宝塔多域名-某一域名开启SSL双向认证

已于 2022-09-25 14:42:17 修改
阅读量838 收藏 1
点赞数
分类专栏: 技能分享 文章标签: php ssl
于 2021-07-17 14:11:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ithesytem/article/details/118855901
版权

场景介绍

xxx.com 为正常域名 配置 正常SSL
api.xxx.com 配置双向验证(自签名的CA基本没费用)

nginx 配置

在宝塔站点配置文件增加如下内容

server
{
	listen 443 ssl http2;
    server_nameapi.xxx.com;
    index index.php index.html index.htm default.php default.htm default.html;
    root /www/wwwroot//www/api;
    
    #SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则
    #error_page 404/404.html;
    #HTTP_TO_HTTPS_START
    if ($server_port !~ 443){
        rewrite ^(/.*)$ https://$host$1 permanent;
    }
    #HTTP_TO_HTTPS_END
    ssl_certificate    /www/wwwroot/xxx/www/ca_cert/xxx.cn_chain.crt;
    ssl_certificate_key    /www/wwwroot/xxx/www/ca_cert/xxx.cn_key.key;
    ssl_client_certificate /www/wwwroot/xxx/www/ca_cert/ca.crt;
    ssl_verify_client on;
    ssl_protocols TLSv1.1 TLSv1.2;
    ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
   
    add_header Strict-Transport-Security "max-age=31536000";

    #SSL-END
    
    #ERROR-PAGE-START  错误页配置,可以注释、删除或修改
    #error_page 400 /404.html;
    #error_page 502 /502.html;
    #客户端证书验证过程中发生错误
    error_page 495 /495.html;
    #客户没有出示所需的证书
    error_page 496 /496.html;
    #常规请求已发送到 HTTPS 端口
    error_page 497 /497.html;
    #ERROR-PAGE-END
    
    #PHP-INFO-START  PHP引用配置,可以注释或修改
    include enable-php-73.conf;
    #PHP-INFO-END
    
    
    #禁止访问的文件或目录
    location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)
    {
        return 404;
    }
    
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
    {
        expires      30d;
        error_log /dev/null;
        access_log /dev/null;
    }
    
    location ~ .*\.(js|css)?$
    {
        expires      12h;
        error_log /dev/null;
        access_log /dev/null; 
    }
}

错误页(自定义)

<html>
<head><title>497 The SSL certificate error</title></head>
<body bgcolor="white">
<center><h1>497 </h1></center>
<center>常规请求已发送到 HTTPS 端口</center>
<hr><center>OenSSL</center>
</body>
</html>

<html>
<head><title>496 The SSL certificate error</title></head>
<body bgcolor="white">
<center><h1>496 </h1></center>
<center>客户没有出示所需的证书</center>
<hr><center>OenSSL</center>
</body>
</html>

<html>
<head><title>496 The SSL certificate error</title></head>
<body bgcolor="white">
<center><h1>496 </h1></center>
<center>客户没有出示所需的证书</center>
<hr><center>OenSSL</center>
</body>
</html>

php Curl 请求示例

CURLOPT_TIMEOUT:超时时间
CURLOPT_RETURNTRANSFER:是否要求返回数据
CURLOPT_SSL_VERIFYPEER:是否检测服务器的证书是否由正规浏览器认证过的授权CA颁发的
CURLOPT_SSL_VERIFYHOST:是否检测服务器的域名与证书上的是否一致
CURLOPT_SSLCERTTYPE:证书类型,"PEM" (default), "DER", and"ENG".
CURLOPT_SSLCERT:证书存放路径
CURLOPT_SSLCERTPASSWD:证书密码,没有可以留空
CURLOPT_SSLKEYTYPE:私钥类型,"PEM" (default), "DER", and"ENG".
CURLOPT_SSLKEY:私钥存放路径
'allow_self_signed'=>true,  // 是否允许自签名证书
'cafile'=>'ca.crt',         // 根证书
*/
function curl_post_ssl($url, $vars, $second = 30, $aHeader = array())
{
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_TIMEOUT, $second);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
    curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
    curl_setopt($ch, CURLOPT_SSLCERT, './client.crt');
    curl_setopt($ch, CURLOPT_SSLKEY, './client.key');
    curl_setopt($ch, CURLOPT_HTTPHEADER, $aHeader);

