nginx 根证书 服务器证书,Nginx双向证书校验(服务器验证客户端证书)

最新推荐文章于 2024-06-07 22:26:57 发布
最新推荐文章于 2024-06-07 22:26:57 发布
阅读量3.8k 收藏 11
点赞数
文章标签: nginx 根证书 服务器证书

1、创建Root CA私钥

openssl genrsa -out root-ca.key 1024

2、创建Root CA证书请求

openssl req -new -out root-ca.csr -key root-ca.key

3、签发Root CA根证书

openssl x509 -req -in root-ca.csr -out root-ca.crt -signkey root-ca.key -CAcreateserial -days 3650

5、生成服务器私钥

openssl genrsa -out server.key 2048

6、生成服务器证书签名请求

openssl req -new -out server.csr -key server.key

Common Name注意使用服务器的域名

7、使用Root CA签发服务器证书(Root CA证书、Root CA私钥、服务器CSR)

openssl x509 -req -in server.csr -out server.crt -CA root-ca.crt -CAkey root-ca.key -CAcreateserial -days 3650

8、生成客户端私钥

openssl genrsa -out client.key 2048

9、生成客户端证书签名请求

openssl req -new -out client.csr -key client.key

10、签发客户端证书(Root CA证书、Root CA私钥、服务器CSRc)

openssl x509 -req -in client.csr -out client.crt -CA root-ca.crt -CAkey root-ca.key -CAcreateserial -days 3650

11、客户端证书转为p12格式(p12格式才能导入浏览器)

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

全过程:

538320ae433dfa3c603789d6aff0268b.png

Nginx验证客户端证书(使用OpenSSL生成自签名证书)

然后配置Nginx:

server

{

listen 11111;

server_name *.*.com;

ssl on;

ssl_certificate /root/ssl-cert/server.crt;

ssl_certificate_key /root/ssl-cert/server.key;

ssl_verify_client on;

ssl_client_certificate /root/ssl-cert/root-ca.crt;

location / {

client_max_body_size 10M;

proxy_set_header X-Forwarded-Host $host;

proxy_set_header X-Forwarded-Server $host;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header X-Real-IP $remote_addr;

proxy_ssl_verify off;

proxy_pass http://172.*.*.*:8080/;

proxy_redirect default;

}

}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

server

{

listen11111;

server_name  *.*.com;

sslon;

ssl_certificate/root/ssl-cert/server.crt;

ssl_certificate_key/root/ssl-cert/server.key;

ssl_verify_clienton;

ssl_client_certificate/root/ssl-cert/root-ca.crt;

location/{

client_max_body_size10M;

proxy_set_headerX-Forwarded-Host$host;

proxy_set_headerX-Forwarded-Server$host;

proxy_set_headerX-Forwarded-For$proxy_add_x_forwarded_for;

proxy_set_headerX-Real-IP$remote_addr;

proxy_ssl_verifyoff;

proxy_passhttp://172.*.*.*:8080/;

proxy_redirectdefault;

}

}

此时若不设置客户端证书访问会报错“No required SSL certificate was sent”,我们可以先使用curl进行验证(–insecure标识忽略服务器端证书校验,否则自签名证书会报错):

dc3698e2ddbe16c23f9679a3aca09494.png

curl使用客户端证书

如果是通过Chrome访问则是:

a2156619139766cdfe8cf07d7e69d58b.png

No required SSL certificate was sent

此时我们在Chrome中导入客户端证书,设置-高级-管理证书:

710e2d1233ea47793d86e18a66ae30d8.png

Chrome导入客户端证书0

然后将其导入“个人”:

179340b37332f22177f3ff2673778b94.png

Chrome导入客户端证书1

并在“高级”中勾选“客户端身份验证”的用途:

df004099a68733f529d958a16851555a.png

Chrome导入客户端证书2

然后重启Chrome,再次访问时将被提示选择证书:

