通过Nginx搭建HTTPS双向认证代理

最新推荐文章于 2024-07-24 10:52:21 发布
最新推荐文章于 2024-07-24 10:52:21 发布
阅读量2.5k 收藏 5
点赞数 1
分类专栏: Network 文章标签: ssl openssl https nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lv_victor/article/details/108406370
版权

一、Nginx双向认证配置:

在 Nginx.conf 增加如下 server 配置,或者在 Nginx.conf 指定读取其他子配置文件的位置,比如:include /etc/nginx/conf.d/*.conf,这里指定扫描并读取 /etc/nginx/conf.d/ 目录下的 .conf 后缀结尾的文件。

sslProxy.conf:

server {
        listen       55111 ssl;
        server_name  11.11.11.111;

        #ssl_certificate:配置服务器证书的pub_key全路径(.pem/.crt/.cer),此证书在单向认证中发给客户端,客户端自己寻找完整证书链进行校验
        
        ssl_certificate /home/victor_lv/ssl/server.crt;

        #ssl_certificate_key:配置服务端密钥对证书全路径(.key),需与ssl_certificate配套
        ssl_certificate_key  /home/victor_lv/ssl/server.key;

        #ssl_client_certificate:配置客户端证书链(根证书和中间证书)-双向认证时使用,会带到Distinguished Names(.pem/.crt/.cer)
        ssl_client_certificate /home/victor_lv/ssl/cacert.pem;
        
        #ssl_trusted_certificate /home/cu_expws/langlv/ssl/merge_cfca_ev_roo_ov_oca_pm.crt;

        # 启用双向认证
        ssl_verify_client on;

        ssl_session_cache    shared:SSL:1m;

        # 超时时间
        ssl_session_timeout  5m;

        # 支持的密码套件列表
        ssl_ciphers  HIGH:!aNULL:!MD5;
        #ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;


        # 优先选用server端的密码套件
        ssl_prefer_server_ciphers  on;


        #反向代理
    location / {
        proxy_pass  http://172.22.22.22:11000/testapp/;
     }
}

ssl_certificate 配的是服务器证书的 pub_key(.cer / .crt / .pem格式都行);
ssl_certificate_key 配的是服务器证书的 pri_key(.key 文件);
ssl_client_certificate 配的是客户端签名证书对应的上级证书(根证书、中间证书),如果证书链深度不止2,那么把根证书和中间证书 merge 一下再配进去就好了,merge 的方式很简答,直接cat 重写到新文件即可:

cat root.crt middle.crt > merge_root_middle.crt

配置文件配好后,执行 nginx -s reloadnginx -t 重新刷入Nginx配置。

然后客户端访问 url https://11.11.11.111:11000/testapp/ 即可。

二、单向认证

如果仅需要单向认证,把 ssl_verify_client 置成 false 即可,然后 ssl_client_certificate 也可以不写了。

三、keytool命令查看pfx证书信息

利用 JDK 自带的 keytool 命令行可以查看 pfx 证书信息(pfx如果先前挂了完整证书链信息也能展示出来)。

keytool -list -v -keystore client.pfx -storetype PKCS12  -storepass 111111

示例如下:

>keytool -list -v -keystore client.pfx -storetype PKCS12  -storepass 111111

密钥库类型: PKCS12
密钥库提供方: SunJSSE

您的密钥库包含 1 个条目

别名: {5a4a5dae-6f84-47f6-a2f3-e9bba0cf9d94}
创建日期: 2020-9-3
条目类型: PrivateKeyEntry
证书链长度: 3
证书[1]:
所有者: CN=xxxxxx, OU=Enterprises, OU=CUPRA, O=CFCA OCA1, C=cn
发布者: O=CFCA OCA1, C=CN
序列号: 111111111
有效期开始日期: Thu Nov 02 16:15:00 CST 2017, 截止日期: Mon Nov 02 16:15:00 CST 2020

证书[2]:
所有者: O=CFCA OCA1, C=CN
发布者: O=CFCA CS CA, C=CN
序列号: 222222
有效期开始日期: Sat May 21 01:41:24 CST 2011, 截止日期: Fri May 16 01:41:24 CST 2031

证书[3]:
所有者: O=CFCA CS CA, C=CN
发布者: O=CFCA CS CA, C=CN
序列号: 3333333
有效期开始日期: Fri May 20 23:27:05 CST 2011, 截止日期: Sun May 12 23:27:05 CST 2041

四、生成证书链jks文件

在这里插入图片描述在这里插入图片描述在这里插入图片描述
jks文件生成后还需要加入到信任列表: 用jdk自带keytool工具将 JKS 证书链添加到信任列表中:

C:\Java\jdk1.4.2\bin\keytool -import -alias cer2020 -file root.cer
-keystore myTrust.jks -storepass 111111

也可以用Java代码用如下代码导入JVM环境变量中:

System.setProperty("javax.net.ssl.trustStore",TruststoreFilePath);