    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1); //允许302

    curl_setopt($ch, CURLOPT_POST, 1);
    curl_setopt($ch, CURLOPT_POSTFIELDS, $vars);
    $data = curl_exec($ch);
    if (!curl_errno($ch)) {
        $info = curl_getinfo($ch);
    } else {
        echo 'Curl error: ' . curl_error($ch);
    }
    curl_close($ch);
    return $data;
}

浏览器配置

导入客户端证书

导入到证书 个人区域即可(导入成功个人区域可见,否则可能是证书或者密码错误)
在这里插入图片描述
完成后 打开浏览器访问网页即可 (刷新可能无效,如打开请先关闭)
如果是自签CA发布需要将CA证书导入到受信任的根证书颁发机构
在这里插入图片描述
此时浏览器将不再提示证书不受信任

shell 辅助脚本

生成CA证书以及CA目录
  • create_ca_cert.sh 仅首次运行
  • 生成后需要修改nginx配置文件
 ssl_client_certificate ssl_certs/demoCA/cacert.pem;
 ssl_crl ssl_certs/demoCA/private/ca.crl;
 ssl_verify_client on;

#!/bin/bash -e

# 创建CA根证书
# 非交互式方式创建以下内容:
# 国家名(2个字母的代号)
C=CN
# 省
ST=Shannxi
# 市
L=Xian
# 公司名
O=My Company
# 组织或部门名
OU=技术部
# 服务器FQDN或颁发者名
CN=www.example.com
# 邮箱地址
emailAddress=admin@example.com

mkdir -p ./demoCA/{private,newcerts}
touch ./demoCA/index.txt
[ ! -f ./demoCA/seria ] && echo 01 > ./demoCA/serial
[ ! -f ./demoCA/crlnumber ] && echo 01 > ./demoCA/crlnumber
[ ! -f ./demoCA/cacert.pem ] && openssl req -utf8 -new -x509 -days 36500 -newkey rsa:2048 -nodes -keyout ./demoCA/private/cakey.pem -out ./demoCA/cacert.pem -subj "/C=${C}/ST=${ST}/L=${L}/O=${O}/OU=${OU}/CN=${CN}/emailAddress=${emailAddress}"
[ ! -f ./demoCA/private/ca.crl ] && openssl ca -crldays 36500 -gencrl -out "./demoCA/private/ca.crl"
创建客户端证书,并用CA证书签证
  • create_client_cert.sh
#!/bin/bash -e

show_help() {
  echo "$0 [-h|-?|--help] [--ou ou] [--cn cn] [--email email]"
  echo "-h|-?|--help  显示帮助"
  echo "--ou      设置组织或部门名,如: 技术部"
  echo "--cn      设置FQDN或所有者名,如: 冯宇"
  echo "--email     设置FQDN或所有者邮件,如: fengyu@example.com"
}

while [[ $# -gt 0 ]]
do
  case $1 in
    -h|-\?|--help)
      show_help
      exit 0
      ;;
    --ou)
      OU="${2}"
      shift
      ;;
    --cn)
      CN="${2}"
      shift
      ;;
    --email)
      emailAddress="${2}"
      shift
      ;;
    --)
      shift
      break
    ;;
    *)
      echo -e "Error: $0 invalid option '$1'\nTry '$0 --help' for more information.\n" >&2
      exit 1
    ;;
  esac
shift
done

# 创建客户端证书
# 非交互式方式创建以下内容:
# 国家名(2个字母的代号)
C=CN
# 省
ST=Shannxi
# 市
L=Xian
# 公司名
O=My Company
# 组织或部门名
OU=${OU:-测试部门}
# 服务器FQDN或授予者名
CN=${CN:-demo}
# 邮箱地址
emailAddress=${emailAddress:-demo@example.com}

mkdir -p "${CN}"

