自建CA实战之 《0x02 Nginx 配置 https双向认证》

已于 2023-11-26 22:39:09 修改
阅读量849 收藏 11
点赞数 10
分类专栏: 数字证书 文章标签: nginx https 网络 ssl
于 2023-11-26 02:29:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45919616/article/details/134623490
版权

自建CA实战之 《0x02 Nginx 配置 https双向认证》

上一章节我们已经实现了Nginx上配置https单向认证,主要场景为客户端验证服务端的身份,但是服务端不验证客户端的身份。

本章节我们将实现Nginx上配置https双向认证,主要场景为客户端验证服务端的身份,同时服务端也验证客户端的身份,简称双向认证。

双向认证的使用场景很多,比如我们在使用网银的U盾登录的时候,就是使用的双向认证,客户端验证服务端的身份,同时服务端也验证客户端的身份。

配置Nginx

在上一章节的基础上,我们只需要在Nginx上配置要求客户端验证即可。

把根证书导出到ssl/ca.crt,增加两行配置即可:

    ssl_verify_client on; # 要求客户端验证
    ssl_client_certificate ssl/ca.crt; # 信任该CA颁发的客户端证书

最终的配置如下:

server {
    listen       80; # 监听 80 端口
    listen 443 ssl;  # 监听 443 端口,用于SSL
    server_name  _; # 默认主机名/域名,这里我们不设置域名,所以用下划线代替
    ssl_certificate ssl/web.crt; # 导出的证书
    ssl_certificate_key ssl/web.key; #导出的私钥

    ssl_verify_client on; # 要求客户端验证
    ssl_client_certificate ssl/ca.crt; # 信任该CA颁发的客户端证书

    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;
    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}

尝试访问,可以看到浏览器提示需要证书:

在这里插入图片描述

创建客户端证书

创建密钥

创建证书

来源选项卡中

  • 使用此CA证书进行签名 -> 自建的CA证书
  • 使用模版创建新证书 -> TLS_client

点击【应用模版所有信息

在这里插入图片描述

主体选项卡中

需要注意的地方就是 commonName,这里我们需要填写的是客户端的域名

在这里插入图片描述

导出证书

导出格式选择PKCS#12证书链(*.pfx)

在这里插入图片描述

设置证书的密码,导入的时候需要用到。导入的时候双击打开证书,一直下一步就好。

在这里插入图片描述

重启浏览器,访问,可以看到浏览器提示需要选择证书:

在这里插入图片描述

点击小锁头,可以看到当前已经选择了客户端证书。

在这里插入图片描述

让 Nginx 日志记录客户端证书信息

我们可以通过Nginx的日志记录客户端证书信息,方便我们后续分析。效果如下图:

在这里插入图片描述

172.22.0.1 - - [25/Nov/2023:18:22:06 +0000] "GET / HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36 Edg/119.0.0.0" "emailAddress=taills@qq.com,CN=TestUserClient,OU=WeiPang,O=WeiPang,L=Nanning,ST=Guangxi,C=CN" "emailAddress=taills@qq.com,CN=TowereSec,OU=TowereSec,O=Towere,L=Nanning,ST=GuangXi,C=CN"

配置Nginx

# 增加日志格式
log_format main_ext '$remote_addr - $remote_user [$time_local] "$request" '
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" "$ssl_client_s_dn" "$ssl_client_i_dn"';
server {
    listen       80; # 监听 80 端口
    listen 443 ssl;  # 监听 443 端口,用于SSL
    server_name  _; # 默认主机名/域名,这里我们不设置域名,所以用下划线代替
    ssl_certificate ssl/web.crt; # 导出的证书
    ssl_certificate_key ssl/web.key; #导出的私钥
    ssl_verify_client on; # 要求客户端验证
    ssl_client_certificate ssl/ca.crt; # 信任该CA颁发的客户端证书
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;

    access_log /var/log/nginx/access.log main_ext; # 使用新的日志格式

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}

可以在docker-compose.yml中增加日志目录,方便我们查看日志:

version: '2.1'
services:
  nginx:
    image: nginx
    # restart: always
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./html:/usr/share/nginx/html:ro
      - ./conf.d:/etc/nginx/conf.d:ro
      - ./ssl:/etc/nginx/ssl:ro
      - ./logs:/var/log/nginx
韦胖漫谈IT
关注
  • 10
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java nginx https 双向认证
能写下来,理解才会更深
10-20 9205
最近要做个https 双向认证的,就做了个demo,踩了不少坑,记录一下. 主要还是对原理理解不够透彻,刚开始直接从网上搬个例子就用,结果大部分都不适用.
nginx环境下配置ssl加密(单双向认证、部分https
09-30
主要介绍了nginx环境下配置ssl加密(单双向认证、部分https),具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
Nginx配置https双向认证
热门推荐
happyzhang的Blog
11-20 1万+
1.      前期的准备工作: 安装openssl和nginxhttps模块 cd  ~/ mkdir ssl cd ssl mkdir demoCA cd demoCA mkdir newcerts mkdir private touch index.txt echo '01' > serial 2.      制作CA证书(这个是信任的起点,根证书,所有其他的证书都要
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1538
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
nginx配置https证书双向认证
itafeng
07-29 1697
目标 使用openssl生成证书并配置nginx. 步骤 1. 生成服务端证书和客户端证书 2. 配置nginx并重启 3. 本地浏览器导入客户端证书 4. 测试验证 证书制作详细过程 # 1 创目录 mkdir -p keys/private && mkdir -p keys/certs cd keys # 2 生成根证书: #生成根证书私钥 openssl genrsa...
nginx 配置 https双向认证
Welcome to Radish Blog
01-27 273
SSL 的双向认证就是,客户端要获取服务端的证书,检查下服务端是不是我可以信任的主机,否则我就认为那个站点的内容不可信任,不应该去访问你(浏览器会告诉你),同时服务端也要检查客户端的证书,客户端如果不是服务端所信任的,那服务端也会认为,你不是我的合法用户,我拒绝给你提供服务。所以,要让 HTTPS双向认证顺利完成,就要在服务端给定一个证书,这个证书是浏览器可信任的,同时客户端(浏览器)也要...
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** 在网络安全日益重要的今天,服务器与客户端之间的通信安全成为了一个不可忽视的问题。本文将详细介绍如何在Nginx服务器上配置SSL双向认证,以提高服务器的安全性,允许只有经过验证...
使用Nginx实现HTTPS双向验证的方法
09-30
主要介绍了使用Nginx实现HTTPS双向验证的方法,涉及到单向验证和双向验证的区别介绍,本文介绍的非常详细,具有参考借鉴价值,感兴趣的朋友一起学习吧
docker构nginx双向认证https服务器
06-18
docker构nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
安全认证系列之-Java后台访问双向认证服务
weinichendian的博客
11-10 655
1.介绍 以java程序作为客户端,原理是一样的,也需要客户端请求时携带客户端证书和秘钥,并且客户端需要保存根证书,用来验证服务端证书的可靠性,所以首先需要安装根证书。 2.根证书安装 1)生成truststore库文件进行访问-原生方式 根证书可以使用jdk的keytool工具安装,方式有很多种,这里只选用库文件的模式。 首先,把根证书ca.crt复制一份,重命名为ca.cer,然后把这个文件复制到jdk的jre\lib\security目录下,在这个目录中进行根证书的安装: 运行命令
nginx 配置 https双向认证
CheerTan is here
10-11 1993
注意事项 配置双向认证,这里的common name需要都配置成不同 nginx 配置 https双向认证 1.准备工作 linux环境安装openssl 2.生成证书步骤 1.新一个文件夹 mkdir /root/keys 2.生成CA私钥 ca.key openssl genrsa -out ca.key 4096 3.生成ca的数字证书 ca.crt openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Co
Nginx Https 双向认证
猴子哥哥的博客
02-04 771
1 基础知识 1.1 单向认证 SSL 步骤 1、客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息 2、服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书 3、客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和
nginx配置https双向认证
weixin_42084197的博客
12-24 418
基础知识SSL: Secure Socket Layer, 安全套接字层,它位于TCP层与Application层之间。提供对Application数据的加密保护(密文),完整性保护(不...
巧用 Nginx 快速实现 HTTPS 双向认证
easylife206的专栏
08-03 5689
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !研究 HTTPS双向认证实现与原理,踩了不少坑,终于整个流程都跑通了,现在总结出一篇文档来,把一些心...
Nginx配置https双向认证访问
endzhi的博客
03-21 1004
需求:某些机密网站,仅允许特定电脑访问,能在运维方式解决,就不去麻烦开发! 安装或升级openssl yuminstall-yopenssl 安装nginx,这里已经安装,安装目录为/usr/local/nginx/ 创一个新的CA根证书,在nginx安装目录下新ca文件夹并创几个子文件夹 mkdir/usr/local/nginx...
https 单向认证双向认证
茅坤宝骏氹的博客
06-10 2936
转载自   https 单向认证双向认证 一、Http HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。 使用TCP端口为:80 二、Https Hyper Text Transfer Protocol ov...
nginx+openssl+https 实现双向认证所遇到的坑
a942945571的博客
08-25 2206
最近公司网站项目要求配置nginx+openssl+https双向认证,遇到不少问题,重要问题特此小记。 1.nginx ssl模块添加 由于nginx在安装是并未添加ssl模块,所以需要先添加ssl模块。但是需要有nginx源码包。 具体可参考http://www.cnblogs.com/ghjbk/p/6744131.html 2.一个小问题 具体生成过程可参考 http
nginx配置wss双向认证
12-20
nginx配置wss双向认证的步骤如下: 1. 在/etc/nginx/conf.d目录下创一个名为443.conf的文件,用于处理443端口的转发。 2. 在443.conf文件中添加以下配置: ```shell server { listen 443 ssl; server_name your_domain; ssl_certificate /path/to/your/certificate.crt; ssl_certificate_key /path/to/your/private.key; ssl_client_certificate /path/to/your/client.crt; ssl_verify_client on; location / { proxy_pass http://your_backend_server; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } } ``` 其中,your_domain替换为你的域名,/path/to/your/certificate.crt和/path/to/your/private.key替换为你的服务器证书和私钥的路径,/path/to/your/client.crt替换为客户端证书的路径,your_backend_server替换为你的后端服务器地址。 3. 保存并退出443.conf文件。 4. 运行命令nginx -t检测配置是否有错。 5. 如果没有错误,运行命令nginx -s reload重新加载nginx配置。 请注意,以上配置假设你已经有了有效的服务器证书、私钥和客户端证书,并将其放置在正确的路径下。另外,你还需要将your_backend_server替换为实际的后端服务器地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

韦胖漫谈IT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值