从jks文件中导出公钥证书:

keytool -export -alias cer2020 -keystore myTrust.jks -storepass 111111 -file
root.cer

五、生成自签发证书

在要生成证书的目录下建立几个文件和文件夹,有./demoCA/ ./demoCA/newcerts/ ./demoCA/index.txt
./demoCA/serial,在serial文件中写入第一个序列号“01”
1.生成X509格式的CA自签名证书
$openssl req -new -x509 -keyout ca.key -out ca.crt
2.生成服务端的私钥(key文件)及csr文件
$openssl genrsa -des3 -out server.key 1024
$openssl req -new -key server.key -out server.csr
3.生成客户端的私钥(key文件)及csr文件
$openssl genrsa -des3 -out client.key 1024
$openssl req -new -key client.key -out client.csr
4.用生成的CA的证书为刚才生成的server.csr,client.csr文件签名
$openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key
$openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key
5.生成p12格式证书
$openssl pkcs12 -export -inkey client.key -in client.crt -out client.pfx
$openssl pkcs12 -export -inkey server.key -in server.crt -out server.pfx
6.生成pem格式证书
有时需要用到pem格式的证书,可以用以下方式合并证书文件(crt)和私钥文件(key)来生成
$cat client.crt client.key> client.pem
$cat server.crt server.key > server.pem
7.PFX文件转换为X509证书文件和RSA密钥文件
$openssl pkcs12 -in server.pfx -nodes -out server.pem
$openssl rsa -in server.pem -out server2.key
$openssl x509 -in server.pem -out server2.crt
这样生成服务端证书:ca.crt, server.key, server.crt, server.pem, server.pfx,客户端证书:ca.crt,
client.key, client.crt, client.pem, client.

六、验证证书链签发关系:

验证证书链签发关系 ,这里的 merge_ev_root_ov_oca.crt 合并了根证书和中间证书:

