自签SSL证书实现Nginx配置https双向认证

最新推荐文章于 2024-05-23 19:01:50 发布
最新推荐文章于 2024-05-23 19:01:50 发布
阅读量5.3k 收藏 3
点赞数
分类专栏: Linux 文章标签: nginx ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goolejuck/article/details/54089170
版权

1.      前期的准备工作:

安装openssl和nginx的https模块

cd  ~/  
mkdir ssl  
cd ssl  
mkdir demoCA  
cd demoCA  
mkdir newcerts  
mkdir private  
touch index.txt  
echo '01' > serial

2.      制作CA证书(这个是信任的起点,根证书,所有其他的证书都要经过CA的私钥签名)。

生成 CA私钥: ca.key


openssl genrsa -des3 -out ca.key 2048

这样是生成rsa私钥,`des3`算法openssl格式,2048位强度。`ca.key`是密钥文件名。为了生成这样的密钥,需要一个至少四位的密码。

另外可以通过以下方法生成没有密码的key:


openssl rsa -in ca.key -out ca_decrypted.key


生成  CA 根证书的公钥  ca.crt 

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt


3.      制作网站的https证书,并用CA签名认证。


假设我们需要为 light.cn 域名制作证书,先生成 light.cn的证书私钥 light.cn.pem。

openssl genrsa -des3 -out light.cn.pem 1024

生成无密码的私钥: 

openssl rsa -in light.cn.pem -out light.cn.key


生成 csr 签名申请: 

openssl req -new -key light.cn.pem -out light.cn.csr


这里需要输入国家,地区,组织,email等。最重要的是**common name**,可以写你的名字或者域名。如果为了 https 申请,这个必须和域名一样,即,这里要写light.com,否则会引发浏览器警报,这里可以用 *.light.cn 来做泛域名证书。

最后要用CA证书进行签名: 


openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in light.cn.csr -out light.cn.crt

把 ca.crt 的内容追加到 light.cn.crt后面,因为有些浏览似乎不支持: 

cat ca.crt>> light.cn.crt

注:windows 使用type 命令

4.      制作客户端证书(跟制作网站的证书模式一样):

准备客户端私钥:

openssl genrsa -des3 -out client.pem 2048


生成客户端证书请求: 

openssl req -new -key client.pem -out client-req.csr

CA签名客户端证书请求 

openssl ca -policy policy_anything -days 1460 -cert ca.crt  -keyfile ca.key -in client-req.csr -out client.crt

客户端证书CRT转换为 PKCS #12格式( 全称应该叫做  Personal Information Exchange ,通常以  p12 作为后缀 ): 


openssl pkcs12 -export -clcerts -in client.crt -inkey client.pem -out client.p12


点击刚才生成的p12文件输入证书的密码将安装。


5.      nginx配置

server {  
  listen 443;  
  server_name test.com www.test.com;  
   
  root html;  
  index index.html index.htm;  
   
  ssl on;                                     #开启ssl  
  ssl_certificate  /usr/ssl/light.cn.crt;    #服务器证书位置  
  ssl_certificate_key /usr/ssl/light.cn.key;  #服务器私钥  
  ssl_client_certificate /usr/ssl/ca.crt;     #CA证书用于验证客户端证书的合法性  
   
  ssl_verify_client       on;                      #开启对客户端的验证  
   
  ssl_session_timeout 5m;                        #session有效期,5分钟  
   
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  
  ssl_ciphers 'AES128+EECDH:AES128+EDH:!aNULL';       #加密算法  
  ssl_prefer_server_ciphers on;  
   
