使用 Nginx 配置 SM2 加密证书

于 2024-08-13 17:45:00 发布
阅读量373 收藏 8
点赞数 3
分类专栏: 其他 文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wls_gk/article/details/141161562
版权

简介

在传统的 Web 服务中,我们通常使用 RSA 或者 ECC(Elliptic Curve Cryptography)算法来完成加密通信。然而,在国内,由于政策原因,使用国际标准的加密算法会受到一些限制。为了满足这一需求,SM2 算法作为一个国产加密算法得到了广泛应用。

Nginx 是一个高性能的开源 Web 服务器,在配置 SSL 证书时也支持 SM2 算法。本文将详细介绍如何在 Nginx 中配置 SM2 加密证书。

准备工作

在开始配置之前,确保已经安装好了 Nginx,并且已经获取到了 SM2 证书和私钥。

如果你还没有SM2证书,可以通过以下步骤生成:

  1. 使用 OpenSSL 生成 SM2 私钥:openssl ecparam -name sm2p256v1 -genkey -out private.key
  2. 通过私钥生成公钥:openssl ec -in private.key -pubout -out public.key
  3. 生成证书签名请求(CSR):openssl req -new -key private.key -out csr.csr
  4. 将 CSR 发送给证书颁发机构(CA)获取证书

配置 Nginx

使用 SM2 私钥和证书

首先,在 Nginx 的配置文件中指定 SM2 证书和私钥的路径:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/cert.sm2;
    ssl_certificate_key /etc/nginx/ssl/private.key;
}

支持 SM2 密钥交换

SM2 算法不仅可以用于加密通信,还可以用于密钥交换。密钥交换是指通过非对称加密算法来协商对称加密算法所需的对称密钥。在 Nginx 中启用 SM2 密钥交换的配置如下:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/cert.sm2;
    ssl_certificate_key /etc/nginx/ssl/private.key;
    ssl_ecdh_curve secp256k1;
}

启用 SM2 加密套件

为了使用 SM2 加密算法进行加密通信,需要在 Nginx 中启用 SM2 加密套件:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/cert.sm2;
    ssl_certificate_key /etc/nginx/ssl/private.key;
    ssl_ciphers "ECDHE-SM2-WITH-SM3-SM4";
}

配置证书链

如果你获取到的 SM2 证书是一个根证书的话,需要在 Nginx 配置文件中指定证书链的路径:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/cert.sm2;
    ssl_certificate_key /etc/nginx/ssl/private.key;
    ssl_trusted_certificate /etc/nginx/ssl/chain.crt;
}

重启 Nginx

完成以上配置后,保存并关闭 Nginx 配置文件。然后,使用以下命令重启 Nginx:

sudo systemctl restart nginx

结论

通过本文,你已经学会了如何在 Nginx 中配置 SM2 加密证书。使用 SM2 算法进行加密通信可以满足中国特有的加密政策,保护用户数据的安全。如果你需要在 Nginx 中使用 SM2 加密证书,不妨按照本文所述的步骤进行操作。

通过使用 SM2 加密证书,在 Nginx 中实现安全的 Web 服务,我们可以更好地保护用户的隐私和数据安全。希望本文对你有所帮助!