openssl verify -CAfile merge_ev_root_ov_oca.crt server.crt
Victor _Lv
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过的,openssl 会自动的去找中级 CA 的签发者一层层验证上去,直到找到根。 因此,在实际使用的时候,需要注意一下两点: CA 文件中必须同时存在 中级 CA 和 根 CA,必须构成完整证书链,不能少任何一个; 默认的验证深度 SslVerifyDepth ssl_verify_depth 是 1,也就是说只要是中级
nginx之proxy_pass代理后端https请求完全拆解
weixin_34278190的博客
08-19 2202
2019独角兽企业重金招聘Python工程师标准>>> ...
Nginx HTTPS反向代理,开启SNI,proxy_ssl_server_name 和proxy_ssl_name介绍
最新发布
zzhongcy的专栏
07-24 681
Nginx作用反向代理与上游服务器使用HTTPS建连时,默认不启用SNI,使用参数启用;默认不验证上游服务器返回的证书,使用开启上游证书验证后Nginx会使用配置文件中指定的CA验证上游服务器返回证书的合法性,同时也会比对证书中的CommonName信息。
nginx(六十八)proxy模块(八)nginx与上游的ssl握手
wzj_110的博客
11-27 4218
对上游使用证书(指定自身使用的证书)的SSL/TLS握手。nginx与后端选择。nginx作为客户端。④ 验证上游的证书。
Nginx反向代理,当后端为Https时的一些细节和原理
赶路人儿
11-08 9982
Nginx反向代理,当后端为Https时的一些细节和原理
nginx配置反向代理验证ssl证书 双向认证
weixin_45548465的博客
05-15 6128
适用于公司内部一些业务系统对安全性要求比较高,业务系统只允许公司内部人员访问,而且要求浏览器要安装证书登录,对公司入职有需求的人员开通证书,流失的人员注销证书。 修改openssl配置参数 vim /etc/pki/tls/openssl.cnf 下面只列出配置文件中和自建CA有关的几个关键指令 dir=/etc/pki/CA #CA的工作目录 database=$dir/index.txt #签署证书的数据记录文件,下面会生成index这个文件 new_certs_dir=$dir/n
Nginx https反向代理502错误,proxy_ssl_server_name、proxy_ssl_verify
zzhongcy的专栏
08-10 6316
Nginx作用反向代理与上游服务器使用HTTPS建连时,默认不启用SNI,使用参数启用;默认不验证上游服务器返回的证书,使用开启上游证书验证后Nginx会使用配置文件中指定的CA验证上游服务器返回证书的合法性,同时也会比对证书中的CommonName信息。
linux nginx双向认证服务搭建
02-13
通过上述步骤,我们不仅完成了JDK的安装,而且还详细介绍了如何在Linux环境下搭建基于Nginx双向认证服务,并结合Tomcat实现了SSL加密。这种配置不仅可以提高Web应用的安全性,还能为用户提供更加可靠的服务体验。...
nginx-1.8.0.rar
03-27
总之,"nginx-1.8.0.rar" 提供的资源可能用于在服务器上搭建和配置 Nginx 1.8.0,通过其高效性能和多种功能与 Java 应用服务器协同工作,构建稳定、高性能的 Web 系统。在实际部署时,用户需要根据具体需求配置 ...
使用 Vue 和 Flask 搭建前后端分离的 RESTful 个人博客.zip
03-03
- **后端部署**:Flask 应用可以运行在 Gunicorn 或 uWSGI 上,再通过 Nginx 做反向代理。 在这个项目中,开发者需要掌握 Vue.js 的基本使用,理解 RESTful API 设计原则,熟悉 Flask 的基本操作,以及了解前后端...
毕业设计-SpringCloud搭建类似抖音视频直播流媒体平台+微信小程序源代码
03-01
这个项目的核心在于利用先进的技术栈来提供稳定、高效的视频流服务,并且通过微信小程序提供便捷的移动端用户体验。 **SpringCloud简介** SpringCloud是一个基于Spring Boot的微服务开发工具集,它为开发者提供了在...
3gRPC.rar3gRPC.rar3gRPC.rar
04-22
2. nginx-1.17.8.zip:这是一个Nginx服务器的版本1.17.8的压缩包,Nginx是一个流行的反向代理服务器,常用于负载均衡和缓存,可以与gRPC结合使用,提供高性能的服务网关功能。 3. nginx-1.17.8:解压后的Nginx服务器...
Nginx---反向代理,SSL支持
m0_53157173的博客
10-27 3076
NginxNginx反向代理Nginx实现正向代理Nginx反向代理的配置语法proxy_pass指令大家在编写proxy_pass的时候,后面的值要不要加"/"?proxy_set_header指令---向服务端发送客户端的ip等$http_xxx获取请求头中自定义xxx的值proxy_redirect指令小细节,注意 '/'该指令的几组选项Nginx反向代理实战1.如果服务器1、服务器2和服务器3的内容不一样,那我们可以根据用户请求来分发到不同的服务器。2.如果服务器1、服务器2和服务器3的内容是一样
nginx中配置ssl双向认证详解
远玖的博客
11-16 8257
nginx中配置ssl双向认证详解 需求说明:公司内部一些业务系统对安全性要求比较高,例如mis、bi等,这些业务系统只允许公司内部人员访问,而且要求浏览器要安装证书登录,对公司入职有需求的人员开通证书,流失的人员注销证书。 一、首先修改openssl配置的参数  ##没安装openssl需要先安装 vim  /etc/pki/tls/openssl.cnf #下面只列出配置文件中和自建C
Nginx配置带证书代理https
虫虫的博客
05-24 1242
nginx.conf同级目录下创建文件夹ssl,用来放置证书,把访问对方需要的证书上传到ssl文件夹下,若证书是pem或cer在nginx.conf加上证书即可;然后重新启动nginx,即可通过访问此台服务器/xxx路由访问到https://xxx.com上。
【07】NginxSSL
屹想天开
05-25 1430
nginx ssl
nginx配置https正向代理
huryer的专栏
04-15 4868
因网络访问权限限制,局域网内仅有1台电脑可以上外网;内网其他机器如果需要访问外网,需要通过该电脑进行代理访问。 本文分别介绍如何在windows,linux上如何配置nginx正向代理
nginx:对上下游使用SSL连接
error311的博客
06-27 2919
对下游使用证书 1.ssl_certificate 指令 语法:ssl_certificate file; 默认:空 放置位置:http,server 2.ssl_certificate_key 指令 语法:ssl_certificate_key file; 默认:空 放置位置:http,server 验证下游证书 1.ssl_verify_client 指令 语法:ssl_verify_client on | off | ...
巧用 Nginx 快速实现 HTTPS 双向认证
easylife206的专栏
08-03 6023
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !研究 HTTPS双向认证实现与原理,踩了不少坑,终于整个流程都跑通了,现在总结出一篇文档来,把一些心...
nginx https双向认证
12-01
以下是nginx https双向认证的步骤: 1.生成自签名证书 使用openssl命令生成自签名证书,其中需要设置证书的common name为服务器的域名或IP地址,同时需要设置证书的扩展属性为客户端认证: ```shell openssl req -newkey rsa:2048 -nodes -keyout server.key -x509 -days 365 -out server.crt -subj "/CN=<server_ip_or_domain>" -addext "subjectAltName = DNS:<server_ip_or_domain>" -addext "extendedKeyUsage = clientAuth" ``` 2.配置nginxnginx的配置文件中添加以下内容: ```nginx server { listen 443 ssl; server_name <server_ip_or_domain>; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; ssl_client_certificate /path/to/client.crt; ssl_verify_client on; location / { # your server configuration } } ``` 其中,`ssl_client_certificate`指定客户端证书的路径,`ssl_verify_client on`开启客户端认证。 3.导入客户端证书 将生成的客户端证书分发给客户端,并在客户端的浏览器中导入证书。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值