nginx实现双向认证

最新推荐文章于 2024-05-28 17:22:23 发布
最新推荐文章于 2024-05-28 17:22:23 发布
阅读量4.7k 收藏 15
点赞数
分类专栏: 笔记 文章标签: nginx 服务器 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41937509/article/details/126958670
版权

1. 创建根证书

#创建根证书私钥:
openssl genrsa -out root.key 1024

#创建根证书请求文件:
openssl req -new -out root.csr -key root.key
#创建根证书:
openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650
  • 证书的Common Name可填写为 root . 所有客户端和服务器端的证书这个字段需要填写域名或者ip,一定要注意的是,根证书的这个字段和客户端证书、服务器端证书不能一样
  • 其他所有字段的填写,根证书、服务器端证书、客户端证书需保持一致
  • 无用项可以选择直接回车跳过

最终得到:

  • root.crt : 签名有效期为10年的根证书
  • root.key: 根证书私钥文件
  • root.csr: 根证书请求文件

后面我们可以用这个根证书去颁发服务器证书和客户端证书

2. 根据根证书创建服务端证书

#生成服务器端证书私钥:
openssl genrsa -out server.key 1024

#生成服务器证书请求文件,过程和注意事项参考根证书,本节不详述:
openssl req -new -out server.csr -key server.key

#生成服务器端公钥证书
openssl x509 -req -in server.csr -out server.crt -signkey server.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

通过上面的三个命令,我们得到:

server.key:服务器端的秘钥文件
server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成
root.srl: CA签发证书的序列号记录文件,全名是 root.Serial 。
server.csr : 服务端证书请求文件(请求证书时使用, 后续配置无用)

3. 根据根证书创建客户端证书

需要注意的是, 可以生成多个客户端证书, 只需安装下面1-4步重新生成即可

#生成客户端证书秘钥:
openssl genrsa -out client.key 1024

#生成客户端证书请求文件,过程和注意事项参考根证书,本节不详述:
openssl req -new -out client.csr -key client.key

#生客户端证书
openssl x509 -req -in client.csr -out client.crt -signkey client.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

#生客户端p12格式证书,需要输入一个密码,选一个好记的,比如123456
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

重复使用上面的三个命令,我们得到:

client.key:客户端的私钥文件
client.crt:有效期十年的客户端证书,使用根证书和客户端私钥一起生成
client.p12:客户端p12格式,这个证书文件包含客户端的公钥和私钥,主要用来给浏览器或postman访问使用
clinet.csr : 客户端证书请求文件(请求证书时使用, 后续配置无用)
 

4. nginx配置

server {
        listen       443 ssl;
        server_name  www.yourdomain.com;# 无域名可填写ip
        ssl                  on;  
        ssl_certificate      /data/sslKey/server.crt;  #server公钥证书
        ssl_certificate_key  /data/sslKey/server.key;  #server私钥
        ssl_client_certificate /data/sslKey/root.crt;  #根证书,可以验证所有它颁发的客户端证书
        ssl_verify_client on;  #开启客户端证书验证  

		# 反向代理eg: 作用是通过https(443端口)访问, 则会直接去请求本机的8991端口
		 location / {
           	proxy_pass http://127.0.0.1:8991/;
    		  }

		
        #location / {
        #    root   html;
        #    index  index.html index.htm;
        # }
    }

注意:

配置的主要内容是配置了服务器端证书的公钥私钥以及根证书的公钥, 并且ssl_verify_client 参数设置为 on

如果客户端证书不是由根证书直接颁发的,配置中还需要加一个配置:ssl_verify_depth 1;

配置完成后,通过nginx -s reload 令配置文件重新加载, 无需重启

如果手里面只有通过正规途径申请下来的证书(而不是上面自签证做法), 得到的证书如下面所示, 这里只有服务端证书而没有服务端和根证书, 所以仍需要我们以自签证的方式生成根证书以及客户端证书

