Nginx配置ssl双向认证

最新推荐文章于 2024-05-31 21:44:40 发布
最新推荐文章于 2024-05-31 21:44:40 发布
阅读量1.8k 收藏 7
点赞数 1
分类专栏: java 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011622280/article/details/124469782
版权

最近公司项目需要配置双向认证,使用的是阿里云Linux服务器以及nginx,对应的ssl证书也使用的是阿里云的免费证书。特此记录配置流程。

CA与自签名

# 制作CA私钥
openssl genrsa -out ca.key 2048
 
# 制作CA公钥/根证书
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
# Common Name 随意填写;不能与客户端或服务端相同

服务器端证书(使用阿里云免费ssl可忽略此步骤)


# 制作服务器私钥
openssl genrsa -out server.pem 1024
openssl rsa -in server.pem -out server.key
 
# 生成签发请求
openssl req -new -key server.pem -out server.csr
# Common Name填写访问服务器时域名,配置nginx时用到,不能与CA的相同其它填写”.”
 
# 用CA签发证书
openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt

客户端证书

# 制作私钥
openssl genrsa -out client.pem 1024
openssl rsa -in client.pem -out client.key 
 
# 生成签发请求
openssl req -new -key client.pem -out client.csr
# Common Name填写访问服务器时域名,配置nginx时用到,不能与CA的相同 其它填写”.”
 
# 用CA签发
openssl x509 -req -sha256 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out client.crt
 
# 验证签名
openssl verify -CAfile ca.crt client.crt

# 使用浏览器访问时,需要生成p12格式的客户端证书
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

服务器Nginx配置

# 配置https双向认证的主要配置
listen 443 ssl;
server_name hostName;
server_tokens off;
ssl on;
ssl_certificate      server.crt;  # server证书公钥 或阿里云证书pem
ssl_certificate_key  server.key;  # server私钥 或阿里云证书key
ssl_client_certificate ca.crt;  # 根级证书公钥,用于验证各个二级client
ssl_verify_client on;  # 开启客户端证书验证
 
