自建CA实战之 《0x01 Nginx 配置 https单向认证》

已于 2023-11-26 22:38:46 修改
阅读量1.3k 收藏 28
点赞数 17
分类专栏: 数字证书 文章标签: nginx https ssl docker
于 2023-11-23 00:04:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45919616/article/details/134565797
版权

自建私有化证书颁发机构(Certificate Authority,CA)实战之 《0x01 Nginx 配置 https单向认证》

上一篇文章我们介绍了如何自建私有化证书颁发机构(Certificate Authority,CA),本篇文章我们将介绍如何使用自建的CA颁发的证书来配置Nginx的https单向认证。为了方便环境的搭建,以下使用docker来搭建nginx https 环境。

docker 环境的准备

主机环境:

ifconfig |grep inet
inet 127.0.0.1 netmask 0xff000000 
inet 192.168.1.12 netmask 0xffffff00 broadcast 192.168.1.255
inet 192.168.85.1 netmask 0xffffff00 broadcast 192.168.85.255
inet 192.168.22.1 netmask 0xffffff00 broadcast 192.168.22.255

当前主机有多个内网IP,我们可以用一张证书,包含多个IP,也可以用多张证书,每个IP对应一张证书。

这里我们使用单张证书的方式。计划包含的IP如下:

  • 127.0.0.1
  • 192.168.1.12
  • 192.168.85.1
  • 192.168.22.1

新建一个测试目录,创建3个文件夹及docker-compose.yml文件,命令如下:

mkdir {html,conf.d,ssl}
touch docker-compose.yml

docker-compose.yml 的内容如下:

version: '2.1'
services:
  nginx:
    image: nginx
    # restart: always
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./html:/usr/share/nginx/html:ro
      - ./conf.d:/etc/nginx/conf.d:ro
      - ./ssl:/etc/nginx/ssl:ro

其中目录分别为:

  • ./html 为nginx的静态资源目录
  • ./conf.d 为nginx的配置文件目录
  • ./ssl 为nginx的证书目录。

创建nginx的配置文件./conf.d/default.conf,内容如下:

server {
    listen       80; # 监听 80 端口
    listen 443 ssl;  # 监听 443 端口,用于SSL
    server_name  _; # 默认主机名/域名,这里我们不设置域名,所以用下划线代替
    ssl_certificate ssl/web.crt; # 导出的证书
    ssl_certificate_key ssl/web.key; #导出的私钥
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;
    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}

创建nginx的静态资源文件./html/index.html,内容如下:

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title>nginx https 单向认证</title>
</head>
<body>
    <h1>nginx https 单向认证</h1>
</body>
</html>

证书的准备

创建密钥

私钥 - 创建密钥 - 输入内部名称 - 确定

在这里插入图片描述

创建证书

证书-创建证书

来源

在这里插入图片描述

选中【使用此CA证书进行签名】,并在后面下拉框选择你创建的CA

在【使用模版创建新证书】的下拉框中,选择 [default] TLS_server

主体

在这里插入图片描述

在主体选项卡里,填上一些信息:

  • 内部名称:主要为了方便识别
  • [countryName] 国家:填写你所在的国家,这里我们填写 CN
  • [stateOrProvinceName] 省份:填写你所在的省份,这里我们填写 GuangXi
  • [localityName] 地区:填写你所在的地区,这里我们填写 Nanning
  • [organizationName] 组织:填写你所在的组织,这里我们填写 docker-nginx
  • [organizationalUnitName] 组织单位:填写你所在的组织单位,这里我们填写 docker-nginx
  • [commonName]通用名称:填写你的域名或者IP地址,这里我们填写 127.0.0.1,如果证书只针对单个域名或IP,填这里就够了。
  • [emailAddress] 电子邮件地址:填写你的邮箱地址,这里我们填写 taills@qq.com