90c6685abaeb6e725a58e5c47279b1bd.png

Chrome选择客户端证书

木子要多读书
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx篇08-添加客户端证书认证
tinychen
03-01 3225
本文主要介绍如何使用给nginx服务添加客户端证书认证从而实现双向加密。 对于一般的https网站来说,实际上https所使用的证书是属于单向验证,即客户端单向验证服务器的安全性,而服务器端是没有对客户端的身份进行验证的。关于https的原理,可以查看这篇文章:《SSL/TLS、对称加密和非对称加密和TLSv1.3》 如果自己部署了一些安全性较高的网站不希望被其他人随意访问,就可以尝试部署https的双向认证,对客户端也添加证书认证。本文将会使用openssl自签证书来完成最简单的一个https双向认证。
nginx代理服务器配置双向证书验证的方法
01-10
用脚本生成一个证书, 一个中间证书(intermediate), 三个客户端证书. 中间证书的域名为 localhost. #!/bin/bash -x set -e for C in `echo root-ca intermediate`; do mkdir $C cd $C mkdir certs crl newcerts...
nginx 代理服务器配置双向证书验证的方法
01-10
生成证书链 用脚本生成一个证书, 一个中间证书(intermediate), 三个客户端证书. 脚本来源于(有修改) https://stackoverflow.com/questions/26759550/how-to-create-own-self-signed-root-certificate-and-intermediate-ca-to-be-importe 中间证书的域名为 localhost. #!/bin/bash -x set -e for C in `echo root-ca intermediate`; do mkdir $C cd $C mkdir certs
Nginx配置客户端SSL双向认证
yazhiye的专栏
12-10 3648
转自:https://www.cnblogs.com/qiumingcheng/p/13282145.html 对于 NGINX 的 HTTPS 配置,通常情况下我们只需要实现服务端认证就行,因为浏览器内置了一些受信任的证书颁发机构(CA),服务器端只需要拿到这些机构颁发的证书并配置好,浏览器会自己校验证书的可用性并通过 SSL 进行通讯加密。 但特殊情况下我们也需要对客户端进行验证,只有受信任的客户端才能使用服务接口,此时我们就需要启用双向认证来达到这个目的,只有当客户端请求带了可用的证书才能调通服.
nginx配置正向代理忽略证书!!!!!
最新发布
u011197085的博客
06-07 651
Nginx都会忽略SSL证书检查,从而避免证书验证错误。在连接到HTTPS站点时忽略证书错误。要绕过证书验证并忽略SSL证书检查,可以使用。修改你的Nginx配置文件(例如。命令通过代理测试下载。
Nginx 服务器 SSL 证书安装部署
acheding的博客
04-14 1112
本文旨在通过WinSCP、putty两种工具,先下载证书,在上传至服务器指定文件夹,修改配置,重启nginx,实现在nginx上部署SSL证书
客户端证书身份验证
qq_44539748的博客
07-10 711
在上述配置中,我们使用ssl_certificate指令和ssl_certificate_key指令指定服务器证书和私钥文件的路径。通过按照上述步骤配置Nginx,并准备和使用有效的客户端证书和私钥,您可以增强服务器的安全性,只允许通过验证客户端访问服务器资源。客户端证书身份验证是一种安全机制,要求客户端提供有效的证书验证其身份,只有通过验证客户端才能访问服务器资源。首先,您需要准备客户端证书和私钥。确保将your_domain.com替换为您的域名,将文件路径替换为实际的证书和私钥文件路径。
https详解之 证书服务器证书、用户证书的区别 jg证书
yuezhilangniao的博客
12-02 4206
什么是证书证书链的意思是有一个证书机构A,A生成证书B,B也可以生成证书C,那么A是证书。 操作系统预先安装的一些证书,都是国际上很有权威的证书机构,比如 verisign 、 ENTRUST 这些公司。 我们普通申请的ssl证书都是这些证书的孙证书证书签发中间证书,中间证书签发ssl证书证书链的顺序是:ssl证书+中间证书证书证书链上的每个证书都是被它相邻的证书签发。
nginx配置ssl加密(单/双向认证、部分https)
weixin_34174322的博客
06-01 489
