Nginx ssl_client_certificate支持多CA 证书链使用记录

最新推荐文章于 2024-05-12 11:01:17 发布
最新推荐文章于 2024-05-12 11:01:17 发布
阅读量4.3k 收藏 3
点赞数
分类专栏: nginx ssl_client_certificate 文章标签: ssl nginx https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jin_recruit/article/details/121994360
版权

在Nginx 配置文件中开启客户端证书校验需要下面一段配置。(未贴出全部nginx.conf)

 server{
            listen 444 ssl;
            ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
            ssl_ciphers AES128-SHA,;
            ssl_certificate  /test/signcert.pem;
            ssl_certificate_key /test/signprivate.pem;
            ssl_verify_client on;
            # 指定客户端证书到根证书的深度 多ca情况下以最大深度为准
            ssl_verify_depth 2;
            # 允许客户端访问的CA合集  向客户端发送
            ssl_client_certificate  /test/cert/clientCertificate.pem;

            ssl_session_cache  shared:SSLSTREAM:1m;
            ssl_session_timeout  5m;
            ssl_session_tickets  off;
            proxy_connect_timeout  10s;
            proxy_timeout  30s;
            proxy_pass  PROTECT;
            proxy_protocol on;
       
        }

在我测试中发现ssl_verify_client 开启校验时ssl_verify_depth,ssl_client_certificate 参数都需要存在。
ssl_trusted_certificate这个参数在官方文档介绍中是不向客户端发送证书链。
地址:http://nginx.org/en/docs/http/ngx_http_ssl_module.html
在这里插入图片描述这是ssl_client_certificate 的解释。
一开始总是以为ssl_trusted_certificate和ssl_client_certificate 是互斥操作,但后来看了另一篇文章了解到ssl_trusted_certificate 是与ocsp 验证相关的,与ssl_stapling 参数或许有关。但未验证正确性。
参考文章地址:https://blog.csdn.net/vencent7/article/details/79190249
下面主要说一下ssl_client_certificate 这个配置项,该项需要将允许的CA集合放入到一个文件里面,在之前调研时好像还有其它实现方式,因为本次只是调研任务故我只测试了这一种情况。将两个CA的pem证书同时放入到目标地址文件中,文件内容如下。

(图一)

图一
文件中存在两个CA,一个是二级CA和它的一级CA的组合(二级CA我这里命名叫“OCA” 它的一级CA我叫它“RCA”),另一个是单独的一级CA(我命名叫“RCA for SIGN”),分别用“OCA”和“RCA for SIGN” 签发下级证书,签发出p12格式的证书后再导入到本地中。这里将jin1.p12(OCA签发出来的)和jin3.p12(OCA签发出来的),ojin.p12导入(RCA for SIGN 签发出来的)。

在这里插入图片描述
导入之后可以在浏览器中查看。
在这里插入图片描述
将“OCA” “RCA” 和“RCA for SIGN” 原格式为p12的根证转换为pem格式的文件再存入到/test/cert/clientCertificate.pem中。如图一所示格式:需要含头含尾,必须是标准的格式,不能有空行出现, 不然启动时报错。我的放入顺序为“OCA” 放前“RCA” 放后,“RCA for SIGN”放在最后。
之后启动nginx,访问444端口,查看效果。
在这里插入图片描述
在这里插入图片描述

