https双向证书配置自签证书和购买的ca证书

最新推荐文章于 2023-04-22 20:37:07 发布
最新推荐文章于 2023-04-22 20:37:07 发布
阅读量1.4k 收藏 5
点赞数 1
分类专栏: ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011275733/article/details/80506085
版权

Nginx的安装

  1. 下载nginx源码包。此次使用的是nginx-1.8.1.tar.gz
  2. 解压安装包。解压命令 tar -xvf nginx-1.8.1.tar.gz
  3. 进入解压包,检测环境。./configure –prefix=/etc/nginx –with-http_ssl_module
  4. 编译make
  5. 安装make install

证书生成

  1. 服务端证书制作。前提安装好openssl,如果没有安装则使用yum -y install install make zlib zlib-devel gcc-c++ libtool openssl openssl-devel pcre-devel。
  2. 在nginx目录中创建keys目录,存放证书。进入keys目录
  3. 创建CA私钥 openssl genrsa -out ca.key 2048
  4. openssl req -new -x509 -days 36500 -key ca.key -out ca.crt

制作服务端证书:

  1. 还是在nginx的ke目录
  2. 创建服务端私钥
    openssl genrsa -out server.pem 2048
    openssl rsa -in server.pem -out server.key
  3. 生成签发请求openssl req -new -key server.pem -out server.csr
  4. 使用CA证书进行签发
    openssl x509 -req -sha256 -extfile /etc/pki/tls/openssl.cnf -extensions v3_req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 36500 -out server.crt
  5. 验证签发证书是否正确openssl verify -CAfile ca.crt server.crt
  6. 制作p12证书(导入浏览器)openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -out server.p12

客户端证书制作

  1. 还是在nginx的ke目录
  2. 创建服务端私钥
    openssl genrsa -out client.pem 2048
    openssl rsa -in client.pem -out client.key
  3. 生成签发请求openssl req -new -key client.pem -out client.csr
  4. 使用CA证书进行签发
    openssl x509 -req -sha256 -extfile /etc/pki/tls/openssl.cnf -extensions v3_req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 36500 -out client.crt
  5. 验证签发证书是否正确openssl verify -CAfile ca.crt client.crt
  6. 制作p12证书(导入浏览器)openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

生成IOS需要的证书

IOS客户端需要服务证书的公钥,首先将server.p12导入到IE浏览器中。可以导出终端需要的证书类型cer。编码类型为base64编码,生成server.cer。为终端输出client.p12 server.cer

生成安卓需要的证书

  1. 使用jdk自带的keytool工具生成证书,需要额外导入一个jar包bcprov-ext-jdk15on-151.jar。此jar包导入到JAVA_HOME/jre/lib/ext下
  2. 生成bks证书keytool -importkeystore -srckeystore server.p12 -srcstoretype pkcs12 -destkeystore server.bks -deststoretype bks -provider org .bouncycastle.jce.provider.
    BouncyCastleProvider
  3. 验证bks证书keytool -list -keystore server.bks -provider org.bouncycastle.jce.provider.
    BouncyCastleProvider -storetype BKS -storepass 密码
  4. 为安卓用户输出client.p12 server.bks。

注意

生成上述三个证书文件的时候common name不能重复。
如果出现java.security.InvalidKeyException: Illegal key size需要替换JAVAHOME/jre/lib/security 下的两个jar包

开启nginx ssl功能

  1. nginx/conf/nginx.conf文件server节点增加如下配置
    ssl on; #开启ssl功能
    ssl_certificate /etc/nginx/keys/server.crt; #服务端的签发证书
    ssl_certificate_key /etc/nginx/keys/server.key; #服务端的私钥
    ssl_client_certificate /etc/nginx/keys/ca.crt; #根证书公钥
    ssl_verify_client on; #开启对终端的验证
    ssl_protocols TLSv1.2; #支持的TLS协议
    ssl_ciphers 'AES128+EECDH:AES128+EDH:!aNULL'; #加密套件

注意:

  1. 如果完全是自己签名的证书按照以上证书生成规则和Nginx配置即可
  2. 如果使用ca机构颁发的证书ssl_certificate ssl_certificate_key 使用ca机构颁发的证书
    客户端证书ssl_client_certificate使用自己生成的证书即可。
  3. crt 证书转cer openssl x509 -in 你的证书.crt -out 你的证书.cer -outform der
  4. 使用httpclient的https双向认证出现400 No required SSL certificate was sent,可能的原因为单个ip绑定多个域名多套证书,httpclient4.3.1及一下版本时不支持的,需要提升httpclient版本
  5. 域名加上端口session过期时,重新刷新页面后端口被改为80
    location /test/ {
    proxy_pass http://mgt;
    client_max_body_size 10m;
    proxy_set_header Host $host:19001;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header REMOTE-HOST $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
appleandpangzi
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux 运行ca.crt,linux下生成https的crt和key证书
weixin_36354965的博客
05-09 2487
今天在配置kibana权限设置时,kibana要求使用https链接。于是总结了一下linux下openssl生成 签名的步骤:x509证书一般会用到三类文,key,csr,crtKey 是私用密钥openssl格,通常是rsa算法。Csr 是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署申,还可以设定一个密钥。crt是CA认证后的证书文,(windows下面的,其实是...
Nginx配置ssl_client_certificate客户端认证问题
qq_34823218的博客
11-17 8561
问题1:ssl_client_certificate配置CA证书格式错误 参考Minitutorialforconfiguringclient-sideSSLcertificates和ClientSideCertificateAuthinNginx配置客户端的证书认证,配置好后,在浏览器使用证书认证报400错误 400BadRequest NorequiredSSLcertificatewassent 按照教程,生成相关证书都没有问题,在配置nginx的...
SSL双向认证(高清版)
Linvo's blog
06-26 1万+
上一篇介绍了SSL双向认证的一些基本问题,以及使用Nginx+PHP基于它搭建https的Webservice。 之前的方式只是实现1:1的模式,昨天同事继续实现了n:1的模式,这里我再整理记录下。 由于nginx的ssl_client_certificate参数只能指定一个客户端公钥,如果增加一个客户端进行通信就要重新配一个server。 n:1的模式是通过CA的级联证书模式实现的,首先自
Nginx https(SSL)双向认证配置
Fighter168的专栏
01-14 1272
基于Let’s Encrypt证书和自签名证书实现双向认证。使用Let’s Encrypt实现客户端对服务端的验证,利用自签名证书完成服务端对客户端的认证。 在此只介绍自签名证书生成与配置部分(服务端对客户端的认证),Let’s Encrypt认证参考Let’sEncrypt SSL证书一键安装。 生成服务端证书 openssl genrsa -des3 -out ca.key 4096 open...
nginx ssl 配置说明
由入门到精通
11-19 794
Ssl_certificate :服务器公钥地址 Ssl_certificate_key :服务器私钥地址 Ssl_client_certificate : CA公钥地址 验证客户端证书是否是同一CA签发 Ssl_verify_client : on打开双向认证
https双向认证证书配置详解
11-02
### HTTPS双向认证证书配置详解 #### 一、前置知识与概念理解 在开始具体操作之前,我们先来明确几个核心概念及其相互之间的关系。 - **DER/CER**: 这些文件通常是二进制格式,仅包含证书而不包含私钥。 - **CRT*...
https双向证书制作详细制作步骤
11-09
### HTTPS 双向证书制作详细步骤 #### 一、引言 HTTPS(Hyper Text Transfer Protocol Secure)是HTTP的安全版,其主要通过SSL/TLS协议来加密传输数据,确保信息的安全性。而双向认证则是在传统的客户端信任服务器...
iOS 基于AFNetworking下自签名证书配置的方法
08-27
在自签名证书配置中,理解AFNetworking的`AFSecurityPolicy`类以及`evaluateServerTrust:forDomain:`方法至关重要,因为这是进行服务器信任评估的地方。对于需要双向认证的应用,你可能需要重写此方法来实现客户端...
nginx代理服务器配置双向证书验证的方法
01-10
