Openssl 自签证书实现nginx双端验证的https

最新推荐文章于 2023-12-08 17:02:29 发布
最新推荐文章于 2023-12-08 17:02:29 发布
阅读量178 收藏
点赞数
文章标签: 运维 移动开发 python
原文链接:https://my.oschina.net/swiftloop/blog/1570028
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

1.首先是下载openssl

http://slproweb.com/products/Win32OpenSSL.html

143419_Sslu_2661827.png

2.安装完成之后,进入bin目录,运行openssl.exe

3.实现双端验证,首先需要一个自签的ca根证书,然后用根证书对server与client证书进行签发,服务器配置服务端证书,将客户端证书下发给各个客户端

4.创建根证书key 这里选择的是无密码的

5.创建csr 填写信息

说明:这里用baidu做个栗子,求原谅。 对于各个信息的介绍相信其他文章也有介绍,这里不做介绍,主要对于Common Name (FQND) 这个用来识别域名,对于根证书填写*.xxx.xx表示匹配全部域名。在使用自签证书的时候,对于ios与android的移动端配置时,如果这里配置的是准确的访问域名而不是随意填写的字段,那么可以不需要去填写重写验证主机如android:

        //    SSL OK_HTTP配置 开始
        HttpsUtils.SSLParams sslParams = HttpsUtils.getSslSocketFactory(new InputStream[]{loadCer()}, null, null);
        OkHttpClient okHttpClient = new OkHttpClient.Builder()
                .addInterceptor(new LoggerInterceptor("OK_TAG"))  // 配置请求打印日志  上架时注释掉该条
                .connectTimeout(10000, TimeUnit.MILLISECONDS)
                .readTimeout(10000L, TimeUnit.MILLISECONDS)
                .hostnameVerifier(new HostnameVerifier() {   //设置默认主机受信
                    @Override
                    public boolean verify(String s, SSLSession sslSession) {
                        return true;
                    }
                })
                .sslSocketFactory(sslParams.sSLSocketFactory, sslParams.trustManager)
                .build();

重写hostnameVerifier方法 直接手动改为true。对于最后的扩展信息,这里可以不填。

6.一般写好以上的可以将csr提交到证书签发处,让他们签发有效的证书。这里我们还是自己签发,得到根证书。

7.得到根证书之后,我们需要的是服务器的证书,首先创建key,得到无密码的 方便部署

8.得到server.csr

说明:这里指明了域名地址为:api.baidu.com 其他无差。

9.用根证书签发服务器证书

到这里,服务器证书已经配置好了 直接拿到server.key和server.crt就可以部署https了

10.创建客户端证书key

11.创建client.csr

12.用根证书签发客户端证书

已上就得到所需要的证书文件,文件目录为:

13.配置nginx

	server {
	listen 9982 ssl;
	server_name localhost;
	ssl on;
	ssl_certificate_key certs/server.key;
	ssl_certificate certs/server.crt;
	ssl_client_certificate certs/root.crt;
	ssl_verify_client on;
    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;
    ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_prefer_server_ciphers  on;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        location / {
             root   html;
            index  index.html index.htm;
	   }
	}

说明:ssl_client_certificate 配置的是根证书,ssl_verify_client on  开启客户端证书验证

14.在火狐浏览器上打开

此时提示我们,客户端证书是没有安装的,我们需要将客户端证书转换下,以下 是证书转换的地址。

https://csr.chinassl.net/convert-ssl.html

上传客户端证书已经密钥,输入一个保护密码,转换完成后下载即可,当然,也可以自己使用openssl转换。

15.安装证书

说明:将下载下来的证书导入,需要输入你自己定义的保护密码,完成安装。这时关闭浏览器,重新开启。

总结:在使用命令的时候,在我windows安装的环境下,对于命令-extensions v3_req 如果不加-extfile cnf/openssl.cnf 签发出来的是v1版的证书,使用后则为v3版证书。 这里的-sha256是加密方法 可自行选择。对于签发根证书使用的是 v3_ca 与签发服务端、客户端证书有别。

附件:上文配置的证书

https://gitee.com/lencer93/ZhengShu

 

