PKI - 借助Nginx实现_客户端使用CA根证书签发客户端证书

于 2024-02-12 04:30:00 发布
阅读量2.1k 收藏 28
点赞数 25
分类专栏: 【加密与安全】 【Nginx】 文章标签: nginx ssl https san扩展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangshangwei/article/details/136096371
版权

文章目录

在这里插入图片描述

Pre

PKI - 借助Nginx 实现Https 服务端单向认证、服务端客户端双向认证

PKI - 数字签名与数字证书

PKI - 借助Nginx 实现Https_使用CA签发证书

PKI - 借助Nginx实现_客户端使用自签证书供服务端验证

概述

步骤

1. 创建根证书

openssl genrsa -out client-ca.key 2048
openssl req -x509 -new -nodes -key client-ca.key -subj "/CN=client-ca" -days 5000 -out client-ca.crt

这两个命令用于创建自签名的根证书(CA 根证书):

  1. openssl genrsa -out client-ca.key 2048

    • 这个命令生成了一个 2048 位长度的 RSA 私钥,并将其保存到 client-ca.key 文件中。这个私钥将用于后续创建自签名的根证书。

  2. openssl req -x509 -new -nodes -key client-ca.key -subj "/CN=client-ca" -days 5000 -out client-ca.crt

    • 这个命令使用上一步生成的私钥 (client-ca.key) 来生成一个自签名的根证书。具体地,它执行了以下操作:
      • -x509:生成一个自签名的 X.509 格式证书。
      • -new:创建一个新的证书请求。
      • -nodes:不使用密码加密密钥。
      • -key client-ca.key:指定之前生成的私钥文件作为证书的密钥。
      • -subj "/CN=client-ca":指定证书的主题信息。在这里,/CN=client-ca 表示证书的通用名称 (Common Name) 为 client-ca
      • -days 5000:指定证书的有效期为 5000 天。
      • -out client-ca.crt:将生成的自签名根证书保存到 client-ca.crt 文件中。

通过执行这两个命令,您可以生成一个自签名的根证书,用于签发其他证书,如服务器证书、客户端证书等。

2. 生成客户端证书

openssl genrsa -out client.key 2048
openssl req -new -key client.key -subj "/CN=client" -out client.csr

这两个命令用于生成客户端证书的私钥和证书签名请求 (CSR):

  1. openssl genrsa -out client.key 2048

    • 这个命令生成了一个 2048 位长度的 RSA 私钥,并将其保存到 client.key 文件中。这个私钥将用于后续创建客户端证书。

  2. openssl req -new -key client.key -subj "/CN=client" -out client.csr

    • 这个命令创建了一个新的证书签名请求 (CSR),用于请求签发客户端证书。具体地,它执行了以下操作:
      • -new:创建一个新的证书请求。
      • -key client.key:指定之前生成的私钥文件作为证书的密钥。
      • -subj "/CN=client":指定了证书的主题信息。在这里,/CN=client 表示证书的通用名称 (Common Name) 为 client
      • -out client.csr:将生成的证书签名请求保存到 client.csr 文件中。

通过执行这两个命令,可以生成客户端证书所需的私钥和证书签名请求。然后,可以将证书签名请求发送给证书颁发机构 (CA) 进行签发客户端证书,或者使用自己的 CA 根证书签发客户端证书。

3. 准备客户端证书扩展文件

创建一个名为 client.ext 的文件,并将 extendedKeyUsage = clientAuth 写入其中,以指定客户端证书的扩展属性。

cat > client.ext << EOF
extendedKeyUsage = clientAuth
EOF

这个命令将创建一个名为 client.ext 的文件,并将 extendedKeyUsage = clientAuth 写入其中。请注意,<< 操作符用于将多行文本输入到文件中,EOF 是结束符,指示输入结束。

执行这个命令后,您就创建了 client.ext 文件,并指定了客户端证书的扩展属性。可以在后续的签发客户端证书的步骤中使用这个文件。

4. 签发客户端证书

openssl x509 -req -in client.csr -CA client-ca.crt -CAkey client-ca.key -CAcreateserial -extfile client.ext -out client.crt -days 5000

这个命令用于签发客户端证书,将客户端证书的 CSR (证书签名请求) 使用您的自签名根证书 (client-ca.crt) 进行签名,生成客户端证书 (client.crt)。