[ ! -f "${CN}/${CN}.key" ] && openssl req -utf8 -nodes -newkey rsa:2048 -keyout "${CN}/${CN}.key" -new -days 36500 -out "${CN}/${CN}.csr" -subj "/C=${C}/ST=${ST}/L=${L}/O=${O}/OU=${OU}/CN=${CN}/emailAddress=${emailAddress}"
[ ! -f "${CN}/${CN}.crt" ] && openssl ca -utf8 -batch -days 36500 -in "${CN}/${CN}.csr" -out "${CN}/${CN}.crt"
[ ! -f "${CN}/${CN}.p12" ] && openssl pkcs12 -export -clcerts -CApath ./demoCA/ -inkey "${CN}/${CN}.key" -in "${CN}/${CN}.crt" -certfile "./demoCA/cacert.pem" -passout pass: -out "${CN}/${CN}.p12"
吊销一个签证过的证书
  • revoke_cert.sh
openssl ca -revoke "${1}/${1}.crt"
openssl ca -gencrl -out "./demoCA/private/ca.crl"
漫游游²º¹²
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
宝塔面板如何实现一个站点部署多个https?
刘杨造梦的博客
01-21 1885
继续为这个新站域名申请和部署SSL证书,可以申请免费证书的最简单方式有3种:宝塔测试SSL申请、Let's Encrypt申请和在购买域名的运营商处申请,测试证书1年期限不支持续签,第2种可以申请到3个月期限,第3种也可以申请1年期限,除了第一种其他两种到期都可以继续申请续签。其实非常简单就是再新建一个站点,站点目录选主站点的,将两个站点共用同一个根目录,新站点的配置和主站点一致(例如根目录、PHP版本等相同),不需要再创建数据库。以此类推,有多个域名的可以继续新增站点配置部署。
nginx实现一个域名配置多个laravel项目的方法示例
09-30
在本示例中,我们将探讨如何使用Nginx配置一个域名以托管多个Laravel项目。Laravel是一个流行的PHP框架,而Nginx是一款高效的HTTP服务器和反向代理服务器,广泛用于部署Web应用。通过Nginx的配置,我们可以将一个主...
宝塔】针对宝塔面板一个站点多个域名使用SSL证书的解决方案
最新发布
不纯正的逼格的专栏
12-21 830
对粘贴后那份内容修改域名→修改对应域名SSL证书(第一行是根证书.crt,第二行秘钥.key);特别注意,域名开cdn 的话,只在宝塔配置证书是加不上的,还需要在cdn那里配置证书, 公钥和私钥都需要配置,证书名称随意填写。针对宝塔面板一个站点多个域名使用SSL证书的解决方案(直接修改配置文件即可达到目的,强制开启证书,只需要去掉80端口即可)全部SSL证书上传至”/www/server/panel/vhost/cert/站点域名”目录下;宝塔面板修改“站点配置”,复制再粘贴一份相同的内容至原配置下方;
针对宝塔面板一个站点多个域名使用SSL证书的解决方案
工作遇到问题的归纳总结
07-02 5943
多个域名绑定一个站点,如果网站协议为https的,那么就要面临一个问题,如何解决一个站点多个域名使用SSL证书的问题。本文将以宝塔面板为例,告诉大家如何解决。 在宝塔面板SSL证书设置中,只能上传一份SSL编码文件。因此,我们能做的就只能在“站点配置”里做修改。 具体方法如下: 对应域名SSL证书下载保存到本地; 全部SSL证书上传至”/www/server/panel/vhost/cert/站点域名”目录下; 宝塔面板修改“站点配置”,复制再粘贴一份相同的内容至原配置下方; 对粘贴后那份内
宝塔面板一个网站绑定两个域名配置SSL
11-20 6437
宝塔面板一个网站绑定两个以上的域名配置SSL 1、比如a.com b.com c.com 同时绑定一个网站 2、申请证书,获取pem、key 3、开启a.com 的ssl 4、点击左侧配置文件 <VirtualHost *:80> ServerAdmin webmaster@example.com DocumentRoot "/www/wwwroot/test.com/public" ServerName 7277db5a.test.com Serve
【A Panda】关于宝塔一个站点绑定多个域名宝塔ssl证书的问题 —— 北辰在线
qq_41113498的博客
04-20 741
目前“宝塔SSL”自动申请绑定一个证书,即根域名和www域名,如果还需要绑定手机端m则需要绑定多个域名 如果多域名绑定一个网站数据,需要新建多个站点指向同一文件目录。 用相同的方法,在不新建站点的前提下,手动修改“站点配置文件”; 经测试可以多域名证书,缺点是不能再次通过宝塔编辑站点配置,否则会覆盖文件 方法如下,先申请多个站点证书,然后在宝塔网站“www.bt.cn"右上角登录会员账号,下载证书...
