Nginx配置双向认证以及证书文件的制作流程

最新推荐文章于 2024-07-23 07:21:18 发布
最新推荐文章于 2024-07-23 07:21:18 发布
阅读量1.9k 收藏 9
点赞数 4
分类专栏: 个人总结 nginx 文章标签: nginx linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36258498/article/details/120195189
版权

Nginx配置双向认证以及证书文件的制作流程

ssl协议

  • ssl协议在传输过程中使用了对称加密和非对称加密的方式

  • 对称加密使用的是相同的秘钥进行加密,有加密速度快的特点

  • 非对称加密使用的则是秘钥对(公钥和私钥)的方式进行加密,相对对称加密的单秘钥拥有更加安全的特点,但是缺点就是加密速度慢

证书格式之间的问题

  • CRT:crt意为certificate的简略写法,也就是证书的意思

  • KEY:key格式的文件为秘钥,也可以有PEM和DER格式的,都为秘钥文件

  • CSR:csr文件为证书签名请求文件,该文件可以理解为公钥,同时生成该文件的时候需要定义国家组织机构和域名等信息

一 .制作CA证书

1.生成CA的私钥

openssl genrsa -out ca.key 4096

生成ca.key

2.通过CA私钥来生成CA证书

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

生成CA证书文件ca.crt

其中需要填写一些信息,国家信息,省份,公司或机构名称,常用名称img

二 .制作服务端证书

1.生成服务端私钥

openssl genrsa -out server.key 4096

2.生成服务端的证书请求文件(CSR)

openssl req -new -key server.key -out server.csr

其中也需要添加一些组织机构信息,这里需要注意的是,这里的Common Name如果服务器使用的是域名访问就一定要填写域名,如果是ip就要写对应的ip地址,其余的信息可以为空img

3.使用CA签发的证书和私钥生成服务端证书文件(CRT)

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650

–ps 如果不加days参数,默认证书的有效期为一个月

–这样服务端所需的相关文件就生成完毕了

三 .制作客户端证书

1.生成客户端秘钥

openssl genrsa -out client.key 4096

2.生成客户端的请求文件

openssl req -new -key client.key -out client.csr

同理,这里面也需要配置一些参数,这里的组织和Common Name可以根据客户端来自行设置img

3.使用CA证书和秘钥签名生成客户端证书

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365

完成上面的步骤之后,我们当前文件夹下就会有这些文件,接下来就要对这些文件进行配置img

四.服务端证书配置

由于要配置ssl,所以nginx需要加载https的相关模块

nginx文件配置

server {
        listen 5443 ssl;   #端口号,改成需要的
        server_name 114.96.103.22;   # 对外暴露的服务地址
        ssl_certificate    /opt/nginx/keys/server.crt;    #     crt文件
        ssl_certificate_key    /opt/nginx/keys/server.key; # key文件
        ssl_protocols    TLSv1.2 TLSv1;
        ssl_verify_client      on; #开启双向认证
        ssl_verify_depth 2;
         ssl_client_certificate /opt/nginx/keys/ca.crt;
        location /test {
                default_type text/html;
            return 200 "success"; #  //要反向代理的服务地址
        }
}

  • 这里需要注意的是双向认证的配置项,如果要开启的话则还必须要配置ca.crt 也就是ca证书,否则无法启用

  • 同时在开启双向认证后,在客户端不携带证书访问服务端时就会报400错误,如果不开启双向认证,客户端可以正常访问服务端,只是会出现证书不受信任的安全提示

五.客户端证书配置和请求配置

  • 当配置了双向认证之后,客户端访问需要携带证书所以客户端需要进行配置

1.当客户端为命令行时

  • 当不携带证书访问时为400img

  • 携带证书访问,可以看到响应为200img

  • 当为单向认证的时候可以通过curl -v -k https://xxx.xxxx.xxx/xx 命令忽略证书请求

2.当客户端为nginx时

  • 当我们通过nginx去访问另一个双向认证的地址时候就需要在nginx的请求中携带证书,具体配置如下img

  • 然后通过本地的端口去访问服务器,可以发现也是可以访问成功的img

3.客户端为浏览器时

  • 最后就是通过浏览器来访问我们的服务端了,浏览器访问首先需要对客户端证书进行一下转换,将key和crt转换为p12格式的证书,可供浏览器直接安装

  • openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12img

  • 当进行证书转化的时候会提示输入客户端的密码,这里可以不输入,这样在导入时候也可以直接回车不进行输入。如果在这里输入了密码,在导入的时候也要输入对应的密码才能进行导入img