具体地,这个命令执行了以下操作:

  • -req -in client.csr:指定要签名的证书签名请求 (CSR) 文件为 client.csr
  • -CA client-ca.crt -CAkey client-ca.key:指定您的自签名根证书 (client-ca.crt) 和相应的私钥文件 (client-ca.key) 用于签名客户端证书。
  • -CAcreateserial:生成一个序列号文件,用于跟踪已经签发的证书。
  • -extfile client.ext:指定了客户端证书的扩展属性文件为 client.ext。在这里,我们使用之前创建的 client.ext 文件,其中包含了客户端证书的扩展属性。
  • -out client.crt:指定签发后的客户端证书保存的文件为 client.crt
  • -days 5000:指定客户端证书的有效期为 5000 天。

通过执行这个命令,将会生成一个由您的自签名根证书签发的客户端证书,该证书具有在 client.ext 文件中定义的扩展属性,并且有效期为 5000 天。

可以将生成的客户端证书 (client.crt) 分发给客户端,并在服务器端使用它来进行客户端证书验证。

在这里插入图片描述

5. 配置Nginx

在这里插入图片描述
使用根证书

5. 重启 Nginx

systemctl restart nginx

6. 测试

curl https://artisan.com --cert /cert/client.crt --key /cert/client.key --cacert /cert/ca.crt --resolve artisan.com:443:192.168.3.103

OK

SAN 证书扩展

在 SSL/TLS 证书中,服务器实体名称通常由 Subject 字段中的 Common Name (CN) 或 Subject Alternative Name (SAN) 字段指定。

  1. Common Name (CN):

    • Common Name (CN) 是 SSL/TLS 证书中 Subject 字段的一部分,用于指定证书的持有者。在传统的 SSL/TLS 证书中,CN 通常用于指定服务器的域名。例如,对于网站 example.com,其证书的 CN 可能为 CN=example.com

  2. Subject Alternative Name (SAN):

    • Subject Alternative Name (SAN) 是 SSL/TLS 证书中的一个扩展字段,用于指定证书的额外主体名称。SAN 可以包含多个条目,每个条目都可以是一个域名、IP 地址、电子邮件地址等。SAN 的出现是为了解决单个 CN 无法满足多域名证书的需求。现代的 SSL/TLS 证书中通常使用 SAN 来指定主要的服务器域名以及可能的其他域名。

在证书验证过程中,客户端会检查服务器证书的 SAN 来验证证书中包含的域名是否与正在访问的域名匹配。如果证书中包含了 SAN 扩展,通常会优先使用 SAN 中的域名进行验证,而不是 CN 中的域名。

总而言之,虽然过去使用 CN 来验证证书中的域名是常见的做法,但随着 SAN 的出现和广泛应用,现代的 SSL/TLS 证书验证通常优先考虑 SAN 中的域名。 SAN 提供了更灵活和可扩展的方法来指定证书中的主体名称。

SAN(Subject Alternative Name)是一种 X.509 证书的扩展,它允许您将一个证书绑定到多个主机名。使用 SAN 扩展,可以在同一个证书中包含多个主机名,这样可以简化证书管理,并提供更灵活的配置选项。SAN 证书可以为一个证书提供多个域名的支持,而不需要为每个域名创建一个单独的证书。

在创建 SAN 证书时,您可以在证书签名请求 (CSR) 中指定要包含的主机名,或者在签发证书时使用配置文件指定。以下是创建 SAN 证书的一般步骤:

  1. 创建配置文件(可选):

    • 您可以创建一个包含 SAN 扩展配置的文件。例如,创建一个名为 san.ext 的文件,并在其中指定要包含的主机名:
      subjectAltName = @alt_names
[alt_names]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.3 = subdomain.example.com

  2. 生成证书签名请求 (CSR):

    • 在生成 CSR 时,您可以将 SAN 扩展属性包含在请求中。例如:
      openssl req -new -key keyfile.key -out csrfile.csr -subj "/CN=example.com" -config san.ext

  3. 签发证书:

    • 使用您的 CA 根证书签发证书时,确保包含 SAN 扩展。如果使用配置文件创建了 CSR,确保在签发证书时指定相同的配置文件。例如:
      openssl x509 -req -in csrfile.csr -CA cacert.crt -CAkey cakey.key -CAcreateserial -out certfile.crt -days 365 -extensions v3_req -extfile san.ext

通过这些步骤,可以创建一个包含多个主机名的 SAN 证书。这对于为同一个服务器提供多个域名的支持或将证书用于多个服务器都非常有用。

案例:使用IP访问

在这里插入图片描述
不行…

那怎么办呢?

