nginx SSL证书配置(双向认证)

最新推荐文章于 2024-08-23 22:40:15 发布
最新推荐文章于 2024-08-23 22:40:15 发布
阅读量1.3k 收藏 2
点赞数
文章标签: 运维 python
原文链接:https://my.oschina.net/u/1789379/blog/760267
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

最近在做一个项目,有个接口安全性要求比较高,所以要用到双向认证,就开始究了一下具体搭建

具体是参考这里:http://blog.csdn.net/kunoy/article/details/8239653 

遇到的问题作一下笔记

主要是双向认证问题,很多分享都是基于整个域名访问都是双向认证的,但是很多时候,我们开发可能只是某个路由或某个接口下才需要双向认证

很多的分享只要加上   ssl_verify_client on;  ssl_client_certificate ca.crt; 实现的,达不到我们只是局部接口才需要双向认证的,下面就是完整解决办法  主要是 ssl_verify_client optional; 这个选项

ssl_verify_client

语法:ssl_verify_client on|off|optional 
默认值:ssl_verify_client off 
使用字段:main, server 
启用客户端证书审核,参数“optional”在客户端主动提出时检查证书(0.8.7与0.7.63版本之前为"ask")。

也在一些社区看到的提示

path based client ssl verification is messy as it requires the client/server to do a (secure) renegotiation.

You’re better off doing a separate domain or make it ssl_verify_client optional at the top level and check the compliance at application level.

最后在location 里加上

location /test {
            if ($ssl_client_verify != 'SUCCESS') {
                return 403;
                break;
            }
            
            return 200 "success";
        }    

server {
        listen       443;
        server_name  xxx.xx.com;
        ssl                  on;
        ssl_certificate      server.crt;
        ssl_certificate_key  server.key; 
        ssl_client_certificate ca.crt;
		ssl_session_timeout  30m;
		ssl_verify_client optional;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
        ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
        ssl_prefer_server_ciphers   on;
        
		location /test {
			if ($ssl_client_verify != 'SUCCESS') {
			    return 403;
				break;
		    }
			
			return 200 "success";
        }    
	
		location / {
            root   html; #站点目录
            index  index.html index.htm;
        }
}

 