在私钥下拉框中,选择我们上一步创建的私钥。

扩展

在这里插入图片描述

这里我们需要扩展所有的IP地址,设置如上图所示

IP:127.0.0.1, IP:192.168.1.12, IP:192.168.22.1, IP:192.168.85.1

如果想使用域名,就选择DNS类型。

密钥用法

在这里插入图片描述

选中 【TLS Web Server Authentication】,这里我们只需要用到这个。字面意思就是用于web服务器认证。

点击【确定】创建证书。

导出证书

在这里插入图片描述

选择我们创建的docker-nginx证书,点击【导出】,导出crt格式的证书。

在这里插入图片描述

相应的,我们导出名为docker-nginx的私钥,导出PEM private(*.pem)格式的私钥。
在这里插入图片描述

把导出的证书和私钥,放到我们的./ssl目录下。分别重命名为web.crtweb.key

其中:

  • web.crt 为证书
  • web.key 为私钥

启动nginx

docker-compose up

测试访问

用 https 协议访问,内容正常显示且浏览器地址栏显示上锁了,说明配置成功。

在这里插入图片描述

查看证书详情,可以看到证书的信息。

在这里插入图片描述

韦胖漫谈IT
关注
专栏目录
Nginx单向认证和双向认证安装配置
liucy007的博客
01-31 1858
1.Nginx单向认证的安装配置 参考 https://www.cnblogs.com/zhoulf/p/4040015.html?tdsourcetag=s_pcqq_aiomsg 补充 Nginx.config配置文件 upstream server_pool { server 10.110.26.78:8080; } server { listen 4...
nginx https双向认证
mengting2040的博客
11-21 84
nginx https双向认证
Android+Nginx一步步配置https单向/双向认证请求
Dream Fly的专栏
09-26 2338
  最近想实现一个旧项目https的防抓包功能,重新学习并且配置了下https相关通信知识,参考了不少文章,有些文章比较旧不全或者有误,走了不少弯路和坑,所以整理出来方便自己巩固以及供大家参考,指出不足或者有误之处互相学习。   本文的服务端环境: Debian 9.8 Nginx 原创文章,欢迎转载,转载请注明:ifish.site 作者:JaydenZhou 一、需要的前置知识点   本文...
Nginx-配置HTTPS证书(单向认证)
孟孟的博客
01-28 5194
1. 生成一个 CA 私钥: ca.key mkdir /home/nginx/ssl cd /home/nginx/ssl openssl genrsa -out ca.key 4096
三、基于nginx构建单向认证服务
悠闲咖啡007的博客
01-22 307
修改nginx配置文件 #服务器的集群 upstream netitcast.com { #服务器集群名字 server localhost:8080 weight=1;#服务器配置 weight是权重的意思,权重越大,分配的概率越大。 } 解开配置文件注释 # HTTPS server # #server { # listen
Nginx单向认证的安装配置
海边的风
07-23 282
首先系统要已经安装 openssl,以下是使用 openssl 安装配置单向认证的执行步骤与脚本: #-------------------------------------------------------- #单向认证,就是传输的数据加密过了,但是不会校验客户端的来源 #单项SSL连接,也就是只是客户端验证服务器证书 #-----------------------------------...
nginx配置Https单向认证和双向认证
ONS_cukuyo的博客
01-26 3958
  1、配置nginx单向认证 配置文件为nginx解压目录下的conf/nginx.conf文件 其中关于https配置配置信息是有的,只是被注释掉了,所以我们简单修改就可以用了   Https监听端口为:443(http默认端口为80,https默认端口为443) 服务器名称为:test.XXXXXX.com,这一点需要和证书里声明的一致 公钥:../../XXHttps配置/...
linux中自建证书搭建https
热门推荐
a1523407的博客
04-26 1万+
前言          搭建https有两种方式,分为单向认证和双向认证单向认证就是传输的数据加密过了,但是不会校验客户端的来源,也就只有客户端验证服务端证书。 搭建https  1.生成单向认证https证书 建立服务器私钥,生成RSA秘钥。过程中会要求输入密码,记住你输入的密码。(如:123456) [root@iZ23f31fmtgZ certificate
web服务之NGINX基础
kuangfeng的博客
06-14 1237
nginx优点,nginx应用场景、历史背景、发布历史,nginx的安装,web服务器的搭建,https
基于httpclient4.5.6实现ssl双向访问、单向访问
luoni186的专栏
09-11 1633