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

小小工匠
关注
  • 25
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nginx篇08-添加客户端证书认证
tinychen
03-01 3191
本文主要介绍如何使用nginx服务添加客户端证书认证从而实现双向加密。 对于一般的https网站来说,实际上https使用证书是属于单向验证,即客户端单向验证服务器的安全性,而服务器端是没有对客户端的身份进行验证的。关于https的原理,可以查看这篇文章:《SSL/TLS、对称加密和非对称加密和TLSv1.3》 如果自己部署了一些安全性较高的网站不希望被其他人随意访问,就可以尝试部署https的双向认证,对客户端也添加证书认证。本文将会使用openssl自签证书来完成最简单的一个https双向认证。
pki-ca-10.5.18-14.el7_9.noarch.rpm
12-18
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
ibe-0.7.2-win.rar_PKI_ibe-0.7.2_tate_椭圆曲线密码_椭圆曲线配对
07-13
这是一个windows环境下实现基于身份的PKI系统源码,由stanford大学开发。采用了椭圆曲线密码公钥系统和配对椭圆曲线计算(Tate Pairing),具有非常高的效率.
PKICA与数字证书技术大全
12-06
从网络上找到这PKICA与数字证书技术大全和PKI原理与技术两部分内容,汇总一下,供大家一起学习PKI相关知识
PKi.zip_PKI_certcrl.crl_数字证书_证书公钥_证书生成
09-22
数字证书的生成 数字证书包含证书中所标识的实体的公钥(就是说你的证书里有你的公钥),由于证书将公钥与特定的个人匹配,并且该证书的真实性由颁发机构保证(就是说可以让大家相信你的证书是真的),因此,数字证书为如何找到用户的公钥并知道它是否有效这一问题提供了解决方案。
Nginx 颁发自签证书
以爱护甲,爱满枫林。
09-11 1112
对于CentOS-7 的系统,默认 nginxSSL配置路径是。在使用 http 访问 https 时,就会报。首先,确保安装了OpenSSL库,并且安装Nginx使用了。输入密码后,再次重复输入确认密码。记住此密码,后面会用到。建议先进入这个目录,然后再执行下文的生成操作,最后把。中的 header 中增加上述描述信息即可,见下图。对于我司系统来说,只要在。
nginx配置ssl证书
热门推荐
m0_52457734的博客
02-25 3万+
阿里云申请ssl证书
Nginx实现自签名SSL证书生成与配置
云计算之路
04-30 9238
本文讲解了如何创建自签名的SSL证书,并讲解了什么是公钥、私钥、加密私钥以及签名和证书的概念,详细讲解了如何生成公钥、私钥、加密私钥以及如何签名生成证书,并且讲解了如何通过nginx的配置实现https的功能。提供了使用私钥的报错及解决方法
nginx双向认证配置及验证-脚本实现制作证书过程及浏览器验证遇到的一些问题解决
u011285281的博客
09-29 2326
nginx实现mTLS双向认证,制作证书的过程,脚本实现制作证书,参数自己更改脚本里的变量
Nginx自签名证书的配置
xtkinglong的专栏
08-19 5657
配置了需要输入密码的key后,nginx一直启动不成功,使用的是centos7(PS:不知道和版本什么的有关系没)有如下两种方法进行签名,通过私钥进行签名,输入密码;签名:使用私钥key与公钥csr进行证书server.crt生成的过程称为签名。因为浏览器内置了CA颁发的证书,我们是使用自签名进行证书的生成。需要输入密码,刚生成私钥key设置的,111111;如果采用4.2,则不用。然后将key配置改为3、生成解密的私钥key,nginx成功启动。吾日更日省吾身,软件的世界话不多说,撸起袖子敲代码,即可!
nginx-ssl-client:Nginx设置示例以接受客户端SSL证书
05-20
nginx-ssl-client 使用nginx创建用于客户端证书身份验证的简单测试服务器。 脚步 检查certs / README.md以了解如何创建证书。 (选择)。 将nginx / ssl-client.conf设置为ssl_verify_client optional; 测试服务器是否正常工作。 使用docker-compose up启动nginx使用浏览器访问 -您应该收到400错误请求-未发送必需的SSL证书。 下一步将是导入client.p12,但是它不起作用。 检查证书/README.md
An_End-to-End_Measurement_of_Certificate_Revocation_in_the_Web's_PKI.pdf
