SSL交互简述及nginx双向认证配置

最新推荐文章于 2024-01-27 20:53:46 发布
最新推荐文章于 2024-01-27 20:53:46 发布
阅读量498 收藏 3
点赞数
分类专栏: ngnix
原文链接:https://www.cnblogs.com/small-office/p/9770896.html
版权

原文链接:https://www.cnblogs.com/small-office/p/9770896.html

一、证书生成。

1、SSL Server生成私钥/公钥对。server.key(加密)/server.pub(解密);
2、server.pub生成请求文件server.csr,包含server的一些信息,如域名/申请者/公钥等;
3、server将server.csr递交给CA,CA验证通过,用ca.key和csr加密生成server.cert; 
4、server将证书server.cert传给client,client通过ca.crt解密server.cert。

附证书制作流程:https://m.aliyun.com/yunqi/articles/40398

二、认证交互

三、SSL认证数据包分析

1、客户端请求包

版本信息:

随机数:

加密套件列表:

压缩算法和扩展参数:

2、服务端响应包:

版本号:

随机数:

选择的加密套件,压缩算法,及扩展参数:

证书:

3、客户端随机数包

 

4、通知秘钥和加密算法

 

5、握手验证消息

 

6、通知客户端加密算法与握手限制消息

 

 

7、加密通信(3)

8、Encrypted Alert,SSL告警,这里出现通常是提示SSL传输完成

 

 

 四、nginx代理证书配置(附测试脚本)

复制代码

server {
    listen 8000 ssl;
    listen[::]:8000 ssl;
    server_name *.*.*.*:8000;
    ssl on;
    ssl_certificate /home/nginx/conf/cert/ server.cert;
    ssl_certificate_key /home/nginx/conf/cert/server.key;
    ssl_client_certificate /home/nginx/conf/cert/ca.cert;
    ssl_verify_client on;
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_protocols TLSv1.2;
    ssl_ciphers  ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256;
    ssl_prefer_server_ciphers on;


    error_log /var/log/nginx/error.log error;


    location / {
        proxy_ssl_certificate /home/nginx/conf/cert/client.cert;
        proxy_ssl_certificate_key /home/nginx/conf/cert/client.key;
        proxy_ssl_trusted_certificate /home/nginx/conf/cert/ca.cert;
        proxy_ssl_verify on;
        proxy_ssl_session_reuse on;
        proxy_pass https://*.*.*.*:8080;
    }
}

复制代码

关于其他参数请参见:http://nginx.org/en/docs/http/ngx_http_proxy_module.html

复制代码

import httplib2

ca_cert = '/home/nginx/conf/cert/client/ca.cert'
client_key = '/home/nginx/conf/cert/client/client.key'
client_cert = '/home/nginx/conf/cert/client/client.cert'
full_url = 'https://*.*.*.*:8000/test_url'
headers = {
    'content-type': 'application/json',
    'accept': 'application/json'
}

http = httplib2.Http(timeout=120, ca_certs=ca_cert, disable_ssl_certificate_validation=False)
http.follow_all_redirects = True
http.add_certificate(client_key, client_cert, '')
resp, resp_content = http.request(full_url, method='GET', headers=headers)
print resp, resp_content

复制代码

 

