Java nginx 双向ssl_nginx配置ssl双向验证 nginx https ssl证书配置

最新推荐文章于 2024-05-23 19:01:50 发布
最新推荐文章于 2024-05-23 19:01:50 发布
阅读量127 收藏
点赞数
文章标签: Java nginx 双向ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39836530/article/details/114665860
版权

参考《nginx安装》:http://www.ttlsa.com/nginx/nginx-install-on-linux/

如果你想在单IP/服务器上配置多个https,请看《nginx 同一个IP上配置多个HTTPS主机》

2、使用openssl实现证书中心

由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同

Country Name

State or Province Name

Locality Name

Organization Name

Organizational Unit Name

1

2

3

4

5

Country Name

State orProvince Name

Locality Name

Organization Name

Organizational Unit Name

编辑证书中心配置文件

vim

/etc/pki/tls/openssl.cnf

[ CA_default ]

dir             = /etc/pki/CA

certs           = $dir/certs            # Where the issued certs are

kept

crl_dir         = $dir/crl              # Where the issued crl are kept

database        = $dir/index.txt        # database index file.

#unique_subject = no                    # Set to 'no' to allow creation

of

# several ctificates with same subject.

new_certs_dir   = $dir/newcerts         # default place for new certs.

certificate     = $dir/cacert.pem       # The CA certificate

serial          = $dir/serial           # The current serial number

crlnumber       = $dir/crlnumber        # the current crl number

# must be commented out to leave a V1

CRL

crl             = $dir/crl.pem          # The current CRL

private_key     = $dir/private/cakey.pem# The private key

RANDFILE        = $dir/private/.rand    # private random number file

[ req_distinguished_name ]

countryName                     = Country Name(2 letter code)

countryName_default             = CN

countryName_min                 = 2

countryName_max                 = 2

stateOrProvinceName             = State or Province Name (full name)

stateOrProvinceName_default     = FJ

localityName                    = Locality Name (eg, city)

localityName_default            = FZ

0.organizationName              = Organization Name (eg, company)

0.organizationName_default      = zdz

organizationalUnitName          = Organizational Unit Name (eg,

section)

organizationalUnitName_default  = zdz

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

vim/etc/pki/tls/openssl.cnf

[CA_default]

dir=/etc/pki/CA

certs=$dir/certs# Where the issued certs are kept

crl_dir=$dir/crl# Where the issued crl are kept

database=$dir/index.txt# database index file.

#unique_subject = no                    # Set to 'no' to allow creation of

# several ctificates with same subject.

new_certs_dir=$dir/newcerts# default place for new certs.

certificate=$dir/cacert.pem# The CA certificate

serial=$dir/serial# The current serial number

crlnumber=$dir/crlnumber# the current crl number                                        # must be commented out to leave a V1 CRL

crl=$dir/crl.pem# The current CRL

private_key=$dir/private/cakey.pem# The private key

RANDFILE=$dir/private/.rand# private random number file

[req_distinguished_name]

countryName=Country Name(2letter code)

countryName_default=CN

countryName_min=2

countryName_max=2

stateOrProvinceName=State orProvince Name(full name)

stateOrProvinceName_default=FJ

localityName=Locality Name(eg,city)

localityName_default=FZ

0.organizationName=Organization Name(eg,company)

0.organizationName_default=zdz

organizationalUnitName=Organizational Unit Name(eg,section)

organizationalUnitName_default=zdz

创建证书私钥

cd /etc/pki/CA/private

(umask 077;openssl genrsa -out cakey.pem 2048)

1

2

cd/etc/pki/CA/private

(umask077;openssl genrsa-out cakey.pem2048)

生成自签证书

cd /etc/pki/CA/

openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days=3655

1

2

cd/etc/pki/CA/

openssl req-new-x509-key private/cakey.pem-out cacert.pem-days=3655

3、创建服务器证书

mkdir /usr/local/nginx/ssl

cd /usr/local/nginx/ssl

(umask 077;openssl genrsa -out nginx.key 1024)

openssl req -new -key nginx.key -out nginx.csr

openssl ca -in nginx.csr -out nginx.crt -days=3650

1

2

3

4

5

mkdir/usr/local/nginx/ssl

cd/usr/local/nginx/ssl

(umask077;openssl genrsa-out nginx.key1024)

openssl req-new-key nginx.key-out nginx.csr

openssl ca-innginx.csr-out nginx.crt-days=3650

4、创建客户端浏览器证书

(umask 077;openssl genrsa -out client.key 1024)

openssl req -new -key client.key -out client.csr

openssl ca -in client.csr -out client.crt -days=3650

将文本格式的证书转换成可以导入浏览器的证书

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

1

2

3

4

5

(umask077;openssl genrsa-out client.key1024)

openssl req-new-key client.key-out client.csr

openssl ca-inclient.csr-out client.crt-days=3650

将文本格式的证书转换成可以导入浏览器的证书

openssl pkcs12-export-clcerts-inclient.crt-inkey client.key-out client.p12

5、配置nginx服务器验证

vim /usr/local/nginx/conf/nginx.conf

ssl on;

ssl_certificate         /usr/local/nginx/ssl/nginx.crt;

ssl_certificate_key     /usr/local/nginx/ssl/nginx.key;

ssl_client_certificate  /usr/local/nginx/ssl/cacert.pem;

ssl_session_timeout     5m;