访问测试

访问方式1:curl带证书访问

   curl --cert ./client.crt --key ./client.key https://xxx.xxx.com -k

访问方式2:postman

1.在设置General中先把SSL certificate verification关掉

在这里插入图片描述

 2.可以Certificates中配置p12文件,p12文件可以认为是一对公私钥的合体文件, 同时也要配置p12文件的密码。注意这里的地址和端口要与实际的一致,否则请求时会认证失败。

在这里插入图片描述

 3.也可以在Certificates中配置客户端公私钥证书。无需配置密码

在这里插入图片描述

 

你飞哥也编程了
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx双向认证
qq_34823218的博客
07-27 1267
对于 NGINXHTTPS 配置,通常情况下我们只需要实现服务端认证就行,因为浏览器内置了一些受信任的证书颁发机构(CA),服务器端只需要拿到这些机构颁发的证书并配置好,浏览器会自己校验证书的可用性并通过 SSL 进行通讯加密。 但特殊情况下我们也需要对客户端进行验证,只有受信任的客户端才能使用服务接口,此时我们就需要启用双向认证来达到这个目的,只有当客户端请求带了可用的证书才能调通服务端接口。 前期的准备工作: 安装openssl和nginxhttps模块 cd ~/ mkdir ..
nginx双向认证客户端配置
yabbyyabby的专栏
09-24 947
公司要我用nginx做一个https双向认证,给了我证书,也是研究了几天才研究出来,把源码贴出来让大家伙参考一下: ---------------------------------------------------------------------------------------------------------------------------------------------
使用Nginx实现HTTPS双向验证的方法
09-30
主要介绍了使用Nginx实现HTTPS双向验证的方法,涉及到单向验证和双向验证的区别介绍,本文介绍的非常详细,具有参考借鉴价值,感兴趣的朋友一起学习吧
巧用 Nginx 快速实现 HTTPS 双向认证
qq_40907977的博客
08-05 922
1.原理 双向认证,顾名思义,客户端和服务器端都需要验证对方的身份,在建立 HTTPS 连接的过程中,握手的流程比单向认证多了几步。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。 1.1 单向认证流程 单向认证流程中,服务器端保存着公钥证书和私钥两个文件,整个握手过程如下: 1、客户端发
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1588
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
Nginx双向认证
weixin_44480960的博客
01-25 6571
Nginx双向认证 一、前言 参考链接 OPENSSL加密DSA,RSA介绍 客户端默认是相信权威CA机构的,操作系统内置了CA证书。 说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。 centos操作系统中被信任的证书一般在此文件中 cat /etc/pki/tls/certs/ca-bundle.crt 我们可以查看一下访问百度的一个通信过程 curl -v https://www.b
nginx 配置 https双向认证
CheerTan is here
10-11 1994
注意事项 配置双向认证,这里的common name需要都配置成不同 nginx 配置 https双向认证 1.准备工作 linux环境安装openssl 2.生成证书步骤 1.新建一个文件夹 mkdir /root/keys 2.生成CA私钥 ca.key openssl genrsa -out ca.key 4096 3.生成ca的数字证书 ca.crt openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Co
SSL双向认证-Nginx配置
localhost
09-14 830
3.浏览器添加证书,在浏览器设置里找到SSL证书,导入client.p12证书,再次访问后选择证书即可访问。Nginx配置适用于前端项目或前后端都通过Nginx转发的时候(此时可不配置后端启用双向认证)SSL双向认证需要CA证书,开发过程可以利用自签CA证书进行调试验证。
Nginx配置ssl双向认证(精简!好文章!)
HD243608836的博客
02-04 4136
最近在搞ssl双向认证的任务,需要在本地调测,所以就使用自己生成的CA来生成证书。 这里只说如何配置双向认证双向认证的概念就不说了。 具体看如下链接:https://www.jianshu.com/p/fb5fe0165ef2 CA与自签名 # 制作CA私钥 openssl genrsa -out ca.key 2048 # 制作CA公钥/根证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # Common Name 随意填写
