nginx国密证书(gmssl)安装

于 2024-04-25 15:10:37 发布
阅读量364 收藏 5
点赞数 3
分类专栏: JavaScript 文章标签: nginx 运维 密码学 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44877496/article/details/138184055
版权

nginx国密证书(gmssl)安装

安装前准备

环境: centos7 1810
安装包下载地址:https://download.csdn.net/download/weixin_45548465/87512505
本文档基于此安装包安装
安装编译包依赖:

yum install -y vim lrzsz tree screen psmisc lsof tcpdump wget ntpdate gcc gcc-c++ glibc glibc-devel pcre pcre-devel openssl openssl-devel systemd-devel net-tools iotop bc zip unzip zlib-devel bash-completion nfs-utils automake libxml2 libxml2-devel libxslt libxslt-devel perl perl-ExtUtils-Embed

若目标机无法上网,无法执行yum,可通过手动下载安装包,rpm执行安装,部分rpm安装包如下
参考文档:https://blog.csdn.net/weixin_45548465/article/details/124913456

软件安装

GMSSL安装

  • 将安装包解压得到GmSSL-master.zip并上传到目标机器/root目录,执行命令
unzip /root/GmSSL-master.zip
cd GmSSL-master/
./config --prefix=/usr/local/gmssl
make -j4 && sudo make install
  • 查看是否安装成功
/usr/local/gmssl/bin/gmssl version

若提示找不到 libssl.so.1.1 库文件
建立软链接后解决,我的安装目录在/usr/local/gmssl下,执行以下命令,可以find搜索下库文件,libssl.so.1.1和libcrypto.so.1.1

ln -s /usr/local/gmssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/gmssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
ln -sv /usr/local/gmssl/bin/gmssl  /usr/sbin/

在执行版本查看,确保gmssl安装成功

编译安装nginx,openssl换成gmssl路径

  • 上传安装包,执行命令
tar xvf nginx-1.21.6.tar.gz -C /usr/local/
vim /usr/local/nginx-1.21.6/auto/lib/openssl/conf

将全部 $OPENSSL/.openssl/修改为 $OPENSSL/

	CORE_INCS="$CORE_INCS $OPENSSL/include"
    CORE_DEPS="$CORE_DEPS $OPENSSL/include/openssl/ssl.h"
    CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libssl.a"
    CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libcrypto.a"

cd /usr/local/nginx-1.21.6/
./configure --prefix=/apps/nginx \
--with-http_ssl_module \
--with-http_v2_module \
--with-http_realip_module \
--with-http_stub_status_module \
--with-http_gzip_static_module \
--with-pcre \
--with-stream \
--with-stream_ssl_module \
--with-stream_realip_module \
--with-openssl=/usr/local/gmssl

make -j4 &&sudo make install
  • 验证版本
ln  -sv  /apps/nginx/sbin/nginx  /usr/sbin
nginx -V

编辑主配置文件 在最后面 } 上面加上下面代码 让其支持以conf结尾的子配置文件

mkdir /apps/nginx/conf/conf.d
vim /apps/nginx/conf/nginx.conf
include  /apps/nginx/conf/conf.d/*.conf;
}

sm2证书生成

创建相关文件和目录

mkdir  /usr/local/gmssl/ssl/CA   ##存放ca证书及密钥和证书请求
mkdir /usr/local/gmssl/ssl/newcerts   ##存放新签署证书的目录
touch /usr/local/gmssl/ssl/index.txt    #签署证书的数据记录文件,下面会生成index这个文件
touch /usr/local/gmssl/ssl/serial     #新证书签署号记录文件下,下面会生成serial这个文件
touch /usr/local/gmssl/ssl/crlnumber        # 吊销证书用,下面会生成这个文件
echo '01' > /usr/local/gmssl/ssl/serial    #给文件一个初始号
echo '01' > /usr/local/gmssl/ssl/crlnumber   #给文件一个初始号

vim /usr/local/gmssl/ssl/openssl.cnf
dir             = /usr/local/gmssl/ssl/     ##修改默认工作目录
private_key     = $dir/CA/rootca.key          ##根ca私钥存放路径
certificate     = $dir/CA/rootcasm2.cer       ##根ca公钥存放路径

添加 [ v3enc_req ]参数

[ v3enc_req ]
basicConstraints = CA:FALSE
keyUsage = keyAgreement, keyEncipherment, dataEncipherment