#ssl_verify_client       on;                         服务器验证客户端,暂时不开启,让没有证书的客户端可以访问,先完成单向验证

ssl_protocols           SSLv2 SSLv3 TLSv1;

1

2

3

4

5

6

7

8

vim/usr/local/nginx/conf/nginx.conf

ssl on;

ssl_certificate/usr/local/nginx/ssl/nginx.crt;

ssl_certificate_key/usr/local/nginx/ssl/nginx.key;

ssl_client_certificate/usr/local/nginx/ssl/cacert.pem;

ssl_session_timeout5m;

#ssl_verify_client       on;                         服务器验证客户端,暂时不开启,让没有证书的客户端可以访问,先完成单向验证

ssl_protocolsSSLv2 SSLv3 TLSv1;

4e17ded183ee855b0a283e5d7cd25606.png

点击“我已充分了解可能的风险”

aa463eeb79226b48c5e45d9c01d62c91.png

点击“添加例外”

22b61bc7c0f288fb8bb93fec678d33dd.png

点击“确认安全例外”

44d09be0e08cb869517f3a93a71282a9.png

6、配置双向验证

nginx配置开启ssl_verify_client       on;

在客户端浏览器没有安装证书的情况下访问

683d0bef041a24992714f6fa8bbb45ff.png

在客户端浏览器导入证书

509afeb7dde79f864ac70f4d8c09ad35.png

将在Linux服务器上生成的客户端证书下载到windows上

ac776266a608012e40e3fd88a8b14ec7.png

打开火狐浏览器的高级选项卡

a58e45f99ae0b907033fbfdfa84ccfee.png

在证书管理器中的您的证书中点击导入

2236c2b75a08aa8292d1194e10e64220.png

选择证书并导入

0baa0841a0105e012476735b83cb97c3.png

再次刷新网页,弹出“使用确认”点击确定,就实现了双向验证

本文转自:http://www.zhengdazhi.com/?p=865

weixin_39836530
关注
nginx ssl证书配置
学海无涯,我用JAVA
03-11 2303
linux服务器nginx配置ssl证书。至此 已经可以成功通过域名访问到服务器的页面了~~
ssl证书nginx+tomcat+java代码适用)
07-09
ssl自制全套证书(包含服务器端、客户端、ca端的证书,格式有.crt,.key,.truststore,.keystore,.p12,.cer,.pem等类型),当时要配置webservice接口、tomca、nginx通过ssl访问的证书,弄了好久才生成了一套能使用的。下载后将文件解压到磁盘里,配置后访问即可。本套证书在windows上制作的,测试没问题,可以放心使用。client代表客户端的证书,server代表服务器端的证书,ca代表三方公正机构。
Java nginx 双向ssl_Nginx配置单项SSL以及双向SSL
weixin_36436373的博客
02-25 167
Nginx配置示例(单向)server {listen 443 ssl;server_name www.oldxu.com;index index.html index.php;root /code;ssl on;ssl_certificate server.crt;ssl_certificate_key server.key;ssl_protocols TLSv1 TLSv1.1 TLSv1.2...
Nginx ssl
火侬智能科技
12-09 456
  Nginx配置ssl证书(中间证书) 在Nginx配置ssl证书,默认的配置文件,在pc浏览器中正常访问,在手机浏览器中无法认证 -------------------------------------------------------------- http://blog.csdn.net/gudufeiyang/article/details/58603402 =========...
Java nginx 双向ssl_nginx配置ssl双向验证的方法
weixin_36028243的博客
02-25 369
1、安装nginx略2、使用openssl实现证书中心由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同Country NameState or Province NameLocality NameOrganization NameOrganizational Unit Name编辑证书中心配置文件vim /etc/pki/tls/open...
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过...
Nginx双向SSL认证配置详解
04-09
完成证书的准备工作后,接下来配置Nginx支持双向SSL认证。 ##### 4.1 配置示例 ```nginx http { include mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout 65; server {...
详解nginx使用ssl模块配置支持HTTPS访问
09-30
- 配置其他SSL相关选项,如`ssl_protocols`、`ssl_ciphers`等,以确保安全性和兼容性。 - 保存并关闭配置文件。 **五、Nginx配置示例** ```nginx server { listen 443; server_name localhost; ssl on; root ...
