nginx与SSL认证

最新推荐文章于 2024-04-25 16:44:33 发布
最新推荐文章于 2024-04-25 16:44:33 发布
阅读量66 收藏
点赞数
文章标签: 运维 操作系统 python
原文链接:https://my.oschina.net/dodomouse/blog/628888
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

背景:

一般的网址都是采用单向认证的方式,即只有web服务器提供证书,保证服务器的签名准确性和安全性。

但是对于企业来说,也需要对客户端(或者浏览器端)进行认证,限定可访问服务器的机器,保证安全性。

 

基本知识:

X.509是证书标准,定义了证书需要包含哪些东西。

证书的编码主要有:PEM和DER两种。

相关文件后缀名:

  1. KEY:用来存放私钥或者公钥的文件。

  2. CSR:表示证书签名请求,即向认证中心(CA)提交的请求,由认证中心签发CRT或者CER证书。

  3. CRT和CER:表示证书,linux下一般用CRT,以PEM编码为主;windows下一般用CER,以DER编码为主。

 

创建单向认证过程(linux环境):

1. 安装nginx,运行./configure需要用到--with-http_ssl_module参数,使其支持SSL

2. 进入你想创建证书和私钥的目录,例如:$ cd /usr/local/nginx.conf

3. 创建服务器私钥,命令会让你输入一个口令,生成key文件:$ openssl genrsa -des3 -out server.key 1024

4. 创建证书签名请求,生成CSR文件:$ openssl req -new -key server.key -out server.csr

5. 去除生成key文件时的口令,避免每次使用都要输入:

$ cp server.key server.key.org

$ openssl rsa -in server.key.org -out server.key

6. 根据创建证书签名请求和私钥,自己创建证书,当然也可以把csr文件发给CA,让他们整一个证书:                             openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

7. 配置nginx.conf,在server块下面添加以下配置:

     ssl on;
     ssl_certificate /usr/local/nginx/conf/server.crt; //证书
     ssl_certificate_key /usr/local/nginx/conf/server.key; //私钥

8. 重新加载配置: /usr/local/nginx/sbin/nginx -s reload

以上步骤完成之后,即实现单向认证,可以用https访问nginx。

 

创建客户端证书过程(即实现双向认证):

 双向认证其实就是在单向认证的基础上,添加了服务器对客户端(浏览器)的认证,如果服务端和客户端是一对一关系的话,只要像上面单向认证一样,生成一个证书(client.crt),然后生成可被浏览器导入的格式p12,当然可能还有其他的导入格式。

$ openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

在nginx.conf中需要添加以下配置:

ssl_client_certificate /usr/local/nginx/conf/client.crt;  #客户的证书

ssl_verify_client on;    #打开验证客户

实质就是弄一对证书和私钥出来,私钥给客户端加密,公钥留在nginx端,这样nginx就能识别客户了。

但如果是一对多关系的话,就需要用到证书链,即先生成一个根证书,然后通过根证书生成多个客户端证书,这样只要nginx信任根证书,所有从根证书签发的证书都会认可。

首先,得有一个CA,生成一个KEY文件ca.key 和根证书ca.crt:

$ openssl req -new -x509 -keyout ca.key -out ca.crt

 配置openssl.conf,文件的路径可能不一样,可以locate命令查找,然后也需要生成一些文件:

$ vim /etc/pki/tls/openssl.cnf,主要是配置dir,这个dir是保存一些中间文件如pem文件的地方

$ touch /etc/pki/CA/{index.txt,serial}

$ echo 01 > /etc/pki/CA/serial

用根证书为之前生成的csr文件签名,生成由CA认证的证书:

$  openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

同理,可以对client的csr文件也生成由根证书签名的证书:

$ openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

然后就可以像上面一对一的一样,生成可被浏览器导入的文件:

$ openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

同时,在Nginx.cnf中的配置则变成这样,所有由根证书签名的证书都会被信任:

ssl_client_certificate /usr/local/nginx/conf/ca.crt;  #根证书


我查找了很多博客,根据自己的配置过程,总结了这篇文章。基本上根据上面的配置,可以成功配置单向或者双向认证。

转载于:https://my.oschina.net/dodomouse/blog/628888

weixin_33694620
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx 配置ssl
congge
05-29 1万+
nginx 配置ssl
nginx添加ssl证书认证
weixin_34050005的博客
04-10 86
nginx支持ssl证书认证首先安装上openssl,然后执行以下命令: openssl genrsa -out sim.key 1024 openssl req -new -key sim.key -out sim.csr openssl x509 -req -days 365 -in sim.csr -signkey sim.key -out mall.crt   ...
Nginx 配置 SSL(HTTPS)详解
最新发布
小楼一夜听春雨,深巷明朝卖杏花
04-25 1万+
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
nginx的https和对应ssl证书相关
ghostblade的专栏
09-15 359
nginx/conf/nginx.conf: ..  server {         listen          80;         listen          443 ssl;         server_name  second.domain.com;         ssl_certificate xxxxcom_bundle.crt;//放在conf/下面,从验证后的...
什么是SSL证书格式?和服务器的对应关系
SSL加密技术
08-19 1232
SSL证书是数字证书的一种,也称为SSL服务器证书,遵守SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。 所有的SSL证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准,常见的SSL证书格式有:PKCS#7、PKCS#12 、DER 、PEM 、CER/CRT 、PFX 、P7B等。 Web服务器一般指网站服务器,是指驻留于因特网上某种类型计算机的程序,可以处理浏览器等Web客户端的
nginx SSL证书
y1701的博客
09-02 3709
SSL证书
Nginx双向SSL认证配置详解
04-09
### Nginx双向SSL认证配置详解 #### 一、引言 随着网络安全意识的提高,SSL/TLS协议在Web服务器中的应用越来越广泛。双向SSL认证不仅保护了服务器免受未授权访问,还确保了客户端的身份安全可靠。本文将详细介绍...
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** 在网络安全日益重要的今天,服务器与客户端之间的通信安全成为了一个不可忽视的问题。本文将详细介绍如何在Nginx服务器上配置SSL双向认证,以提高服务器的安全性,允许只有经过验证...
Nginx+SSL实现双向认证的示例代码
09-30
Nginx+SSL实现双向认证是指在客户端与服务器进行SSL握手的过程中,不仅服务器需要验证客户端的身份,同时客户端也需要验证服务器的身份。这种认证方式比传统的单向认证更安全,主要用于对安全性要求极高的场景。以下...
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过...
运维NGINX证书区别
风吹柳花满店香
11-23 3101
写在前面 证书主要的文件类型和协议有: PEM、DER、PFX、JKS、KDB、CER、KEY、CSR、CRT、CRL 、OCSP、SCEP等。 一、编码格式 X.509 - 这是一种证书标准,主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准. 目前有以下两种编码格式. 1、PEM - Privacy Enhanced Mail, 打开看文本格式,以"-...
Nginx证书配置:cer文件和jks文件转nginx证书.crt和key文件
橘子的博客
12-07 1万+
Nginx证书配置:cer文件和jks文件转nginx证书.crt和key文件环境步骤1.利用JDK的keytool工具生成密钥库和证书(一下代码片段是一个bat脚本)1.1 查看jks文件中的entry2.将.jks文件转为.p12(PKCS12格式证书库)2.2 查看新格式(pkcs12)证书库3.将cer格式证书转pem格式4. 提取私钥5. nginx服务器配置效果展示 记录一次Nginx证书配置,我这个过程可能有些繁琐,如果大牛有更好的办法,欢迎评论指正 环境 windows系统 nginx 1
Nginx -- SSL模块
啊啊啊啊建的博客
09-01 1763
Nginx -- SSL模块
nginx 配置ssl配置文件内容
知识的灯塔,梦想的航船
11-19 2812
server { listen 443 ssl; server_name www.langmanezhuang.com; # 改为绑定证书的域名 # ssl 配置 #ssl on; ssl_certificate 1_langmanezhuang.com_bundle.crt; # 改为自己申请得到的 crt 文件...
Nginx实现https反向代理配置
热门推荐
.... 永远年轻,永远热泪盈眶
06-05 9万+
无意中发现了一个巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,而且非常风趣幽默,像看小说一样!觉得太牛了,所以分享给大家。点这里可以跳转到教程。 一些对安全性要求比较高的站点,可能会使用 HTTPS(一种使用ssl通信标准的安全HTTP协议)。 先了解一些http相关的概念:  HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答...
Nginx+SSL(https)配置
华子的博客
08-08 766
创建一个文件夹(/usr/local/software/server/),上传本地提供的nginx包。https://www.godaddy.com/zh-sg/ssl-checker 检测网站。在/usr/local 目录下执行 rm -rf nginx。进入我们默认安装路径 /usr/local/nginx/conf。在浏览器访问试试 https://alizhazha.cn/防火墙开放端口,阿里云网络 安全组配置80端口。先删除原先的nginx,新增ssl模块。防火墙关闭或者开发443端口。...
Nginx配置SSL证书——采用腾讯云SSL证书配置Nginx使用https访问
贱男
07-30 1万+
一、引言 又是新的一周,小编在工作之余抽空写写博客。最近一直在写关于Nginx教学的博客,今天我们来讲讲这个Nginx怎么配置SSL证书,也就是通过https进行访问。 为什么我们要配置这个SSL证书呀? 好处有很多可以参考一下:https://zhidao.baidu.com/question/1052713768072775379.html 相信大家绝大部分都是冲着那个绿色小锁的图标...
HTTP与HTTPS区别nginx配置
weixin_34347651的博客
09-08 818
2019独角兽企业重金招聘Python工程师标准>>> ...
nginx 配置https upstream 跳转失败
beyond0851的专栏
10-28 6036
问题描述: 在配置完成nginx后,访问就是无法实现代理,将proxy_pass配置成实际地址却又是好的 解决方法: location / {     proxy_pass http://localhost;     proxy_set_header  Host            $host;            #经测试只要加一个参数就可以实现代理功能 }...
Nginx双向SSL认证配置全步骤指南
"本文将详细解析Nginx的双向SSL认证配置过程,涵盖从环境准备到生成各种证书的步骤,确保服务器与客户端之间的安全通信。" 在网络安全领域,SSL(Secure Socket Layer)协议用于保障数据传输的安全性,而双向SSL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值