  • 导入之后即可查看证书img

  • 测试访问服务端,一切okimg

星空茶
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
nginx SSL双向认证
zhangyunpengchang的专栏
07-05 1053
一.建立证书授权中心 1.检查是否已经安装openssl #which openssl /usr/bin/openssl 2.创建CA目录 #mkdir /usr/local/nginx/conf/ssl 3.生成私钥 #cd /usr/local/nginx/conf/ssl #echo 01 | tee ca.srl #openssl genrsa -des3 -out ca-
Nginx单向认证双向认证安装配置
liucy007的博客
01-31 1840
1.Nginx单向认证的安装配置 参考 https://www.cnblogs.com/zhoulf/p/4040015.html?tdsourcetag=s_pcqq_aiomsg 补充 Nginx.config配置文件 upstream server_pool { server 10.110.26.78:8080; } server { listen 4...
Nginx配置SSL自签名证书的方法
09-30
主要介绍了Nginx配置SSL自签名证书的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
使用openssl生成根证书和服务器证书
xwupiaomiao的博客
09-25 394
1、生成服务器私钥 openssl genrsa -out server.key 2048 2、根据服务器私钥文件生成证书请求文件,这个文件中会包含申请人的一些信息,所以执行下面这行命令过程中需要用户在命令行输入一些用户信息,随便填写,一路回车即可 openssl req -new -key server.key -out server.csr You are about to be as...
怎样在 Nginx配置基于请求客户端证书的访问控制?
最新发布
2401_86074221的博客
07-23 687
通过在 Nginx配置基于请求客户端证书的访问控制,我们为网络服务增添了一层强大的安全防护。就像为我们的城堡筑起了高高的城墙,让不法之徒难以入侵。随着网络安全威胁的不断变化和发展,我们需要不断学习和更新我们的安全策略。Nginx 也在不断发展和改进,未来可能会提供更强大、更灵活的访问控制功能,我们要紧跟技术的步伐,为我们的网络世界打造一个坚不可摧的堡垒。希望这篇文章能够帮助您成功地在 Nginx配置基于请求客户端证书的访问控制,让您的网络服务更加安全可靠。
Nginx配置https双向认证
热门推荐
happyzhang的Blog
11-20 1万+
1.      前期的准备工作: 安装openssl和nginx的https模块 cd  ~/ mkdir ssl cd ssl mkdir demoCA cd demoCA mkdir newcerts mkdir private touch index.txt echo '01' > serial 2.      制作CA证书(这个是信任的起点,根证书,所有其他的证书都要
nginx 配置 https的双向认证
CheerTan is here
10-11 2066
注意事项 配置双向认证,这里的common name需要都配置成不同 nginx 配置 https的双向认证 1.准备工作 linux环境安装openssl 2.生成证书步骤 1.新建一个文件夹 mkdir /root/keys 2.生成CA私钥 ca.key openssl genrsa -out ca.key 4096 3.生成ca的数字证书 ca.crt openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Co
nginx 配置 https双向认证
BingHongChaZuoAn的专栏
07-04 829
参考文章: https://blog.csdn.net/xiangguiwang/article/details/76400805 https://blog.csdn.net/qq_37049781/article/details/84837342 一、首先证书的概念。 X.509证书,其核心是根据RFC 5280编码或数字签名的数字文档。 X.509 DER 编码(ASCII)的后缀是...
nginx双向认证客户端配置
yabbyyabby的专栏
09-24 960
公司要我用nginx做一个https双向认证,给了我证书,也是研究了几天才研究出来,把源码贴出来让大家伙参考一下: ---------------------------------------------------------------------------------------------------------------------------------------------