nginx_ssl_configuration:nginx_ssl_configuration
07-13
`ssl_client_certificate` 和 `ssl_verify_client` 可用于客户端证书验证,以进一步增强安全性。 `ssl_prefer_server_ciphers` 指定优先使用服务器支持的加密套件,`ssl_dhparam` 提供 Diffie-Hellman 密钥交换参数...
Nginx生成一个自签名的SSL证书脚本
11-18
Nginx生成一个自签名的SSL证书脚本
Linux下nginx配置https协议访问的方法
01-10
一、配置nginx支持https协议访问,需要在编译安装nginx的时候添加相应的模块–with-http_ssl_module 查看nginx编译参数:/usr/local/nginx/sbin/nginx -V 如下所示: configure arguments: –prefix=/usr/local/nginx –with-google_perftools_module –without-http_memcached_module –user=www –group=www –with-http_stub_status_module –with-http_sub_module –with
在云服务器上使用Nginx部署java项目和SSL证书
onlywishes的博客
10-12 2967
在服务器上下载好对应域名的SSL证书,解压后有四个文件,后缀为 .csr .key _bundle.crt _bundle.pem, 将后缀为 .key 和 _bundle.crt的文件上传到Nginx的。将静态资源部署到Nginx很简单,只要将文件复制到Nginx安装目录下的HTML目录中即可。反向代理服务器位与用户与目标服务器之间,但是对于用户而言,反向代理服务器就相当于目标服务器,即用户直接访问代理服务器就可以获得目标服务器的资源,反向代理服务器负责将请求转发给目标服务器。
Java nginx 双向ssl_使用Nginx实现HTTPS双向验证的方法
weixin_31452537的博客
02-25 247
https单向验证应用广泛想必大家都很熟悉,我已经在一篇博文中分享过,这次来看看Nginx如何实现双向验证。单向验证双向验证的区别:单向验证: 指客户端验证服务器端证书,服务器并不需要验证客户端证书双向验证:指客户端验证服务器端证书,而服务器也需要通过CA的公钥证书验证客户端证书。详细的握手过程:单向验证浏览器发送一个连接请求给安全服务器。1、服务器将自己的证书,以及同证书相关的信息发送给客...
Nginx 配置ssl
java_w的专栏
12-17 214
#配置http请求转发到https server { listen 80 ; server_name http域名; return 301 $scheme://https域名$request_uri; } #https配置ssl listen 443 ssl; ssl_certificate /usr/local/nginx/sslkey/xxx.cr...
SSL证书制作及nginx部署
最新发布
yudaxiaye的博客
05-23 1501
本文主要介绍了SSL证书的制作及如何将证书部署在nginx中,并简要说明在制作及部署过程中可能遇到的问题。
linux7.6安装nginx并使用java8生成证书配置https(小白都能看得懂!!!)
f_h_h的博客
07-26 714
linux7.6安装nginx并使用java8生成证书配置https1. 在linux7.6中安装nginx下载nginx上传到服务器中并解压使用nginx默认配置. 并编译安装启动nginx检查nginx是不是有ssl模块安装ssl模块2. 使用java生成证书3. 用nginx配置https证书转成为pemnginx配置https 总体来说就是三步: 1.安装nginx, 2.使用java生成证书, 3. 使用nginx配置https 1. 在linux7.6中安装nginx 下载nginx 下载
NginxNginx SSL配置
非著名JAVA程序员的博客
12-24 246
参考链接:https://blog.51cto.com/jacksoner/2316349 使用了一个生动的例子讲解了证书,CA,CA证书证书的之间的信任关系,证书信任链,根证书。 简单说: 证书就是一个网站的凭证,这个证书用来证明网站是真实可信的,比如说中国人民银行官网的证书就是用来证明当前这个官网是真实的可信的; ssl公钥/ssl密钥:ssl公钥就是用来加密客户端和服务端的对称密钥的(这个对称密钥用于加密request和response数据),比如说你在浏览器上访问中国人名银行官网,当然这个官网是
Zhi-nginx配置ssl证书
php_bian的博客
10-06 187
Nginx使用Nginx配置HTTPS域名证书 使用Nginx配置HTTPS域名证书 1.查看nginx是否有nginx模块 方法1:./nginx -V 方法2:cd objs/ vim ngx_modules.c 查找ssl 如果没有:重新编译配置文件 ./configure \ --prefix=/usr/local/nginx \ --pid-path=/var/run/nginx/nginx.pid \ --lock-path=/var/lock/nginx.lock \ --error-log
nginx配置SSL双向验证详细步骤
"本文将详细介绍如何在Nginx服务器上配置SSL双向认证,包括安装Nginx、创建自签名证书中心、生成服务器证书和客户端证书,以及在Nginx配置文件中设置相关参数。" 在现代网络安全中,SSL(Secure Socket Layer)协议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值