如果还有同学有更好的方法,也可以交流一下

转载于:https://my.oschina.net/u/1789379/blog/760267

weixin_33674976
关注
nginx篇08-添加客户端证书认证
tinychen
03-01 3247
本文主要介绍如何使用给nginx服务添加客户端证书认证从而实现双向加密。 对于一般的https网站来说,实际上https所使用的证书是属于单向验证,即客户端单向验证服务器的安全性,而服务器端是没有对客户端的身份进行验证的。关于https的原理,可以查看这篇文章:《SSL/TLS、对称加密和非对称加密和TLSv1.3》 如果自己部署了一些安全性较高的网站不希望被其他人随意访问,就可以尝试部署https的双向认证,对客户端也添加证书认证。本文将会使用openssl自签证书来完成最简单的一个https双向认证
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** 在网络安全日益重要的今天,服务器与客户端之间的通信安全成为了一个不可忽视的问题。本文将详细介绍如何在Nginx服务器上配置SSL双向认证,以提高服务器的安全性,允许只有经过验证...
关于nginx开启特定路径的ssl证书验证
04-16 3888
不幸的, nginx不支持特定路径开启ssl_verify_client, 如果在location下面使用ssl_verify_client, 就会提示 nginx: [emerg] “ssl_verify_client” directive is not allowed here 某处看到的说法是 path based client ssl verification
HTTPS双向认证指南(亲测可行)
最新发布
weixin_41978174的博客
08-23 57
HTTPS双向认证方式通信在一些安全级别较高的场景非常有用,拥有合法证书的客户端才能正常访问业务。生成根公钥证书和私钥文件(root.crt/root.key);使用根证书和根证书私钥(root.crt/root.key)配合服务器端私钥颁发服务器端证书(server.crt);使用根证书和根证书私钥(root.crt/root.key)配合客户端私钥颁发客户端证书(server.crt);
Nginx配置ssl_client_certificate客户端认证问题
qq_34823218的博客
11-17 8744
问题1:ssl_client_certificate配置的CA证书格式错误 参考Minitutorialforconfiguringclient-sideSSLcertificates和ClientSideCertificateAuthinNginx配置客户端的证书认证配置好后,在浏览器使用证书认证报400错误 400BadRequest NorequiredSSLcertificatewassent 按照教程,生成相关证书都没有问题,在配置nginx的...
Nginx ssl_client_certificate支持多CA 证书链使用记录
jin_recruit的博客
12-17 4712
nginx ssl_client_certificate 双向验证 多CA 客户端证书校验
使用Nginx配置客户端实现SSL双向认证
qq_25855003的博客
08-01 1907
一、Nginx配置客户端SSL双向认证 1. CA 与自签名 创建相关目录 #mkdir ssl #cd ssl 制作 CA 私钥 #openssl genrsa -out ca.key 2048 制作 CA 根证书(公钥) #openssl req -new -x509 -days 3650 -key ca.key -out ca.crt 2. ...
Nginx 配置 SSL证书
热门推荐
程序猿进阶
02-10 1万+
成功配置SSL证书后,您将能够通过HTTPS加密通道安全访问Nginx服务器。
Nginx双向SSL认证配置详解
04-09
本文将详细介绍如何在Nginx服务器上配置双向SSL认证。 #### 二、环境准备 为了进行Nginx双向SSL认证配置,首先需要准备好必要的环境: 1. **安装OpenSSL工具**:通过`yum install openssl`命令安装。 2. **配置...
nginx环境下配置ssl加密(单双向认证、部分https)
09-30
Nginx环境下配置SSL加密主要涉及单向认证双向认证以及部分HTTPS页面加密。SSL(Secure Sockets Layer,安全套接层)和TLS(Transport Layer Security,传输层安全)是用于在网络上提供加密和数据完整性校验的...
Nginx+SSL实现双向认证的示例代码
09-30
以下将详细介绍Nginx配置SSL双向认证的全过程,包括相关命令的使用和配置文件的编写。 首先,需要创建一个工作目录用于存放证书文件。命令如下: ``` cd /etc/nginx mkdir ssl cd ssl ``` 接下来,需要创建证书...
traefik-certs:从traefik提取SSL证书并创建证书文件以在其他地方使用
05-09
特拉菲克证书 从traefik提取SSL证书并创建证书文件以供其他地方使用的最少服务。 快速开始 请参阅(examples)目录,以了解docker compose演示配置的示例。 配置 环境变量是: 环境变量 默认 描述 CERT_PATH /certs 放置证书的目录的路径 ACME_PATH traefik创建的acme.json的路径 输出 监视acme.json的程序进行更改,并分别复制名称为domain.crt和domain.chain.crt证书证书链。 版权 2018汤姆·塞登 执照
PKI - 借助Nginx实现_客户端使用自签证书供服务端验证
小工匠
02-11 3498
自签名证书可以用于验证客户端的身份。通过客户端提供的证书,服务端可以确保连接方是合法的客户端,并且拥有该证书对应的私钥。使用自签名证书的客户端可以与服务端建立加密的通信通道。客户端的证书中包含了公钥,可以用于加密数据传输,保护数据的机密性。通过客户端的证书验证,服务端可以确保与客户端直接通信,防止中间人攻击。如果客户端提供的证书无效或不匹配,服务端会拒绝连接,从而保护通信的安全性。服务端可以根据客户端提供的证书对其进行授权访问。
【原创】nginx配置SSL双向认证的CA证书链(工具openssl
HD243608836的博客
07-06 6745
配置SSL双向认证的CA证书链时,其中最关键的两步骤: ssl_client_certificateca.crt;#包含证书链的ca.crt ssl_verify_depth 2;# 指定双向认证客户端证书到根证书的深度,默认是1 配置如下: # HTTPS server # server { listen 443 ssl; listen 8110 ssl; server_name aaa.abc.com; ssl on; ssl_certif...
Nginx https(SSL)双向认证配置
Fighter168的专栏
01-14 1320
基于Let’s Encrypt证书和自签名证书实现双向认证。使用Let’s Encrypt实现客户端对服务端的验证,利用自签名证书完成服务端对客户端的认证。 在此只介绍自签名证书生成与配置部分(服务端对客户端的认证),Let’s Encrypt认证参考Let’sEncrypt SSL证书一键安装。 生成服务端证书 openssl genrsa -des3 -out ca.key 4096 open...
Nginx ssl双向认证包含移动端和PC端证书生成
Angus博客
04-04 3091
1:制作CA私钥,在根目录创建一个cert文件夹然后执行 openssl genrsa -out ca.key 2048 2:制作CA公钥/根证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Common Name 填写root;其它可以填”.” 3;制作服务器私钥 openssl genrsa -out server.pem 1024 openssl rsa -in server.pem -out se...
自签名SSL证书以及nginx配置https服务
fb_fatboy的博客
04-10 2502
生成一个CA根证书,生成服务端证书,生成客户端证书nginx配置https服务,开启ssl双向认证
nginx(六十七)http_ssl模块 clientnginxssl握手
wzj_110的博客
11-26 4407
clientnginxssl握手之http_ssl模块
nginx:对上下游使用SSL连接
error311的博客
06-27 2986
对下游使用证书 1.ssl_certificate 指令 语法:ssl_certificate file; 默认:空 放置位置:http,server 2.ssl_certificate_key 指令 语法:ssl_certificate_key file; 默认:空 放置位置:http,server 验证下游证书 1.ssl_verify_client 指令 语法:ssl_verify_client on | off | ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值