nginx下配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番。一开始采用的是全站加密,所有访问http:80的请求强制转换(rewrite)到https,后来自动化测试结果说响应速度太慢,https比http慢慢30倍,心想怎么可能,鬼知道他们怎么测的。所以就试了...
keystoke证书转换nginx证书工具
05-18
然而,Nginx,一个流行的开源Web服务器,通常需要`.pem`(Privacy Enhanced Mail)或`.crt`(Certificate)文件来存放公钥证书,以及`.key`文件来存放私钥。 该"keystoke证书转换nginx证书工具"就是为了桥接这个...
自动化脚本一键生成Nginx https证书证书格式为pem
11-12
Nginx中,通常需要两个文件:一个包含公钥的服务器证书(server.crt),另一个包含私钥的文件(server.key)。 生成HTTPS证书的过程通常包括以下步骤: 1. **生成RSA密钥对**:使用OpenSSL工具,我们可以运行`...
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过的,openssl 会自动的去找中级 CA 的签发者一层层验证上去,直到找到。 因此,在实际使用的时候,需要注意一下两点: CA 文件中必须同时存在 中级 CA 和 CA,必须构成完整证书链,不能少任何一个; 默认的验证深度 SslVerifyDepth ssl_verify_depth 是 1,也就是说只要是中级
使用shell脚本一键自动生产nginx https证书
08-04
原文链接:https://blog.csdn.net/m0_37814112/article/details/119391879?spm=1001.2014.3001.5501 说明:一键生产nginx https自签证书脚本,真实有效!
Nginx https反向代理502错误,proxy_ssl_server_name、proxy_ssl_verify
zzhongcy的专栏
08-10 5571
Nginx作用反向代理与上游服务器使用HTTPS建连时,默认不启用SNI,使用参数启用;默认不验证上游服务器返回的证书,使用开启上游证书验证Nginx会使用配置文件中指定的CA验证上游服务器返回证书的合法性,同时也会比对证书中的CommonName信息。
证书与https
hbshhb的博客
06-25 808
证书与https 为什么要使用证书 非对称加密存在公钥分发困难的问题 直接传递公钥,容易被截取 放到固定的位置,容易被替换 解决办法 引入第三方认证机构,CA(Certificate Authority) CA机构是一系列具有社会公信力的机构的总称,它们负责为厂商提供数字证书(有公钥),从而解决公钥分发困难的问题 证书使用流程 https http:应用层协议,标准协议 https:不是标准...
【原创】nginx上配置SSL双向认证的CA证书链(工具openssl)
HD243608836的博客
07-06 6538
配置SSL双向认证的CA证书链时,其中最关键的两步骤: ssl_client_certificateca.crt;#包含证书链的ca.crt ssl_verify_depth 2;# 指定双向认证客户端证书证书的深度,默认是1 配置如下: # HTTPS server # server { listen 443 ssl; listen 8110 ssl; server_name aaa.abc.com; ssl on; ssl_certif...
Nginx配置ssl双向认证
Tiger、
04-28 1813
Nginx配置ssl双向认证
使用Nginx配置客户端实现SSL双向认证
qq_25855003的博客
08-01 1868
一、Nginx配置客户端SSL双向认证 1. CA 与自签名 创建相关目录 #mkdir ssl #cd ssl 制作 CA 私钥 #openssl genrsa -out ca.key 2048 制作 CA 证书(公钥) #openssl req -new -x509 -days 3650 -key ca.key -out ca.crt 2. ...
CNNIC服务器证书配置:OpenSSL与Nginx教程
- 创建证书链,将下载的服务器证书证书和CNNIC中级证书连接起来,确保Nginx可以正确识别和验证证书。 - 修改Nginx配置,添加SSL/TLS相关指令,指定证书文件和密钥文件。 7. **特别提示**: 文档强调了某些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值