生成证书,注意修改生成证书的组织及域名(根据检查机构要求修改,)

gmssl ecparam -genkey -name SM2 -out /usr/local/gmssl/ssl/CA/rootca.key
gmssl req -new -x509 -sm3 -key  /usr/local/gmssl/ssl/CA/rootca.key  -out  /usr/local/gmssl/ssl/CA/rootcasm2.cer -days 10000 -subj '/C=CN/O=HUB/OU=XINING_SM2'
gmssl ecparam -genkey -name SM2 -noout -out /usr/local/gmssl/ssl/CA/server.key
gmssl req -new -SM3 -key /usr/local/gmssl/ssl/CA/server.key -out /usr/local/gmssl/ssl/CA/server.csr -subj '/C=CN/O=HUB/OU=XINING_SM2/CN=www.test.com'
cd /usr/local/gmssl/ssl/CA/
gmssl x509 -req -SM3 -days 3650 -in server.csr -extfile ../openssl.cnf -extensions v3_req -CA rootcasm2.cer -CAkey rootca.key -set_serial 1000000001 -out server.cer
gmssl ecparam  -genkey -name SM2 -noout -out server_en.key
gmssl req -new -SM3 -key server_en.key -out server1.csr -subj '/C=CN/O=HUB/OU=XINING_SM2/CN=www.test.com'
gmssl x509 -req -SM3 -days 3650 -in server1.csr -extfile ../openssl.cnf -extensions v3enc_req -CA rootcasm2.cer -CAkey rootca.key -set_serial 1000002001 -out server_en.cer
gmssl ecparam -genkey -name SM2 -noout -out client.key
gmssl req -new -key client.key -out client.req -subj "/C=CN/O=HUB/OU=XINING_SM2/CN=client"
gmssl x509 -req -SM3 -days 3650 -in client.req -extfile ../openssl.cnf -extensions v3_req -CA rootcasm2.cer -CAkey rootca.key -CAcreateserial  -out client.cer
gmssl ecparam -genkey -name SM2 -noout -out client_en.key
gmssl req -new -key client_en.key -out client_en.req -subj "/C=CN/O=HUB/OU=XINING_SM2/CN=client"
gmssl x509 -req -SM3 -days 3650 -in client_en.req -CA rootcasm2.cer -extfile ../openssl.cnf -extensions v3enc_req -CAkey rootca.key -CAcreateserial  -out client_en.cer

nginx配置

  • 创建配置文件
vim  /apps/nginx/conf/conf.d/ssl.conf

修改配置文件,代理地址根据实际情况修改

server{
        listen 443 ssl;
        ssl_certificate /usr/local/gmssl/ssl/CA/server.cer;
        ssl_certificate_key /usr/local/gmssl/ssl/CA/server.key;
        ssl_certificate /usr/local/gmssl/ssl/CA/server_en.cer;
        ssl_certificate_key /usr/local/gmssl/ssl/CA/server_en.key;


        ssl_session_cache    shared:SSL:1m;  #开启缓存 大小1M
        ssl_session_timeout  5m;     # 指定客户端可以重用会话参数的时间(超时之后不可使用)
        
        #ssl_verify_client on;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECC-SM4-SM3:ECDHE-SM4-SM3:SM2-WITH-SMS4-SM3:ECDHE-SM2-WITH-SMS4-GCM-SM3:HIGH:!aNULL:!MD5:!RC4:!DHE;
        ssl_prefer_server_ciphers on;
        location / {
                proxy_pass   http://192.168.190.178:8080;
                proxy_redirect default;      
                  }
}
  • 启动nginx
nginx -c /apps/nginx/conf/nginx.conf
nginx -s reload

如果要代理多个服务,可以在conf.d目录下创建多个conf文件(格式为.conf), 如 ssl6002.conf
每个conf文件端口不可冲突。证书可以使用同一证书,也可以重新产生新的sm2证书,指定新的证书