生成证书链 用脚本生成一个根证书, 一个中间证书(intermediate), 三个客户端证书. 中间证书的域名为 localhost. #!/bin/bash -x set -e for C in `echo root-ca intermediate`; do mkdir $C cd $C mkdir certs ...
IOS,Android SSL双向认证HTTPS方式请求及配置证书
12-19
本文将详细介绍`IOS`和`Android`平台上如何实现`SSL`双向认证以及配置证书。 首先,理解`SSL`双向认证的概念。常规的`SSL`单向认证中,服务器会验证客户端的身份,但客户端并不验证服务器的身份。而在双向认证中,...
证书类型、自签CA证书https双向认证(一篇就懂系列)
MX__LL的博客
06-16 7249
证书类型、自签CA证书https双向认证(一篇就懂系列)
【原创】nginx上配置SSL双向认证的CA证书链(工具openssl
HD243608836的博客
07-06 6597
配置SSL双向认证的CA证书链时,其中最关键的两步骤: ssl_client_certificateca.crt;#包含证书链的ca.crt ssl_verify_depth 2;# 指定双向认证客户端证书到根证书的深度,默认是1 配置如下: # HTTPS server # server { listen 443 ssl; listen 8110 ssl; server_name aaa.abc.com; ssl on; ssl_certif...
TLS/SSL 协议详解(15) client certificate
叼哥的博客
11-19 3901
如果服务器端请求了客户端的证书,客户端即使没有证书,也需要发送该类型的握手报文,只是这种情况下,里面的内容为0。 如果浏览器有对应的证书,则会发送证书,当然,也有可能发送上级证书(即发送证书链),这个完全取决于浏览器。特别说明一点,我亲眼见过IE带了一个过期的上级证书发送到服务器,这个简直亮瞎了我。 ---------------------  作者:Mrpre  来源:CSDN  原文...
Nginx使用HTTPS建立与上游服务器的网络通信
YunWisdom
11-22 1887
Nginx使用HTTPS建立与上游服务器的网络通信 本文介绍了如何加密NGINX与上游组或代理服务器之间的HTTP通信。 先决条件 NGINX开源或NGINX Plus 甲代理服务器或服务器的上游组 SSL证书和私钥 获取SSL服务器证书 您可以从受信任的证书颁发机构(CA购买服务器证书,也可以使用OpenSSL库创建自己的内部CA并生成自己的证书。服务器证书以及私...
nginx 根证书 服务器证书,Nginx双向证书校验(服务器验证客户端证书
weixin_35730840的博客
07-30 3819
1、创建Root CA私钥openssl genrsa -out root-ca.key 10242、创建Root CA证书请求openssl req -new -out root-ca.csr -key root-ca.key3、签发Root CA证书openssl x509 -req -in root-ca.csr -out root-ca.crt -signkey root-ca.key ...
【异常】客户端发起HTTPS请求报错,服务端返回400 Bad Request ,并且提示No required SSL certificate was sent
最新发布
本本本添哥
04-22 1万+
HTTP响应码400表示客户端发送了一个无效的请求。这可能是由于请求中缺少必需的参数或格式不正确等原因导致的。服务器无法处理此请求并返回400响应码。如果您正在编写Web应用程序,建议在处理请求时检查请求的有效性,并在必要时返回400响应码以指示客户端请求无效。
Nginx配置客户端SSL双向认证
yazhiye的专栏
12-10 3812
转自:https://www.cnblogs.com/qiumingcheng/p/13282145.html 对于 NGINX 的 HTTPS 配置,通常情况下我们只需要实现服务端认证就行,因为浏览器内置了一些受信任的证书颁发机构(CA),服务器端只需要拿到这些机构颁发的证书配置好,浏览器会自己校验证书的可用性并通过 SSL 进行通讯加密。 但特殊情况下我们也需要对客户端进行验证,只有受信任的客户端才能使用服务接口,此时我们就需要启用双向认证来达到这个目的,只有当客户端请求带了可用的证书才能调通服.
服务器校验客户端证书分析及代码
dieTicket的博客
11-15 8221
当前app安全越来越受到重视,很多app采取了HTTPS的协议,但是一般app都不会对证书进行校验,一些app只是客户端对服务端证书进行了强校验,也就是通常呢,抓包的时候app提示无网络连接或者网络连接错误,这种情况就是app发现证书是伪造的,并不是服务器的证书,因此中断了通讯。这个时候可以通过逆向app,找到校验的代码,过掉即可,偷懒的话可以尝试justTustMe模块来过掉。今天我们的重点是如...
登录系统报SSL server requires client certificate ErrorCode: 901 错误的解决方法
热门推荐
victoriafan的博客
12-10 15万+
登录系统报SSL server requires client certificate ErrorCode: 901 错误的解决方法 一般出现这种情况时可能是以下三种情况造成的。 首先,要检查输入的网址是否正确。这种情况是最好解决的一种问题,一般输入正确网址就可以。 第二,浏览器配置问题。确定是正确的网址,就需要看看浏览器的配置问题。以IE浏览器为例: 1、工具–兼容性视图,添加网址,关闭。 2...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值