jin_recruit
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx篇08-添加客户端证书认证
tinychen
03-01 3226
本文主要介绍如何使用nginx服务添加客户端证书认证从而实现双向加密。 对于一般的https网站来说,实际上https所使用证书是属于单向验证,即客户端单向验证服务器的安全性,而服务器端是没有对客户端的身份进行验证的。关于https的原理,可以查看这篇文章:《SSL/TLS、对称加密和非对称加密和TLSv1.3》 如果自己部署了一些安全性较高的网站不希望被其他人随意访问,就可以尝试部署https的双向认证,对客户端也添加证书认证。本文将会使用openssl自签证书来完成最简单的一个https双向认证。
【原创】nginx上配置SSL双向认证的CA证书链(工具openssl)
HD243608836的博客
07-06 6559
配置SSL双向认证的CA证书链时,其中最关键的两步骤: ssl_client_certificateca.crt;#包含证书链的ca.crt ssl_verify_depth 2;# 指定双向认证客户端证书到根证书的深度,默认是1 配置如下: # HTTPS server # server { listen 443 ssl; listen 8110 ssl; server_name aaa.abc.com; ssl on; ssl_certif...
带你探索CA和SSL证书
最新发布
zzzxxx520369的博客
05-12 1313
CA证书的签发机构,它是公钥基础设施(Public Key Infrastructure,PKI)的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。CA 拥有一个证书(内含公钥和私钥)。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA证书(含公钥),用以验证它所签发的证书。如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。
Nginx配置ssl_client_certificate客户端认证问题
qq_34823218的博客
11-17 8502
问题1:ssl_client_certificate配置的CA证书格式错误 参考Minitutorialforconfiguringclient-sideSSLcertificates和ClientSideCertificateAuthinNginx配置客户端的证书认证,配置好后,在浏览器使用证书认证报400错误 400BadRequest NorequiredSSLcertificatewassent 按照教程,生成相关证书都没有问题,在配置nginx的...
Nginx 配置 SSL证书
程序猿进阶
02-10 8402
成功配置SSL证书后,您将能够通过HTTPS加密通道安全访问Nginx服务器。
生成Nginx服务器SSL证书和客户端证书
IOsetting的专栏
06-24 487
Nginx服务器SSL证书 生成pass key 下面的命令用于生成一个2048bit的pass key, -passout pass:111111 用于避免交互式输入密码 [tomcat@a02 tmp]$ openssl genrsa -aes256 -passout pass:111111 -out server.pass.key 2048 Generating RSA private ...
Linux通过Nginx配置SSL实现服务器/客户端双向认证(详细)
王绍桦
08-31 4414
1.下载tar.gz格式jdk并配置环境变量(已配置jdk环境的可以忽略第一步)    解压jdk压缩包到opt目录下: tar zxvf /opt/jdk-8u144-linux-x64.tar.gz -C /opt/    配置环境变量:    通过vi命令编辑profile文件 vi /etc/profile    按键i开启编辑模式,在文件最后添加: export JA...
nginx_ssl_configuration:nginx_ssl_configuration
07-13
`ssl_client_certificate` 和 `ssl_verify_client` 可用于客户端证书验证,以进一步增强安全性。 `ssl_prefer_server_ciphers` 指定优先使用服务器支持的加密套件,`ssl_dhparam` 提供 Diffie-Hellman 密钥交换参数...
centos7.6部署Nginx1.1.18中间件SSL加密证书改造步骤
10-27
这一过程涉及到Linux系统管理、Nginx配置、SSL证书的申请与导入等多个环节。 首先,确保你的系统是64位的CentOS 7.6,并关闭firewalld和iptables防火墙服务,以允许外部访问。然后,你需要部署国密OpenSSL和国密...
详解Nginx SSL快速双向认证配置(脚本)
09-30
ssl_client_certificate /path/to/ca_certificate.pem; # CA证书 ssl_verify_client on; # 开启客户端验证 ``` 这里,`/path/to/ca_certificate.pem`是你创建的CA证书的路径。 5. **处理未验证的客户端** 如果...
nginx配置ssl双向验证的方法
09-30
总结来说,Nginx的SSL双向验证配置是一个涉及证书生成、Nginx配置修改以及客户端设置的多步骤过程。正确实施后,它能提供更高级别的安全保护,防止中间人攻击和其他网络安全威胁。在实际操作中,务必确保所有涉及的...