JAVA地摊
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx之proxy_pass代理后端https请求完全拆解
weixin_34278190的博客
08-19 2175
2019独角兽企业重金招聘Python工程师标准>>> ...
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** 在网络安全日益重要的今天,服务器与客户端之间的通信安全成为了一个不可忽视的问题。本文将详细介绍如何在Nginx服务器上配置SSL双向认证,以提高服务器的安全性,允许只有经过验证...
Nginx进阶篇【五】
最新发布
qq_45740503的博客
01-27 1355
Nginx进阶篇【五】
HTTPS协议详解(四):TLS/SSL握手过程
热门推荐
郭晓东的专栏
09-08 8万+
本文大部分内容摘自:http://www.wosign.com/faq/faq2016-0309-04.htm 尊重知识产权,转载注明Wosign ----------------------------------专栏导航----------------------------------HTTPS协议详解(一):HTTPS基础知识 HTTPS协议详解(二):TLS/SSL工作原理HTTPS协议...
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过的,openssl 会自动的去找中级 CA 的签发者一层层验证上去,直到找到根。 因此,在实际使用的时候,需要注意一下两点: CA 文件中必须同时存在 中级 CA 和 根 CA,必须构成完整证书链,不能少任何一个; 默认的验证深度 SslVerifyDepth ssl_verify_depth 是 1,也就是说只要是中级
nginx加密代理
a5768190b的博客
11-21 1473
1、niginx.conf #user  nobody; worker_processes  auto; worker_rlimit_nofile 65535; #error_log  logs/error.log; #error_log  logs/error.log  notice; #error_log  logs/error.log  info; events
实践笔记-nginx配置ssl证书
无为萌新
09-23 291
mkdir cert。
Nginx、Tomcat、SSL双向认证
BOKE
05-25 965
1. 证书层级结构 2. 服务器结构 tomcat不要求认证客户端,nginx要求认证客户端 3. tomcat配置注意点 tomcat的服务器证书的CN必须为tomcat_backend 4. nginx配置注意点 使用openssl从pfx文件中导出pem格式公钥 1 openssl pkcs1
Nginx双向SSL认证配置详解
04-09
Nginx双向SSL认证配置详细步骤
nginx环境下配置ssl加密(单双向认证、部分https)
09-30
主要介绍了nginx环境下配置ssl加密(单双向认证、部分https),具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
Nginx+SSL实现双向认证的示例代码
09-30
主要介绍了Nginx+SSL实现双向认证的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
图文详解 -- HTTPS站点的SSL证书 ,扩展SSL证书,密钥交换和身份验证机制汇
andylau00j的专栏
02-21 3835
在客户端(这里指浏览器,下同)与 facebook 网站服务器进行 SSL 握手的过程中(现在称为TLS 握手,进行TLS握手前的TCP 三次握手必不可少,这里描述的场景假设已经完成了 TCP 三次握手): 首先两者协商使用什么协议连接: 第一次“往”:由客户端在一个类型为 Client Hello 的 TLS 握手包中携带客户端运行的TLS 协
虚拟桌面无法访问官网wiresharp报错encrypted alert
老T工坊
05-08 1292
如:访问a.xxx.com,则AD域控服务器配置映射关系,a.xxx.com---192.168.100.21。经过研究,官网配置了https://www.xxx.com自动跳转https://xxx.com。配置官网www.xxx.com解析外网IP 111.111.111.111【假设】,访问失败。因此,在打开官网www.xxx.com后,官网自动跳转xxx.com 访问失败。-配置官网www.xxx.com解析192.168.100.2,访问失败。AD域控配置的为www.xxx.com。
Nginx的http反向代理指令
qq_36532540的博客
06-22 409
1、nginx的http反向代理指令非SSL部分 指令 说明 proxy_pass 指定上游 proxy_bind 连接绑定地址 proxy_buffer_size 接收响应头部缓存 proxy_connect_timeout 连接上游超时时间 proxy_ next_upstream 出错时更换上游 proxy_next_upstream_time 更换上游超时时间 proxy_next_upstream_tries 更换上游重试次数 proxy_read_ti
nginx入门与使用
简书的专栏
12-02 1181
https://github.com/caojx-git/learn/blob/master/notes/nginx/nginx%E4%BD%BF%E7%94%A8.md
nginx:对上下游使用SSL连接
error311的博客
06-27 2778
对下游使用证书 1.ssl_certificate 指令 语法:ssl_certificate file; 默认:空 放置位置:http,server 2.ssl_certificate_key 指令 语法:ssl_certificate_key file; 默认:空 放置位置:http,server 验证下游证书 1.ssl_verify_client 指令 语法:ssl_verify_client on | off | ...
Nginx https反向代理502错误,proxy_ssl_server_name、proxy_ssl_verify
zzhongcy的专栏
08-10 5298
Nginx作用反向代理与上游服务器使用HTTPS建连时,默认不启用SNI,使用参数启用;默认不验证上游服务器返回的证书,使用开启上游证书验证后Nginx会使用配置文件中指定的CA验证上游服务器返回证书的合法性,同时也会比对证书中的CommonName信息。
Nginx使用HTTPS建立与上游服务器的网络通信
YunWisdom
11-22 1837
Nginx使用HTTPS建立与上游服务器的网络通信 本文介绍了如何加密NGINX与上游组或代理服务器之间的HTTP通信。 先决条件 NGINX开源或NGINX Plus 甲代理服务器或服务器的上游组 SSL证书和私钥 获取SSL服务器证书 您可以从受信任的证书颁发机构(CA)购买服务器证书,也可以使用OpenSSL库创建自己的内部CA并生成自己的证书。服务器证书以及私...
ssl双向认证_NGINX认证
weixin_39568659的博客
12-09 518
先说一下何为双向认证:单项认证,是客户确定客户访问的网站是否正确,且数据加密交互服务端和客户端数据。双向认证,是①客户确定访问的网站是否正确,证书是否和客户端存储的服务端证书匹配,②服务端也要确定客户是不是我认证的,允许访问的客户。双方都确定后身份正确后,在把数据加密传送。双向认证一般用于企业之间,对安全要求比较高的情况下。比如目前的区块链互访等都是采用的这种方式。单项认证双向认证的...
nginx如何配置双向认证
07-27
配置nginx双向认证,需要执行以下步骤: 1. 生成证书和私钥:首先,你需要生成用于双向认证的服务器证书和私钥。你可以使用openssl命令生成自签名证书,或者使用CA颁发的证书。 2. 配置nginx:在nginx配置文件中,添加以下配置段来启用双向认证: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; ssl_client_certificate /path/to/ca.crt; ssl_verify_client on; # 其他配置项... } ``` - `ssl_certificate`:指定服务器证书的路径。 - `ssl_certificate_key`:指定服务器私钥的路径。 - `ssl_client_certificate`:指定可信任的客户端证书颁发机构(CA)的证书路径。 - `ssl_verify_client`:启用客户端证书验证。 3. 配置客户端:为了与nginx进行双向认证,客户端需要提供其证书和私钥。客户端证书需要由相同的CA颁发。 4. 重启nginx:保存配置文件并重新启动nginx服务。 配置完成后,当客户端连接到nginx时,nginx会验证客户端提供的证书是否由可信任的CA颁发,并且证书是否有效。只有通过验证的客户端才能与nginx建立连接。 请注意,这只是一个基本的配置示例。实际的配置可能会因为你的需求和环境而有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值