置。 请注意,以上配置假设你已经有了有效的服务器证书、私钥和客户端证书,并将其放置在正确的路径下。另外,你还需要将your_backend_server替换为实际的后端服务器地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值