Nginx ssl_client_certificate支持多CA 证书链使用记录

最新推荐文章于 2024-05-12 11:01:17 发布
最新推荐文章于 2024-05-12 11:01:17 发布
阅读量4.3k 收藏 3
点赞数
分类专栏: nginx ssl_client_certificate 文章标签: ssl nginx https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jin_recruit/article/details/121994360
版权

在Nginx 配置文件中开启客户端证书校验需要下面一段配置。(未贴出全部nginx.conf)

 server{
            listen 444 ssl;
            ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
            ssl_ciphers AES128-SHA,;
            ssl_certificate  /test/signcert.pem;
            ssl_certificate_key /test/signprivate.pem;
            ssl_verify_client on;
            # 指定客户端证书到根证书的深度 多ca情况下以最大深度为准
            ssl_verify_depth 2;
            # 允许客户端访问的CA合集  向客户端发送
            ssl_client_certificate  /test/cert/clientCertificate.pem;

            ssl_session_cache  shared:SSLSTREAM:1m;
            ssl_session_timeout  5m;
            ssl_session_tickets  off;
            proxy_connect_timeout  10s;
            proxy_timeout  30s;
            proxy_pass  PROTECT;
            proxy_protocol on;
       
        }

在我测试中发现ssl_verify_client 开启校验时ssl_verify_depth,ssl_client_certificate 参数都需要存在。
ssl_trusted_certificate这个参数在官方文档介绍中是不向客户端发送证书链。
地址:http://nginx.org/en/docs/http/ngx_http_ssl_module.html
在这里插入图片描述这是ssl_client_certificate 的解释。
一开始总是以为ssl_trusted_certificate和ssl_client_certificate 是互斥操作,但后来看了另一篇文章了解到ssl_trusted_certificate 是与ocsp 验证相关的,与ssl_stapling 参数或许有关。但未验证正确性。
参考文章地址:https://blog.csdn.net/vencent7/article/details/79190249
下面主要说一下ssl_client_certificate 这个配置项,该项需要将允许的CA集合放入到一个文件里面,在之前调研时好像还有其它实现方式,因为本次只是调研任务故我只测试了这一种情况。将两个CA的pem证书同时放入到目标地址文件中,文件内容如下。

(图一)

图一
文件中存在两个CA,一个是二级CA和它的一级CA的组合(二级CA我这里命名叫“OCA” 它的一级CA我叫它“RCA”),另一个是单独的一级CA(我命名叫“RCA for SIGN”),分别用“OCA”和“RCA for SIGN” 签发下级证书,签发出p12格式的证书后再导入到本地中。这里将jin1.p12(OCA签发出来的)和jin3.p12(OCA签发出来的),ojin.p12导入(RCA for SIGN 签发出来的)。

在这里插入图片描述
导入之后可以在浏览器中查看。
在这里插入图片描述
将“OCA” “RCA” 和“RCA for SIGN” 原格式为p12的根证转换为pem格式的文件再存入到/test/cert/clientCertificate.pem中。如图一所示格式:需要含头含尾,必须是标准的格式,不能有空行出现, 不然启动时报错。我的放入顺序为“OCA” 放前“RCA” 放后,“RCA for SIGN”放在最后。
之后启动nginx,访问444端口,查看效果。
在这里插入图片描述
在这里插入图片描述