Nginx+SSL实现双向认证的示例代码
09-30
以下将详细介绍Nginx配置SSL双向认证的全过程,包括相关命令的使用和配置文件的编写。 首先,需要创建一个工作目录用于存放证书文件。命令如下: ``` cd /etc/nginx mkdir ssl cd ssl ``` 接下来,需要创建证书...
使用Nginx实现HTTPS双向验证的方法
09-30
Nginx中开启SSL/TLS支持并设置双向验证,需要在配置文件中指定服务器端证书和私钥的路径,同时启用SSL/TLS的客户端证书验证功能,配置服务器信任的CA证书文件,以验证客户端证书的合法性。 关于HTTPS握手过程,...
nginx双向认证
qq_34823218的博客
07-27 1280
对于 NGINX 的 HTTPS 配置,通常情况下我们只需要实现服务端认证就行,因为浏览器内置了一些受信任的证书颁发机构(CA),服务器端只需要拿到这些机构颁发的证书配置好,浏览器会自己校验证书的可用性并通过 SSL 进行通讯加密。 但特殊情况下我们也需要对客户端进行验证,只有受信任的客户端才能使用服务接口,此时我们就需要启用双向认证来达到这个目的,只有当客户端请求带了可用的证书才能调通服务端接口。 前期的准备工作: 安装openssl和nginx的https模块 cd ~/ mkdir ..
浅谈基于openssl的多级证书,Multi-level CA的签发和管理,以及双向认证
m0_38084180的博客
04-21 4156
最近在研究openssl签发证书,在网上搜索关于openssl的用法、资料等等,总觉得非常分散,而且讲得比较浅,文章虽然不少,但是缺少真正能给你讲的明白得,仅停留在“能用”上,感慨一下,这怎么行,到底是大家也不明白还是秘而不宣呢? 前期建议简单了解下: tls的概念、单向认证双向认证过程和区别、数字证书CA机构的角色、openssl 1、你是否需要多层证书? 这里面有两个核心的问题: a、你是否需要双向认证? 我见过的商业案例,客户公网访问某个服务,直接自己签发一个证书,放在服务端,客户ht
服务器利用nginx配置HTTPS
weixin_43746302的博客
12-14 187
服务器配置HTTPS全过程 使用nginx为服务器配置HTTPS全过程 HTTPS,是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 配置HTTPS就需要证书,关于证书方面不做过多解释,只介绍大概情况 : 证书通过权威的CA机构付费获得的证书才能被互联网承认,我们将其放在服务器上面,配置好后,就可以进行https通信了。 可以打开百度,在地址前可以看到安全两个字,可以点击查看百度的服务器证书。 当然也可以自己给
Nginx双向认证
weixin_44480960的博客
01-25 6733
Nginx双向认证 一、前言 参考链接 OPENSSL加密DSA,RSA介绍 客户端默认是相信权威CA机构的,操作系统内置了CA证书。 说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。 centos操作系统中被信任的证书一般在此文件cat /etc/pki/tls/certs/ca-bundle.crt 我们可以查看一下访问百度的一个通信过程 curl -v https://www.b
nginx实现双向认证
qq_41937509的博客
09-20 4881
如果手里面只有通过正规途径申请下来的证书(而不是上面自签证做法), 得到的证书如下面所示, 这里只有服务端证书而没有服务端和根证书, 所以仍需要我们以自签证的方式生成根证书以及客户端证书配置的主要内容是配置了服务器端证书的公钥私钥以及根证书的公钥, 并且ssl_verify_client 参数设置为 on。如果客户端证书不是由根证书直接颁发的,配置中还需要加一个配置:ssl_verify_depth 1;server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成。
nginx配置ssl双向认证详解
cnhome的专栏
05-03 2697
nginx配置ssl双向认证详解修改openssl配置的参数使用openssl制作CA的自签名证书准备服务器端证书准备客户端证书nginx配置客户端证书格式转换撤销用户证书 [转自] (https://blog.csdn.net/yuanlin65/article/details/53187710) 需求说明:公司内部一些业务系统对安全性要求比较高,例如mis、bi等,这些业务系统只允许公司内...
SSL双向认证-Nginx配置
localhost
09-14 912
3.浏览器添加证书,在浏览器设置里找到SSL证书,导入client.p12证书,再次访问后选择证书即可访问。Nginx配置适用于前端项目或前后端都通过Nginx转发的时候(此时可不配置后端启用双向认证)SSL双向认证需要CA证书,开发过程可以利用自签CA证书进行调试验证。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值