使用nginx(https)为(http)做反向代理.zip
03-19
本主题聚焦于如何使用Nginx作为反向代理,将HTTPS流量...记住,对于生产环境,应使用权威CA颁发的SSL证书,而非自签名证书,以获得浏览器的信任。同时,根据需要调整Nginx配置以优化性能,如开启GZIP压缩、缓存策略等。
SSL双向认证(高清版)
热门推荐
Linvo's blog
06-26 1万+
上一篇介绍了SSL双向认证的一些基本问题,以及使用Nginx+PHP基于它搭建https的Webservice。 之前的方式只是实现1:1的模式,昨天同事继续实现了n:1的模式,这里我再整理记录下。 由于nginxssl_client_certificate参数只能指定一个客户端公钥,如果增加一个客户端进行通信就要重新配一个server。 n:1的模式是通过CA的级联证书模式实现的,首先自
nginx SSL证书配置(双向认证)
weixin_33674976的博客
10-18 1267
2019独角兽企业重金招聘Python工程师标准>>> ...
【IoT】SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate
moxiaomomo的专栏
11-01 4107
错误提示 在安装并部署mosquitto时, 使用了ssl安全通信机制, 结果在client与broker之间连接时出现了如下错误: SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate 历史步骤 首先/etc/mosquitto/mosquitto.conf中是这么配置(其中证书/公钥/密钥的生成过程参考自: http
Nginx https(SSL)双向认证配置
Fighter168的专栏
01-14 1266
基于Let’s Encrypt证书和自签名证书实现双向认证。使用Let’s Encrypt实现客户端对服务端的验证,利用自签名证书完成服务端对客户端的认证。 在此只介绍自签名证书生成与配置部分(服务端对客户端的认证),Let’s Encrypt认证参考Let’sEncrypt SSL证书一键安装。 生成服务端证书 openssl genrsa -des3 -out ca.key 4096 open...
SSL/TLS深度解析--在Nginx上openssl配置CA证书链及多域名证书(好文章,配置很全面!!)
HD243608836的博客
07-06 2474
该文章配置很全面但是有些地方有冗余的配置,我只归纳提取了简化了本文的ssl双向认证时CA证书链的相关配置,链接为: 原文如下: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 生成私钥与自签根证书(这次使用aes256加密,密码是redhat) # 进行简单处理 [root@www ~]# cd /usr/local/openssl/ [root@www openssl]# mkdir root-CA sub-CA [root@www openssl]# cp -r
Nginx ssl双向认证包含移动端和PC端证书生成
Angus博客
04-04 3057
1:制作CA私钥,在根目录创建一个cert文件夹然后执行 openssl genrsa -out ca.key 2048 2:制作CA公钥/根证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Common Name 填写root;其它可以填”.” 3;制作服务器私钥 openssl genrsa -out server.pem 1024 openssl rsa -in server.pem -out se...
自签名SSL证书以及nginx配置https服务
fb_fatboy的博客
04-10 2365
生成一个CA证书,生成服务端证书,生成客户端证书nginx配置https服务,开启ssl双向认证
nginx 配置ssl 信任证书
05-26
要配置 SSL 信任证书,需要执行以下步骤: 1. 获取 SSL 证书和私钥文件:通常,SSL 证书和私钥文件是由证书颁发机构 (CA) 发放的。您可以使用 OpenSSL 工具生成自签名证书和私钥文件。 2. 在 nginx 配置文件中添加 SSL 配置:在您的 nginx 配置文件中,添加 SSL 配置块,指定 SSL 证书和私钥文件的路径,并启用 SSL。 例如: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/ssl/certificate.pem; ssl_certificate_key /path/to/ssl/private-key.pem; # Other nginx configuration directives } ``` 3. 配置 CA 证书:如果您的 SSL 证书CA 颁发,您需要将 CA 证书加入 nginx 的信任列表中。将 CA 证书复制到服务器上,然后在 nginx 配置文件中添加以下指令: ``` ssl_client_certificate /path/to/ca-certificates.pem; ssl_verify_client on; ``` 此配置会将 CA 证书添加到 nginx 的信任列表中,并启用客户端证书验证。 4. 重新加载 nginx:在您修改了 nginx 配置文件后,必须重新加载 nginx 才能使更改生效。可以使用以下命令重新加载 nginx: ``` sudo nginx -s reload ``` 这样,您就可以在 nginx 上成功配置 SSL 信任证书了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值