还寝梦佳柒
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
nginx证书安装
07-09
nginx证书安装安装里面的相关介绍、步骤进行配置安装既可
nginx gmcurl gmssl
05-16
nginx in linux 32 with gmtls support 国密gmssl gmtls 支持的 nginx 在 linux 32 中可以用 gmcurl 与 360国密浏览器 都可以 支持
在Linux下安装GmSSL
热门推荐
百里杨的博客
01-08 1万+
在Linux下安装GmSSL一、关于GmSSL二、解决与系统OpenSSL冲突的问题三、GmSSL源码准备四、编译与安装GmSSL1、解压并进入目录2、编译选项3、编译4、安装5、配置环境变量 一、关于GmSSL GmSSL是一个开源的密码工具箱,支持SM2/SM3/SM4/SM9/ZUC等国密(国家商用密码)算法、SM2国密数字证书及基于SM2证书SSL/TLS安全通信协议,支持国密硬件密码设备,提供符合国密规范的编程接口与命令行工具,可以用于构建PKI/CA、安全通信、数据加密等符合国密标准的安全应
基于GmSSL搭建Nginx国密反向代理服务器
weixin_45548465的博客
05-22 4510
环境:centos7 1810 安装编译依赖包 yum install -y vim lrzsz tree screen psmisc lsof tcpdump wget ntpdate gcc gcc-c++ glibc glibc-devel pcre pcre-devel openssl openssl-devel systemd-devel net-tools iotop bc zip unzip zlib-devel bash-completion nfs-utils automake libxm
推荐开源项目:Nginx with GmSSLv3 - 加密安全的Web服务器增强版
最新发布
gitblog_00034的博客
04-01 309
推荐开源项目:Nginx with GmSSLv3 - 加密安全的Web服务器增强版 项目地址:https://gitcode.com/zxm256/Nginx-with-GmSSLv3 项目简介 Nginx with GmSSLv3 是一个基于知名Web服务器软件Nginx的定制版本,集成了GmSSLv3加密库。该项目的主要目的是提供一种更安全、兼容性更强的HTTPS解决方案,特别适用于需要支持...
GmSSL安装国密双证制作
qq_31539845的博客
11-30 1983
在使用openssl时,发现不支持国密协议,因此找了支持的GmSSL,自己编译安装
基于GmSSL搭建Nginx国密反代服务器
hlovefp的专栏
03-29 6492
Nginx+GmSSL搭建国密反代服务器
Nginx国密改造
qq_49081692的博客
05-31 2513
国密web服务器,国密nginxnginx国密国密改造
自动化脚本一键生成Nginx https证书证书格式为pem
11-12
说明: 1、一键生成Nginx https证书证书格式为pem 2、只需修改ip地址为当前环境的ip地址即可使用
keystoke证书转换nginx证书工具
05-18
keystoke证书转换nginx证书工具,jdk keytool.exe生成的.keystore格式证书通过他可以转换为.key、.pfx、.crt证书,用于配置https证书
使用shell脚本一键自动生产nginx https证书
08-04
原文链接:https://blog.csdn.net/m0_37814112/article/details/119391879?spm=1001.2014.3001.5501 说明:一键生产nginx https自签证书脚本,真实有效!
修订后的GmSSL-2.0
07-20
从官网下载的GmSSL2.0版本的源代码里面有两个地方出现了问题,无法直接编译通过。这个是进行修改后可以没有问题的代码。
linux安装nginx并支持ssl
01-29
linux安装nginx并支持ssl,使得服务器支持证书签名,提升应用的安全性
GmSSL安装源码。。
04-08
GmSSL国密算法安装源代码
构建网络信息安全的中国方案 - 国密SSL协议介绍以及国密Nginx服务器部署
new9232的博客
01-07 2743
国密SSL协议指的是采用国密算法,符合国密标准的安全传输协议。简而言之,国密SSL就是SSL/TLS协议的国密版本。
国密Nginx服务器安装
啊渊的专栏
11-01 4526
一、简介 GMSSL提供一个国密版OpenSSL国密Nginx,支持单向/双向认证,支持标准SSL/国密SSL自适应。 其中国密版OpenSSL基于OpenSSL1.1.1d实现,且已经修正了CVE-2020-1967。 证书申请 https://gmssl.cn/gmssl/index.jsp 二、运行环境 Centos7 x86_64 三、下载 yum install wget -y 国密OpenSSL国密Nginxgmssl_openssl_1.1_bxx.tar.gz...
Nginx国密支持问题记录
zhangdm的博客
03-03 1184
NGINX 增加国密支持
centos使用nginx部署国密SSL证书
dong123aaa的博客
11-03 770
6) 编辑auto/lib/openssl/conf,将全部$OPENSSL/.openssl/修改为$OPENSSL/并保存。2) 解压 tar xzfm gmssl_openssl_1.1_bxx.tar.gz -C /usr/local。1) 下载gmssl_openssl_1.1_bxx.tar.gz到/root/下。9) /usr/local/nginx即为生成的nginx目录。5) 进入目录 cd /root/nginx-1.24.0。(1)采用RPM包安装(源码包没有gcc环境无法编译)
nginx配置国际和国密证书
06-09
首先需要生成国际和国密证书,可以使用 OpenSSL 工具进行生成。具体操作如下: 1. 生成国际证书私钥 ``` openssl genrsa -out international.key 2048 ``` 2. 生成国际证书请求文件 ``` openssl req -new -key international.key -out international.csr ``` 在生成过程中需要填写一些证书相关信息,比如国家、省份、城市、公司名称、域名等。 3. 使用证书颁发机构颁发国际证书 将国际证书请求文件发送给证书颁发机构,颁发机构会返回一个国际证书文件。 4. 生成国密证书私钥 ``` openssl ecparam -genkey -name SM2 -outform PEM -out gmssl.key ``` 5. 生成国密证书请求文件 ``` openssl req -new -key gmssl.key -out gmssl.csr ``` 6. 使用证书颁发机构颁发国密证书国密证书请求文件发送给证书颁发机构,颁发机构会返回一个国密证书文件。 接下来,需要在 Nginx 配置文件中配置证书。示例如下: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/international.crt; ssl_certificate_key /path/to/international.key; ssl_certificate /path/to/gmssl.crt; ssl_certificate_key /path/to/gmssl.key; ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH; } ``` 其中,`ssl_certificate` 和 `ssl_certificate_key` 分别指定国际证书国密证书的路径,`ssl_ciphers` 指定加密算法。 请注意,使用国密证书需要使用支持国密算法的 Nginx 版本,并且需要在编译时开启对应的模块。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值