Nginx配置https双向认证
CyborgLin的博客
09-01 4234
https双向认证原理: 网上查询很多文章,按照他们的步骤下来到最后都是失败的,然后摸索了3天终于搞定,记录下来,希望帮助到其他小伙伴。 一.生成自签名根证书 创建根证书私钥: openssl genrsa -out root.key 1024 创建根证书请求文件: openssl req -new -out root.csr -key root.key ############注意############## 根证书的Common Name填写root就可以,根证书的这个字段和.
Nginx+SSL实现双向认证的示例代码
09-30
主要介绍了Nginx+SSL实现双向认证的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** ...通过遵循上述步骤,你可以在Nginx上成功地配置SSL双向认证实现更高的安全性和隐私保护。但请注意,这仅适用于那些对安全性有较高要求的场景,对于普通网站,单向认证通常是足够的。
nginx实现http双向验证.docx
04-26
配置 Nginx实现双向验证: 1. 生成 CA 根证书和私钥,以及服务器证书和私钥。 2. 使用 CA 根证书签署客户端证书。 3. 配置 Nginx 配置文件,指定服务器证书、私钥和客户端 CA 证书路径。 4. 重启 Nginx 服务以...
(转)为 Ingress-nginx 配置双向认证(mtls)
senlin1202的博客
05-15 810
这种格式可以保存证书和私钥,有时我们也把PEM 格式的私钥的后缀改为 .key 以区别证书与私钥。相信 tls 大家都比较熟悉,就是 server 端提供一个授信证书,当我们使用 https 协议访问server端时,client 会向 server 端索取证书并认证(浏览器会与自己的授信域匹配或弹出不安全的页面)。Java Key Storage,很容易知道这是 JAVA 的专属格式,利用 JAVA 的一个叫 keytool 的工具可以进行格式转换。这就说明服务端认为我们是不可信的,因为没有携带证书。
https 通过nginx完成双向认证转发
qq_38342645的博客
05-30 1173
服务端证书(server.client server.key)客户端证书(client.client client.key)具体可以看看这篇文章。
https双向认证
热门推荐
u014644574的博客
08-07 1万+
https双向认证
双向证书认证
qq_41928621的博客
06-18 803
1双向认证过程:从图中可知,整个双向认证的流程需要六个证书文件:服务器端公钥证书:server.crt服务器端私钥文件:server.key根证书:root.crt客户端公钥证书:client.crt客户端私钥文件:client.key客户端集成证书(包括公钥和私钥,用于浏览器访问场景):client.p12证书生成的内在逻辑示意图:2、证书生成流程。
SSL双向认证与单向认证
m0_51514815的博客
05-29 4886
参考:https://www.cnblogs.com/bluestorm/p/10571989.html整理双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书。
docker nginx openssl双向认证
08-04
Docker是一个开源的轻量级虚拟化平台,可以帮助用户打包、分发和运行应用程序以及其依赖项,使得应用程序在不同的环境中具备可移植性和一致性。 Nginx是一个高性能的开源HTTP服务器和反向代理服务器,可以用于处理静态和动态内容,支持高并发和负载均衡。 OpenSSL是一个开放源代码的软件库,用于实现安全的套接字层(SSL)和传输层安全(TLS)协议,提供了加密和认证机制,用于保护网络通信的安全性。 双向认证是指在客户端和服务器之间建立安全通信时,双方都需要验证对方的身份。在Docker环境中使用Nginx和OpenSSL实现双向认证可以提高通信的安全性。 首先,需要生成证书和私钥。可以使用OpenSSL生成自签名的证书和私钥,其中私钥用于签署证书,并使用公钥加密通信。 然后,将生成的证书和私钥加载到Docker容器中的Nginx配置文件中。在Nginx配置文件中,需要配置SSL证书和私钥的路径,并启用SSL功能。 接下来,需要配置Nginx双向认证。在Nginx配置文件中,需要指定客户端验证的方式为ssl_verify_client,并设置为on。这样Nginx会要求客户端提供证书进行认证。 最后,需要在客户端上生成证书和私钥,并将证书加入到操作系统的信任列表中。客户端发起请求时,Nginx会验证客户端提供的证书和私钥。 使用Docker、Nginx和OpenSSL实现双向认证可以确保服务器和客户端之间的通信安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值