  location / {  
     proxy_pass   http://127.0.0.1:8080;  
  }        
}

6.      测试

当将一切都设置好,将 nginx启动成功后,就可以打开 IE来访问了,第一次访问,浏览器会询问双向认证时使用的证书,类似下图



点击确认






TheIndustryArooki
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Nginx生成一个自签名的SSL证书脚本
11-18
Nginx生成一个自签名的SSL证书脚本
nginx 配置 https双向认证
CheerTan is here
10-11 1995
注意事项 配置双向认证,这里的common name需要都配置成不同 nginx 配置 https双向认证 1.准备工作 linux环境安装openssl 2.生成证书步骤 1.新建一个文件夹 mkdir /root/keys 2.生成CA私钥 ca.key openssl genrsa -out ca.key 4096 3.生成ca的数字证书 ca.crt openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Co
SSL证书制作及nginx部署
最新发布
yudaxiaye的博客
05-23 1054
本文主要介绍了SSL证书的制作及如何将证书部署在nginx中,并简要说明在制作及部署过程中可能遇到的问题。
Nginx配置ssl双向认证
Tiger、
04-28 1813
Nginx配置ssl双向认证
nginx实现双向认证
qq_41937509的博客
09-20 4790
如果手里面只有通过正规途径申请下来的证书(而不是上面自签证做法), 得到的证书如下面所示, 这里只有服务端证书而没有服务端和根证书, 所以仍需要我们以自签证的方式生成根证书以及客户端证书配置的主要内容是配置了服务器端证书的公钥私钥以及根证书的公钥, 并且ssl_verify_client 参数设置为 on。如果客户端证书不是由根证书直接颁发的,配置中还需要加一个配置ssl_verify_depth 1;server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成。
Nginx SSL 双向认证
嗜鞋瘾君子
03-11 994
一、安装Nginx和OpenSSL yum install nginx openssl -y 二、SSL 服务器 / 客户端双向验证证书的生成 创建一个新的 CA 根证书,在 nginx 安装目录下新建 ca 文件夹,进入 ca,创建几个子文件夹 mkdir ca && cd ca mkdir newcerts private conf server # newcer...
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** ...通过遵循上述步骤,你可以在Nginx上成功地配置SSL双向认证实现更高的安全性和隐私保护。但请注意,这仅适用于那些对安全性有较高要求的场景,对于普通网站,单向认证通常是足够的。
用keytool生成证书双向SSL认证配置的方法
12-01
用keytool生成证书双向SSL认证配置的方法,以Tomcat举例。包含步骤:一、为服务器生成证书;二、为客户端生成证书;三、让服务器信任客户端证书;四、让客户端信任服务器证书
Nginx双向SSL认证配置详解
04-09
Nginx双向SSL认证配置详细步骤
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过...
Openssl 自签证书实现nginx双端验证的https
weixin_34161064的博客
11-08 174
2019独角兽企业重金招聘Python工程师标准>>> ...
Nginx开启SSL支持HTTPS访问(自签名方法)
weixin_33709219的博客
08-18 140
2019独角兽企业重金招聘Python工程师标准>>> ...
nginx SSL双向认证
zhangyunpengchang的专栏
07-05 1049
一.建立证书授权中心 1.检查是否已经安装openssl #which openssl /usr/bin/openssl 2.创建CA目录 #mkdir /usr/local/nginx/conf/ssl 3.生成私钥 #cd /usr/local/nginx/conf/ssl #echo 01 | tee ca.srl #openssl genrsa -des3 -out ca-
nginx配置https双向验证(ca机构证书+自签证书
weixin_30646315的博客
04-29 1216
nginx配置https双向验证 服务端验证(ca机构证书) 客户端验证(服务器自签证书) 本文用的阿里云签发的免费证书实验,下载nginx安装ssl,文件夹有两个文件 这两个文件用于做服务器https验证 配置如下: 自签证书步骤如下: ca根证书生成 创建ca私钥 openssl genrsa -out ca.key 2048 生成ca证书...
nginx配置多个CA证书
qq_41937509的博客
09-23 3820
问题背景:在实际的C-S访问中,有需要多个客户端双向认证的情况。
firefox+linux+nginx搭建server与client通过证书双向认证环境
weixin_30652897的博客
11-03 217
  项目中需要搭建一个server和client基于证书双向认证环境。由我来做,我也不会。   经过一晚上的研究,基本摸清了(知其然不知其所以然)。做下笔记。 基本环境:   1.安装nginx。   2.安装openssl。 生成证书:   首先建立一个工作目录,这里以我的工作目录为例。(/home/myca/),然后执行如下命令。建立生成证书的路径文件结构,这是由openssl的...
SSL双向认证-Nginx配置
localhost
09-14 831
3.浏览器添加证书,在浏览器设置里找到SSL证书,导入client.p12证书,再次访问后选择证书即可访问。Nginx配置适用于前端项目或前后端都通过Nginx转发的时候(此时可不配置后端启用双向认证SSL双向认证需要CA证书,开发过程可以利用自签CA证书进行调试验证。
Nginx部署ssl安全证书(腾讯云DV证书)
热爱技术,享受生活
04-18 6097
Nginx部署ssl安全证书
nginx 手动制作加密证书 ssl
qq_36270681的博客
08-27 230
第一步,制作加密证书 # cd /etc/nginx/ # openssl genrsa > cert.key # openssl req -new -x509 -key cert.key > cert.pem 第二步,nginx 开启ssl [root@localhost conf.d]# cat wenruo.conf server { listen 443; server_name 10.1.234.101; ssl on; ssl_certif
nginx配置wss双向认证
12-20
nginx配置wss双向认证的步骤如下: 1. 在/etc/nginx/conf.d目录下创建一个名为443.conf的文件,用于处理443端口的转发。 2. 在443.conf文件中添加以下配置: ```shell server { listen 443 ssl; server_name ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值