1.引入包 &lt;dependency&gt;     &lt;groupId&gt;org.apache.httpcomponents&lt;/groupId&gt;     &lt;artifactId&gt;httpclient&lt;/artifactId&gt;     &lt;version&gt;4.5.6&lt;/version&gt; &lt;/dependency&
计算机网络和配置管理
weixin_51943889的博客
12-30 3473
网络协议和网络配置
通过Nginx搭建HTTPS双向认证代理
09-04 2553
一、Nginx双向认证配置: 在 Nginx.conf 增加如下 server 配置,或者在 Nginx.conf 指定读取其他子配置文件的位置,比如:include /etc/nginx/conf.d/*.conf,这里指定扫描并读取 /etc/nginx/conf.d/ 目录下的 .conf 后缀结尾的文件。 sslProxy.conf: server { listen 55111 ssl; server_name 11.11.11.111;
nginx 配置https双向认证
qq_19641001的博客
05-22 470
参考博客 https://blog.csdn.net/zkt286468541/article/details/80864184 # 制作CA私钥 openssl genrsa -out ca.key 2048 # 制作CA公钥/根证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # 服务器端证书 # 制作服务器私钥 openssl genrsa -out server.pem 1024 openssl rsa -in serve.
nginx配置ssl单向验证
love_yu_er的博客
05-09 1201
生成一个RSA密钥openssl genrsa -des3 -out bym.phpmyadmin.com.key 1024 (密码:xiao123)拷贝一个不需要输入密码的密钥文件openssl rsa -in bym.phpmyadmin.com.key -out bym.phpmyadmin.com_nopass.key生成一个证书请求openssl req -new -key bym.php
从http到https简介,tomcat和nginxhttps配置单向认证和双向认证简介,对称加密和非对称加密简介,RSA算法简介
lkforce
01-11 1782
Http HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。 使用TCP端口为:80。 是浏览器默认的协议。 也就是: 如果在地址栏输入:rainbow.dingding.com, 浏览器会认为真正的地址是:h
巧用 Nginx 快速实现 HTTPS 双向认证
qq_40907977的博客
08-05 972
1.原理 双向认证,顾名思义,客户端和服务器端都需要验证对方的身份,在建立 HTTPS 连接的过程中,握手的流程比单向认证多了几步。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。 1.1 单向认证流程 单向认证流程中,服务器端保存着公钥证书和私钥两个文件,整个握手过程如下: 1、客户端发
nginx代理Https单向认证和双向认证
ONS_cukuyo的博客
01-26 4371
  1、了解nginx请求转发 感谢:http://blog.csdn.net/tobacco5648/article/details/51099426 作者:liuwons 例如有 webmail , webcom 以及 webdefault 三个服务器分别运行在portmail , portcom , portdefault 端口,要实现从80端口同时访问这三个web服务器,则可以在8...
Ubuntu 16.04 Nginx 证书 单向验证 双向验证
心猿意码
01-28 4378
申请阿里云免费证书 添加域名解析 下载证书 登录服务器 创建一个空的文件夹 cert 上传刚刚下载的证书文件 配置路径 https 单向验 没有https之前 添加如下配置文件 server { listen 443; server_name localhost; ssl on; root /var/www/html; index index....
更美观的HTTP性能监测工具:httpstat
最新发布
Linux技术宅
10-03 946
项目地址语言:该工具主要是以Python编写,保证了跨平台兼容性(Windows、BSD、Linux)以及高性能。功能:模仿经典的网络诊断工具curl,但提供更详细、更易于理解的HTTP请求统计信息,包括连接时间、DNS解析时间、TLS握手时间、响应时间等。
使用openssl+nginx配置自签发HTTPS证书实战
"基于openssl 自行签发https 协议证书并使用openssl+nginx实现https自签有效加密的实战过程" 在网络安全中,HTTPS协议扮演着至关重要的角色,它通过SSL/TLS协议为网络通信提供了加密处理,确保了数据传输的安全性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

韦胖漫谈IT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值