jin_recruit
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx_ssl_configuration:nginx_ssl_configuration
07-13
`ssl_client_certificate` 和 `ssl_verify_client` 可用于客户端证书验证,以进一步增强安全性。 `ssl_prefer_server_ciphers` 指定优先使用服务器支持的加密套件,`ssl_dhparam` 提供 Diffie-Hellman 密钥交换参数...
【原创】nginx上配置SSL双向认证的CA证书链(工具openssl)
HD243608836的博客
07-06 6559
配置SSL双向认证的CA证书链时,其中最关键的两步骤: ssl_client_certificateca.crt;#包含证书链的ca.crt ssl_verify_depth 2;# 指定双向认证客户端证书到根证书的深度,默认是1 配置如下: # HTTPS server # server { listen 443 ssl; listen 8110 ssl; server_name aaa.abc.com; ssl on; ssl_certif...
Nginx配置ssl_client_certificate客户端认证问题
qq_34823218的博客
11-17 8502
问题1:ssl_client_certificate配置的CA证书格式错误 参考Minitutorialforconfiguringclient-sideSSLcertificates和ClientSideCertificateAuthinNginx配置客户端的证书认证,配置好后,在浏览器使用证书认证报400错误 400BadRequest NorequiredSSLcertificatewassent 按照教程,生成相关证书都没有问题,在配置nginx的...
带你探索CA和SSL证书
最新发布
zzzxxx520369的博客
05-12 1313
CA证书的签发机构,它是公钥基础设施(Public Key Infrastructure,PKI)的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。CA 拥有一个证书(内含公钥和私钥)。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA证书(含公钥),用以验证它所签发的证书。如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。
nginx(六十七)http_ssl模块 client与nginx的ssl握手
wzj_110的博客
11-26 4098
client与nginx的ssl握手之http_ssl模块
SSL双向认证(高清版)
热门推荐
Linvo's blog
06-26 1万+
上一篇介绍了SSL双向认证的一些基本问题,以及使用Nginx+PHP基于它搭建https的Webservice。 之前的方式只是实现1:1的模式,昨天同事继续实现了n:1的模式,这里我再整理记录下。 由于nginxssl_client_certificate参数只能指定一个客户端公钥,如果增加一个客户端进行通信就要重新配一个server。 n:1的模式是通过CA的级联证书模式实现的,首先自
Nginx https(SSL)双向认证配置
Fighter168的专栏
01-14 1266
基于Let’s Encrypt证书和自签名证书实现双向认证。使用Let’s Encrypt实现客户端对服务端的验证,利用自签名证书完成服务端对客户端的认证。 在此只介绍自签名证书生成与配置部分(服务端对客户端的认证),Let’s Encrypt认证参考Let’sEncrypt SSL证书一键安装。 生成服务端证书 openssl genrsa -des3 -out ca.key 4096 open...
ssl证书CA双向认证完整实现步骤(附java客户端代码)(好文章!)
HD243608836的博客
07-13 5194
一、基础概念 注:以下概念除专业名词外,均为个人理解,不具备权威性。 1、什么是系统安全管理 置于公网的系统,通常都需要一定的安全管理,据我个人理解,这里的安全管理主要分三个方面: 一是应用内的权限控制,比如具体应用的用户名、密码等; 二是应用数据传输过程中的安全机制,例如各种报文的加解密方案; 三是数据传输前的通讯安全机制,保证通讯双方都是可靠可信任的,PKI就是其中一个解决方案。 2、什么是PKI PKI是 Public Key Infrastructure的简称,意思是公钥基础设施。 公钥基
centos7.6部署Nginx1.1.18中间件SSL加密证书改造步骤
10-27
这一过程涉及到Linux系统管理、Nginx配置、SSL证书的申请与导入等多个环节。 首先,确保你的系统是64位的CentOS 7.6,并关闭firewalld和iptables防火墙服务,以允许外部访问。然后,你需要部署国密OpenSSL和国密...
详解Nginx SSL快速双向认证配置(脚本)
09-30
ssl_client_certificate /path/to/ca_certificate.pem; # CA证书 ssl_verify_client on; # 开启客户端验证 ``` 这里,`/path/to/ca_certificate.pem`是你创建的CA证书的路径。 5. **处理未验证的客户端** 如果...