08-07
这篇文章主要研究了PKI体系中证书吊销的相关问题 Abstract & Introduction 这篇文章主要研究了PKI体系中证书吊销的相关问题,主要包括以下3点: 服务器对证书的吊销和替换; CA提供CRL和OCSP的情况; 不同平台中不同...
nginx自签证书并配置
weixin_47297088的博客
06-13 224
nginx自签证书并配置 * 生成RSA密钥(过程需要设置一个密码,记住这个密码): openssl genrsa -des3 -out domain.key 1024 * 拷贝一个不需要输入密码的密钥文件: openssl rsa -in domain.key -out domain_nopass.key * 生成一个证书请求: openssl req -new -key domain.key -out domain.csr 这里会提示输入国家,地区组织,email等信息.最重要的一个是"commo
Nginx配置SSL证书部署HTTPS网站(颁发证书
odelia的博客
08-03 1万+
自行颁发不受浏览器信任的SSL证书 xshell登录服务器,使用openssl生成RSA密钥及证书# 生成一个RSA密钥 $ openssl genrsa -des3 -out tfjybj.key 1024# 拷贝一个不需要输入密码的密钥文件 $ openssl rsa -in dmsdbj.key -out tfjybj_nopass.key# 生成一个证书请求 $ openssl req
Nginx配置https证书
qq_37705525的博客
04-23 8495
Nginx配置https证书
系统学习Linux-Nginx部署与证书配置
最新发布
weixin_66894765的博客
07-10 2779
listen;监听端口域名location 指定访问的路径及默认文档root访问文档目录index默认文档单网站直接启动就可以因为已经配好了直接就可以在外部主机访问在/etc/nginx/conf.d创建web1与web2并修改配置文件回到/etc/nginx/nginx.conf注释掉移动到/usr/share/nginx/html创建web1与web2文件这时我们就能访问到我们的网页(切换监听端口)完成一阶段。
Nginx的浏览器/服务器双向SSL证书认证配置
rosw的专栏
12-03 1万+
最近的项目中需要安全性控制,而我又懒得改动后台的程序代码,故而想在反向代理层加入SSL证书验证。一直在用Nginx做反向代理,但是其SSL的配置只用过普通的服务端单向证书。在Google,百度狂搜一通之后,一无所获,依旧是那老三样,只有单向认证的示例。浏览器端双向认证的配置好像从没人写过。无奈之下,只好从OpenSSL客户端证书开始学起,一点一点啃,大段大段的E文让我这半瓶子醋看的头晕眼晕。最后
nginx 证书 服务器证书,Nginx双向证书校验(服务器验证客户端证书
weixin_35730840的博客
07-30 3745
1、创建Root CA私钥openssl genrsa -out root-ca.key 10242、创建Root CA证书请求openssl req -new -out root-ca.csr -key root-ca.key3、签发Root CA证书openssl x509 -req -in root-ca.csr -out root-ca.crt -signkey root-ca.key ...
Nginx配置ssl_client_certificate客户端认证问题
qq_34823218的博客
11-17 8147
问题1:ssl_client_certificate配置的CA证书格式错误 参考Minitutorialforconfiguringclient-sideSSLcertificates和ClientSideCertificateAuthinNginx配置客户端证书认证,配置好后,在浏览器使用证书认证报400错误 400BadRequest NorequiredSSLcertificatewassent 按照教程,生成相关证书都没有问题,在配置nginx的...
openVPN生成客户端ca证书
05-25
要为 OpenVPN 生成客户端 CA 证书,您可以按照以下步骤操作: 1. 首先,在服务器上创建一个新的证书颁发机构(CA)。这可以通过以下命令完成: ``` cd /etc/openvpn/easy-rsa/ ./easyrsa init-pki ./easyrsa build...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小小工匠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值