转载于:https://my.oschina.net/swiftloop/blog/1570028

njit_peiyuan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于openssl 自行签发https 协议证 openssl+nginx实现https自签有效加密实战记录
03-30
"基于openssl自行签发https协议证openssl+nginx实现https自签有效加密实战记录" 本篇文章主要讲述了使用openssl自行签发https协议证,并使用nginx实现https自签有效加密的实战记录。文章包含了证签发、nginx...
Nginx使用openssl开启https服务
alun550的博客
11-19 3941
Nginx开启https服务OpensslSSL原理HTTP通信SSLHTTPS下载安装生成证Nginx配置                 Openssl   SSL原理 基本术语: 加密 —— 使用公钥对数据进行加密的过程 私钥 —— 使用私钥对加密过的数据进行解密的过程 签名 —— 使用私钥对数据进行加密的过程 验证签名 —— 使用公钥对加密过的数据进行解密的过程   注:公钥和私钥均可对数据
Nginx配置ssl_client_certificate客户端认证问题
qq_34823218的博客
11-17 8622
问题1:ssl_client_certificate配置的CA证格式错误 参考Minitutorialforconfiguringclient-sideSSLcertificates和ClientSideCertificateAuthinNginx配置客户端的证认证,配置好后,在浏览器使用证认证报400错误 400BadRequest NorequiredSSLcertificatewassent 按照教程,生成相关证都没有问题,在配置nginx的...
Nginx ssl_client_certificate支持多CA 证链使用记录
jin_recruit的博客
12-17 4482
nginx ssl_client_certificate 双向验证 多CA 客户端证校验
SSL双向认证(高清版)
热门推荐
Linvo's blog
06-26 1万+
上一篇介绍了SSL双向认证的一些基本问题,以及使用Nginx+PHP基于它搭建https的Webservice。 之前的方式只是实现1:1的模式,昨天同事继续实现了n:1的模式,这里我再整理记录下。 由于nginx的ssl_client_certificate参数只能指定一个客户端公钥,如果增加一个客户端进行通信就要重新配一个server。 n:1的模式是通过CA的级联证模式实现的,首先自
nginx(六十七)http_ssl模块 client与nginx的ssl握手
wzj_110的博客
11-26 4265
client与nginx的ssl握手之http_ssl模块
使用shell脚本一键自动生产nginx https
08-04
原文链接:https://blog.csdn.net/m0_37814112/article/details/119391879?spm=1001.2014.3001.5501 说明:一键生产nginx https签证脚本,真实有效!
linux系统openssl 实现ssl自签证
12-02
当涉及到局域网内的服务器或客户端通信时,自签证是一种常见的解决方案,特别是对于测试环境或内部网络,因为它们不必通过权威的证颁发机构(CA)进行验证。Linux系统,如Ubuntu、CentOS、openEuler等,提供了...
Nginx配置SSL自签名证的方法
09-30
4. **自签发证**:使用`openssl x509`命令,结合之前生成的CSR和私钥,自签发一个有效期为365天的证,`openssl x509 -req -days 365 -in domain.csr -signkey domain.key -out domain.crt`。 接下来,我们需要...
openssl签证
最新发布
07-15
快速生成自签证
Nginx https(SSL)双向认证配置
Fighter168的专栏
01-14 1286
基于Let’s Encrypt证和自签名证实现双向认证。使用Let’s Encrypt实现客户端对服务端的验证,利用自签名证完成服务端对客户端的认证。 在此只介绍自签名证生成与配置部分(服务端对客户端的认证),Let’s Encrypt认证参考Let’sEncrypt SSL证一键安装。 生成服务端证 openssl genrsa -des3 -out ca.key 4096 open...
ssl证CA双向认证完整实现步骤(附java客户端代码)(好文章!)
HD243608836的博客
07-13 5306
一、基础概念 注:以下概念除专业名词外,均为个人理解,不具备权威性。 1、什么是系统安全管理 置于公网的系统,通常都需要一定的安全管理,据我个人理解,这里的安全管理主要分三个方面: 一是应用内的权限控制,比如具体应用的用户名、密码等; 二是应用数据传输过程中的安全机制,例如各种报文的加解密方案; 三是数据传输前的通讯安全机制,保证通讯双方都是可靠可信任的,PKI就是其中一个解决方案。 2、什么是PKI PKI是 Public Key Infrastructure的简称,意思是公钥基础设施。 公钥基
nginx ssl 配置说明
由入门到精通
11-19 795
Ssl_certificate :服务器公钥地址 Ssl_certificate_key :服务器私钥地址 Ssl_client_certificate : CA公钥地址 验证客户端证是否是同一CA签发 Ssl_verify_client : on打开双向认证
类型、自签CA证https双向认证(一篇就懂系列)
MX__LL的博客
06-16 7374
类型、自签CA证https双向认证(一篇就懂系列)
Nginx配置ssl双向认证(精简!好文章!)
HD243608836的博客
02-04 4309
最近在搞ssl双向认证的任务,需要在本地调测,所以就使用自己生成的CA来生成证。 这里只说如何配置双向认证,双向认证的概念就不说了。 具体看如下链接:https://www.jianshu.com/p/fb5fe0165ef2 CA与自签名 # 制作CA私钥 openssl genrsa -out ca.key 2048 # 制作CA公钥/根证 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # Common Name 随意填写
深入浅出:HTTPS单向与双向认证及证解析20231208
Narutolxy的博客
12-08 3464
网络安全的核心之一是了解和实施HTTPS认证。本文将探讨HTTPS单向认证和双向认证的区别,以及SSL证和CA证在这些过程中的作用,并通过Nginx配置实例具体说明。
gPRC之TLS双向认证
jannal专栏
08-09 261
gRPC java TLS 双向认证
自签名SSL证以及nginx配置https服务
fb_fatboy的博客
04-10 2441
生成一个CA根证,生成服务端证,生成客户端证nginx配置https服务,开启ssl双向认证
【原创】nginx上配置SSL双向认证的CA证链(工具openssl
HD243608836的博客
07-06 6652
配置SSL双向认证的CA证链时,其中最关键的两步骤: ssl_client_certificateca.crt;#包含证链的ca.crt ssl_verify_depth 2;# 指定双向认证客户端证到根证的深度,默认是1 配置如下: # HTTPS server # server { listen 443 ssl; listen 8110 ssl; server_name aaa.abc.com; ssl on; ssl_certif...
使用openssl+nginx配置自签发HTTPS实战
"基于openssl 自行签发https 协议证并使用openssl+nginx实现https自签有效加密的实战过程" 在网络安全中,HTTPS协议扮演着至关重要的角色,它通过SSL/TLS协议为网络通信提供了加密处理,确保了数据传输的安全性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值