nginx配置ssl双向验证的方法
09-30
总结来说,Nginx的SSL双向验证配置是一个涉及证书生成、Nginx配置修改以及客户端设置的多步骤过程。正确实施后,它能提供更高级别的安全保护,防止中间人攻击和其他网络安全威胁。在实际操作中,务必确保所有涉及的...
使用nginx(https)为(http)做反向代理.zip
03-19
本主题聚焦于如何使用Nginx作为反向代理,将HTTPS流量...记住,对于生产环境,应使用权威CA颁发的SSL证书,而非自签名证书,以获得浏览器的信任。同时,根据需要调整Nginx配置以优化性能,如开启GZIP压缩、缓存策略等。
nginx ssl 配置说明
由入门到精通
11-19 791
Ssl_certificate :服务器公钥地址 Ssl_certificate_key :服务器私钥地址 Ssl_client_certificate : CA公钥地址 验证客户端证书是否是同一CA签发 Ssl_verify_client : on打开双向认证
证书类型、自签CA证书、https双向认证(一篇就懂系列)
MX__LL的博客
06-16 7175
证书类型、自签CA证书、https双向认证(一篇就懂系列)
Nginx配置ssl双向认证(精简!好文章!)
HD243608836的博客
02-04 4160
最近在搞ssl双向认证的任务,需要在本地调测,所以就使用自己生成的CA来生成证书。 这里只说如何配置双向认证,双向认证的概念就不说了。 具体看如下链接:https://www.jianshu.com/p/fb5fe0165ef2 CA与自签名 # 制作CA私钥 openssl genrsa -out ca.key 2048 # 制作CA公钥/根证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # Common Name 随意填写
自签名SSL证书以及nginx配置https服务
fb_fatboy的博客
04-10 2365
生成一个CA证书,生成服务端证书,生成客户端证书nginx配置https服务,开启ssl双向认证
深入浅出:HTTPS单向与双向认证及证书解析20231208
Narutolxy的博客
12-08 3130
网络安全的核心之一是了解和实施HTTPS认证。本文将探讨HTTPS单向认证和双向认证的区别,以及SSL证书CA证书在这些过程中的作用,并通过Nginx配置实例具体说明。
【IoT】SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate
moxiaomomo的专栏
11-01 4107
错误提示 在安装并部署mosquitto时, 使用了ssl安全通信机制, 结果在client与broker之间连接时出现了如下错误: SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate 历史步骤 首先/etc/mosquitto/mosquitto.conf中是这么配置(其中证书/公钥/密钥的生成过程参考自: http
Nginx使用SSL加密,配置文件各个参数的含义
thj_blog
07-07 4546
常见参数 ssl_certificate证书其实是个公钥,它会被发送到连接服务器的每个客户端 ssl_certificate_key私钥是用来解密的,所以它的权限要得到保护但nginx的主进程能够读取。 ssl_session_timeout : 客户端可以重用会话缓存中ssl参数的过期时间,内网系统默认5分钟太短了,可以设成30m即30分钟甚至4h。 sl_session_cache shared:SSL:10m; : 设置ssl/tls会话缓存的类型和大小。 ...
nginx 配置ssl 信任证书
05-26
要配置 SSL 信任证书,需要执行以下步骤: 1. 获取 SSL 证书和私钥文件:通常,SSL 证书和私钥文件是由证书颁发机构 (CA) 发放的。您可以使用 OpenSSL 工具生成自签名证书和私钥文件。 2. 在 nginx 配置文件中添加 SSL 配置:在您的 nginx 配置文件中,添加 SSL 配置块,指定 SSL 证书和私钥文件的路径,并启用 SSL。 例如: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/ssl/certificate.pem; ssl_certificate_key /path/to/ssl/private-key.pem; # Other nginx configuration directives } ``` 3. 配置 CA 证书:如果您的 SSL 证书CA 颁发,您需要将 CA 证书加入 nginx 的信任列表中。将 CA 证书复制到服务器上,然后在 nginx 配置文件中添加以下指令: ``` ssl_client_certificate /path/to/ca-certificates.pem; ssl_verify_client on; ``` 此配置会将 CA 证书添加到 nginx 的信任列表中,并启用客户端证书验证。 4. 重新加载 nginx:在您修改了 nginx 配置文件后,必须重新加载 nginx 才能使更改生效。可以使用以下命令重新加载 nginx: ``` sudo nginx -s reload ``` 这样,您就可以在 nginx 上成功配置 SSL 信任证书了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值