# 配置好后重新加载nginx
service nginx reload

Tager丶
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
nginx SSL双向认证
zhangyunpengchang的专栏
07-05 1049
一.建立证书授权中心 1.检查是否已经安装openssl #which openssl /usr/bin/openssl 2.创建CA目录 #mkdir /usr/local/nginx/conf/ssl 3.生成私钥 #cd /usr/local/nginx/conf/ssl #echo 01 | tee ca.srl #openssl genrsa -des3 -out ca-
SSL双向认证-Nginx配置
localhost
09-14 837
3.浏览器添加证书,在浏览器设置里找到SSL证书,导入client.p12证书,再次访问后选择证书即可访问。Nginx配置适用于前端项目或前后端都通过Nginx转发的时候(此时可不配置后端启用双向认证SSL双向认证需要CA证书,开发过程可以利用自签CA证书进行调试验证。
如何配置Nginx以实现双向SSL认证
最新发布
长风破浪会有时的博客
05-31 497
双向SSL认证就像是我们平时玩的“对暗号”游戏,确保两个人都是真正的朋友,而不是陌生人。在网站的世界里,双向SSL认证能确保客户端(比如我们的电脑)和服务器(比如我们访问的网站)都是可信的。总的来说,双向SSL认证就像是我们和网站之间玩的一个“对暗号”游戏,确保双方都是可信的。而Nginx就像是这个游戏的主持人,帮助我们设置好游戏的规则。
https双向认证
qq_37079898的博客
08-21 3521
双向认证,顾名思义,客户端和服务器端都需要验证对方的身份,在建立HTTPS连接的过程中,握手的流程比单向认证多了几步。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。
Nginx服务器中启用SSL配置方法浅谈
xiaoweids的博客
06-03 430
这篇文章主要介绍了在Ningx服务器中启用SSL配置方法,本文前提是已经在Linux系统下安装好了OpenSSL,需要的朋友可以参考下。其中 ssl_certificate 表示 CA 文件,ssl_certificate_key 表示密钥文件。
nginx 根证书 服务器证书,Nginx双向证书校验(服务器验证客户端证书)
weixin_35730840的博客
07-30 3807
1、创建Root CA私钥openssl genrsa -out root-ca.key 10242、创建Root CA证书请求openssl req -new -out root-ca.csr -key root-ca.key3、签发Root CA根证书openssl x509 -req -in root-ca.csr -out root-ca.crt -signkey root-ca.key ...
Nginx配置客户端SSL双向认证
weixin_39968492的博客
03-23 349
1.nginx的conf配置 server { listen 443; server_name qq.****.com; location / {#转发服务到后端 root /uuht/web/; index index.html; proxy_pass http://127.0.0.1:58898; proxy_set_header Host $host; ...
Nginx的CA证书使用总结
热门推荐
云水之路的专栏
09-08 1万+
Nginx的CA证书使用总结 今天给大家介绍下,在Nginx作为服务器时,网站的CA证书怎么添加?我们都知道,http方式通信是非常常见的,常用在对安全要求不高的站点的交互访问,那么对于有交易或存在敏感信息的网站,就需要我们使用http的另一变体https来替代,因为它基于http协议,并添加的ssl的安全处理,所以网站的交互数据是经过加密的,较安全,具体实现过程如下所示。
nginx配置ssl双向认证详解
cnhome的专栏
05-03 2685
nginx配置ssl双向认证详解修改openssl配置的参数使用openssl制作CA的自签名证书准备服务器端证书准备客户端证书nginx配置客户端证书格式转换撤销用户证书 [转自] (https://blog.csdn.net/yuanlin65/article/details/53187710) 需求说明:公司内部一些业务系统对安全性要求比较高,例如mis、bi等,这些业务系统只允许公司内...
nginx 配置https双向认证
qq_19641001的博客
05-22 433
参考博客 https://blog.csdn.net/zkt286468541/article/details/80864184 # 制作CA私钥 openssl genrsa -out ca.key 2048 # 制作CA公钥/根证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # 服务器端证书 # 制作服务器私钥 openssl genrsa -out server.pem 1024 openssl rsa -in serve.
ssl双向认证_NGINX认证
weixin_39568659的博客
12-09 520
先说一下何为双向认证:单项认证,是客户确定客户访问的网站是否正确,且数据加密交互服务端和客户端数据。双向认证,是①客户确定访问的网站是否正确,证书是否和客户端存储的服务端证书匹配,②服务端也要确定客户是不是我认证的,允许访问的客户。双方都确定后身份正确后,在把数据加密传送。双向认证一般用于企业之间,对安全要求比较高的情况下。比如目前的区块链互访等都是采用的这种方式。单项认证双向认证的...
Nginx双向认证
weixin_44480960的博客
01-25 6598
Nginx双向认证 一、前言 参考链接 OPENSSL加密DSA,RSA介绍 客户端默认是相信权威CA机构的,操作系统内置了CA证书。 说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。 centos操作系统中被信任的证书一般在此文件中 cat /etc/pki/tls/certs/ca-bundle.crt 我们可以查看一下访问百度的一个通信过程 curl -v https://www.b
firefox+linux+nginx搭建server与client通过证书双向认证环境
weixin_30652897的博客
11-03 218
  项目中需要搭建一个server和client基于证书的双向认证环境。由我来做,我也不会。   经过一晚上的研究,基本摸清了(知其然不知其所以然)。做下笔记。 基本环境:   1.安装nginx。   2.安装openssl。 生成证书:   首先建立一个工作目录,这里以我的工作目录为例。(/home/myca/),然后执行如下命令。建立生成证书的路径文件结构,这是由openssl的...
使用Nginx实现HTTPS双向验证的方法
fjz_lihuapiaoxiang的博客
12-19 8978
单向验证与双向验证的区别: 单向验证: 指客户端验证服务器端证书,服务器并不需要验证客户端证书。 双向验证:指客户端验证服务器端证书,而服务器也需要通过CA的公钥证书来验证客户端证书。 详细的握手过程: 单向验证 浏览器发送一个连接请求给安全服务器。 1、服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。 2、客户浏览器检查服务器送过来的证书是否是
NGINX+OPENSSL实现SSL双向认证
北国的雨
05-29 1052
1. 目的 2. SSL身份认证机制 3. 利用OPENSSL生成证书 4. Nginx发布证书,实现SSL双向认证 5. Ruby+客户端证书访问网站   1.目的 搭建SSL双向证书认证 实现按IP授权、按客户端证书号限制访问权限   2.SSL证书身份验证机制 http://www.co.ccpit.org/ca/Htm/menu-item-frame2-content
Nginx配置https双向认证
CyborgLin的博客
09-01 4243
https双向认证原理: 网上查询很多文章,按照他们的步骤下来到最后都是失败的,然后摸索了3天终于搞定,记录下来,希望帮助到其他小伙伴。 一.生成自签名根证书 创建根证书私钥: openssl genrsa -out root.key 1024 创建根证书请求文件: openssl req -new -out root.csr -key root.key ############注意############## 根证书的Common Name填写root就可以,根证书的这个字段和.
nginx配置Https单向认证双向认证
ONS_cukuyo的博客
01-26 3877
  1、配置nginx单向认证 配置文件为nginx解压目录下的conf/nginx.conf文件 其中关于https配置配置信息是有的,只是被注释掉了,所以我们简单修改就可以用了   Https监听端口为:443(http默认端口为80,https默认端口为443) 服务器名称为:test.XXXXXX.com,这一点需要和证书里声明的一致 公钥:../../XXHttps配置/...
https 通过nginx完成双向认证转发
qq_38342645的博客
05-30 1177
服务端证书(server.client server.key)客户端证书(client.client client.key)具体可以看看这篇文章。
nginx配置wss双向认证
12-20
nginx配置wss双向认证的步骤如下: 1. 在/etc/nginx/conf.d目录下创建一个名为443.conf的文件,用于处理443端口的转发。 2. 在443.conf文件中添加以下配置: ```shell server { listen 443 ssl; server_name your_domain; ssl_certificate /path/to/your/certificate.crt; ssl_certificate_key /path/to/your/private.key; ssl_client_certificate /path/to/your/client.crt; ssl_verify_client on; location / { proxy_pass http://your_backend_server; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } } ``` 其中,your_domain替换为你的域名,/path/to/your/certificate.crt和/path/to/your/private.key替换为你的服务器证书和私钥的路径,/path/to/your/client.crt替换为客户端证书的路径,your_backend_server替换为你的后端服务器地址。 3. 保存并退出443.conf文件。 4. 运行命令nginx -t检测配置是否有错。 5. 如果没有错误,运行命令nginx -s reload重新加载nginx配置。 请注意,以上配置假设你已经有了有效的服务器证书、私钥和客户端证书,并将其放置在正确的路径下。另外,你还需要将your_backend_server替换为实际的后端服务器地址。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值