星辰@Sea
关注
专栏目录
【国密】利用gmssl生成SM2证书nginx访问
nmjuzi的博客
09-10 7961
一、GMSSL安装 # 下载 wget https://github.com/guanzhi/GmSSL/archive/master.zip # 解压 unzip master.zip # 进入目录 cd GmSSL-master # 配置config指定目录 ./config --prefix=/usr/local/gmssl make make install # 查看版本,验证是否安装成功 cd /usr/local/gmssl/ bin/gmssl version # 报错了,这是由于openss
nginx ssl证书配置
谦怀
11-15 646
nginx ssl证书配置 一、概述 配置成安全的https协议访问,需要ssl证书消除危险标识 https是超文本传输安全协议,是一种网络安全传输协议。http协议传输的数据都没有加密,一些私密的信息不安全,https经由超文本传输协议(http)进行通信,利用SSL/TLS来加密数据包,https开发的主要目的就是为了保护数据传输的安全性。 二、生成背景 通过安全机制判断 2...
centos使用nginx部署国密SSL证书
dong123aaa的博客
11-03 1001
6) 编辑auto/lib/openssl/conf,将全部$OPENSSL/.openssl/修改为$OPENSSL/并保存。2) 解压 tar xzfm gmssl_openssl_1.1_bxx.tar.gz -C /usr/local。1) 下载gmssl_openssl_1.1_bxx.tar.gz到/root/下。9) /usr/local/nginx即为生成的nginx目录。5) 进入目录 cd /root/nginx-1.24.0。(1)采用RPM包安装(源码包没有gcc环境无法编译)
国密 SM2 SSL 证书 Nginx 安装指南 linux版
wwwwestcn的博客
10-25 1723
1) 下载 wget http://download.myhostadmin.net/gmssl/gmssl_openssl_1.1_b8.tar.gz到/root/下。3) 下载wget http://download.myhostadmin.net/gmssl/nginx-1.18.0.zip 到/root/下。*.***.com_encryptKeyData.txt:内容为已加密加密证书私钥片段。*.***.com_encrypt.crt:加密证书
nginx国密证书(gmssl)安装
qq_44877496的博客
04-25 1993
本文档基于此安装包安装若目标机无法上网,无法执行yum,可通过手动下载安装包,rpm执行安装,部分rpm安装包如下。
nginx服务二
Ggggggggggu的博客
07-20 407
在Linux平台上,在进行高并发TCP连接处理时,最高的并发数量都要受到系统对用户单一进程同时可打开文件数量的限制(这是因为系统为每个TCP连接都要创建一个socket句柄,每个socket句柄同时也是一个文件句柄)。#epoll是Linux内核为处理大批句柄而作改进的poll,是Linux下多路复用IO接口select/poll的增强版本,它能显著的减少程序在大量并发连接中只有少量活跃的情况下的系统CPU利用率。#使用epoll模型,2.6及以上版本的系统内核,建议使用epoll模型以提高性能。...
SM2 加密工具和密钥对生成
分享关于Java编程、数据库管理和信息安全方面的最佳实践
06-21 2935
SM2 国密SM2算法是中国国家密码管理局(CNCA)发布的一种非对称加密算法。它采用椭圆曲线密码体系(Elliptic Curve Cryptography,ECC)进行密钥交换、数字签名和公钥加密等操作。SM2算法和RSA算法都是公钥密码算法,SM2算法是一种更先进安全的算法,在我们国家商用密码体系中被用来替换RSA算法。
openssl生成https证书nginx https配置
爱兰河少
05-31 2572
一、nginx根目录下创建 cert 目录,用于存放https证书。二、openssl生成https证书证书。三、nginx配置https。
centos7.6部署Nginx1.1.18中间件SSL加密证书改造步骤
10-27
在本文中,我们将深入探讨如何在...通过以上步骤,你已经在CentOS 7.6上成功部署了支持SSL加密Nginx服务器,并实现了国密SM2证书使用,确保了网站数据传输的安全。记得定期更新SSL证书,以保持其有效性和安全性。
c语言实现sm2加密算法,JS实现国密算法SM2加密,后端Java解密
weixin_35044481的博客
05-23 2063
项目涉及保密传输,要求使用国密算法,一般遇到类似问题首先想到的就是使用非对称加密,后端生成密钥对,将公钥交给前端,前端用公钥加密数据,后端用私钥对数据解密。项目的复杂度在于国密的非对称加密算法SM2的Java及JS实现。Java版比较好办,较新版本的bouncycastle就支持了SM2/SM3/SM4,麻烦在于JS版,找了很多都有问题,直到遇到了这个项目:https://github.com/S...
PHP、Nginx、openssl ECC证书搭建
qq_35827483的博客
02-23 570
搭建服务器基本环境,配置OpenSSL ECC证书Nginx
国密套件ECC-SM2-SM4-CBC-SM3和ECDHE-SM2-WITH-SM4-SM3
Java学习笔记
11-17 1618
双方交换各自的公钥,最后A计算点(x1,y1) = d1Q2,B计算点(x2,y2) = d2Q1,由于椭圆曲线上是可以满足乘法交换和结合律,所以 d1Q2 = d1d2G = d2d1G = d2Q1 ,因此双方的 x 坐标是一样的,所以它是共享密钥,也就是会话密钥。4、客户端和服务端分别使用工作密钥,计算主密钥,客户端随机数,服务端随机数,字符串常量"key expansion",经PRF计算生成工作密钥。工作密钥包括加密密钥和校验密钥,具体密钥长度由选择的密码算法决定。客户端支持的压缩算法列表。
双向证书Nginx使用
wangwengrui40的博客
11-13 167
服务器端配置 把服务证书与ca证书复制到 然后修改配置文件 如果 注释掉下面2个就说单向证书 ssl_client_certificate sl_verify_client on; 客户端安装 双击安装产生的ca证书,.crt结尾的 安装2次,受信任与个人都要装一次 安装产生的客户端证书.p12文件 安装2次,受信任与个人都要装一次 选择安装的证书 ...
由于java本身的API不支持国密证书,通过nginx监听本地解决
weixin_38644266的博客
04-16 431
背景原因与解决方式 由于JAVA 的 API 不支持 国密证书,所以直接在JAVA代码中调用HTTPS请求,指挥中心无法收到请求。所以可以通过反向代理监听本地端口,通过脚本携带国密证书,把request 打到指挥中心。 shell脚本配置 nginx配置脚本 (```) server { listen 你的端口号; server_name localhost; // #charset koi8-r; access_log /opt/pylon/nginx/logs/localhost.20
nginx双向认证
qq_34823218的博客
07-27 1284
对于 NGINX 的 HTTPS 配置,通常情况下我们只需要实现服务端认证就行,因为浏览器内置了一些受信任的证书颁发机构(CA),服务器端只需要拿到这些机构颁发的证书配置好,浏览器会自己校验证书的可用性并通过 SSL 进行通讯加密。 但特殊情况下我们也需要对客户端进行验证,只有受信任的客户端才能使用服务接口,此时我们就需要启用双向认证来达到这个目的,只有当客户端请求带了可用的证书才能调通服务端接口。 前期的准备工作: 安装openssl和nginx的https模块 cd ~/ mkdir ..
Nginx
Xu的博客
02-07 341
Nginx
nginx配置安全证书
yqwwj001的博客
09-25 558
server { #安全证书端口443 listen 443; server_name www.ceshi.com; index index.html index.htm index.php; root /alidata/www/demo; #安全证书配置 ssl on; #证书和秘钥路径 ...
如何生成nginx 需要的国密SM2 证书
最新发布
weixin_28788593的博客
07-24 73
文件准备 下载文件并上传到服务器,这里使用centos 7.5本文涉及的程序文件已打包可以直接下载。 点击下载 下载国密版openssl https://www.gmssl.cn/gmssl/index.jsp下载稳定版nginx http://nginx.org/en/download.html我反正是把gms...
CentOS 7.6部署Nginx 1.1.18国密SSL加密证书教程
在本篇文章中,我们将深入探讨如何在CentOS 7.6系统上部署Nginx 1.1.18版本的中间件,并实现SSL加密证书的安全传输。首先,我们会在一个测试服务器上进行操作,确保其操作系统版本为64位的CentOS 7.6,这台服务器将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值