宝塔面板一个站点绑定多个SSL证书
A1682234的博客
07-14 3015
宝塔面板一个站点绑定多个SSL证书
域名重定向到一个站点
01-07
好啦,废话不多说,今天的常见问题是:多域名重定向到一个站点 解析设置: 第1种实现方式:记录类型为A记录,记录值为IP地址 主机记录为@和WWW 第2种方式:如果买的是虚拟主机,一般在虚拟主机的具体信息上,可以...
nginx配置多域名访问以及完整配置
09-11
总结,Nginx的多域名配置、访问统计、日志请求头管理、反向代理和手机访问判断是其强大功能的一部分,可以帮助我们构建高效、灵活的Web服务架构。通过深入理解并正确配置这些选项,你可以更好地满足网站的需求,提升...
微信域名防封程序-PHP
06-21
微信推广域名防封短网址程序 5月23日重大更新! 1、推广网址改为微信 url.cn 生成推广短网址,解决许多客户用微信群发软件时被微信检测爬虫封禁的风险; 个别几个客户,反馈采用群发软件大量群发推广网址后,域名被...
域名SSL证书在线生成系统_SSL在线自签证书工具_免费SSL在线生成源码.zip
04-21
域名SSL证书在线生成系统_SSL在线自签证书工具_免费SSL在线生成源码 源码没有后台没有数据库,源码简单便捷,上传到空间内即可使用,虚拟主机,vps...随时可以生成自己的域名证书,可以在宝塔后台添加ssl,测试正常!
基于宝塔面板给站点新增删除域名接口php
11-20
在IT行业中,宝塔面板是一款广泛使用的服务器管理工具,它为用户提供了一个图形化的界面来管理服务器上的各种服务,包括网站、数据库、FTP等。本文将深入探讨如何利用PHP编程语言在宝塔面板上实现站点域名的新增与...
PHP节节云-宝塔主机面板 v1.0.13 源码下载
10-24
节节云-宝塔主机面板包含了批量建站,权限分配,站点同步,多台服务器多站点统一化管理,一键登录宝塔面板等功能。 应用类型:宝塔站点(主机管理) 应用描述:支持Windows/Linux系统,同步宝塔站点和管理站点(包含...
BaoTa:宝塔Linux面板-简单好用的服务器运维面板
02-05
宝塔开源许可协议: ://www.bt.cn/kyxy.html 使用手册: : 论坛地址: : 反馈建议: : 错误提交: : 安装命令: 圣托斯 yum install -y wget && wget -O install.sh ...
源授权V1.5.2版本-打造更专业的PHP域名授权系统
01-07
多端授权 · 一站多控 · 授权统一管理方便快捷 更新日志 V1.6 – 2021.10.04 优化程序管理,显示程序名称,数据统计 修复创建程序后创建时间不显示问题 更新卡密状态,类型,使用天数,名称的显示 更新API返回信息...
建站知识:宝塔面板一个站点多个域名SSL证书绑定的解决方法
reg183的专栏
10-13 2651
全部SSL证书上传至”/www/server/panel/vhost/cert/站点域名”目录下;对粘贴后那份内容修改域名→修改对应域名SSL证书(第一行是根证书.crt,第二行秘钥.key);在宝塔管理面板的网站SSL证书设置中,只能上传一份SSL证书文件。宝塔面板修改“站点配置”,复制再粘贴一份相同的内容到原配置下方;为了日后方便管理配置信息,该方法可以在“站点配置”里做修改。先把对应域名SSL证书下载保存到本地;fullchain.pem 是根证书。privkey.pem 即是证书秘钥。
宝塔面板同一个项目 多个 域名站点多个域名证书
qq_32278153的博客
08-22 750
直接创建多个域名站点 指向同一个项目的不同目录 同一个项目多个域名站点 多个域名证书
域名linux面板,宝塔面板操作多个域名做301跳转
weixin_34570232的博客
05-13 543
都知道在网站更换域名的过程中为了保住收录和排名,就需要通过搜索引擎提供的改版工具来进行操作。而其中最重要的就是对老域名进行301永久重定向获得搜索引擎的收录更新。实现301有很多方法,可以通过web服务器进行操作,也能通过程序头部书写301跳转代码进行操作。其实目的和效果都是一样的,怎么简单怎么操作。事情得从今天群里小伙伴在年前购置了双拼域名说起,备案完成后,年后来折腾更换域名。小伙伴前两天从原来...
宝塔面板 SSL域名确认
Higashino_Keigo的博客
12-11 1677
如图宝塔SSL点击验证域名一直没反应 问题可能在于服务器未开启80端口,另一个可能是取消重定向
宝塔域名 https
09-25
如果您想要为一个站点绑定多个不同的域名,并开启强制HTTPS,您可能会遇到其中一个域名没有绑定证书的问题。您可以尝试使用域名SSL证书在线生成系统来生成自己的域名证书,并在宝塔后台手动添加SSL。这样您就可以为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

漫游游²º¹²

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值