nginx中配置ssl双向认证详解

最新推荐文章于 2024-01-28 12:01:49 发布
最新推荐文章于 2024-01-28 12:01:49 发布
阅读量8.1k 收藏 4
点赞数
分类专栏: 服务器运维 文章标签: nginx ssl openssl 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanlin65/article/details/53187710
版权

nginx中配置ssl双向认证详解

需求说明:公司内部一些业务系统对安全性要求比较高,例如misbi等,这些业务系统只允许公司内部人员访问,而且要求浏览器要安装证书登录,对公司入职有需求的人员开通证书,流失的人员注销证书。

一、首先修改openssl配置的参数  ##没安装openssl需要先安装

vim  /etc/pki/tls/openssl.cnf

#下面只列出配置文件中和自建CA有关的几个关键指令

dir=/etc/pki/CA      #CA的工作目录

database=$dir/index.txt    #签署证书的数据记录文件,下面会生成index这个文件

new_certs_dir=$dir/newcerts   #存放新签署证书的目录

serial=$dir/serial     #新证书签署号记录文件下,下面会生成serial这个文件

certificate=$dir/ca.crt    #CA的证书路径,下面会对应生成ca.crt这个证书

private_key=$dir/private/cakey.pem   #CA的私钥路径,下面会生成这个密钥

crlnumber       = $dir/crlnumber        # 吊销证书用,下面会生成这个文件

crl             = $dir/ca.crl        # 当前证书列表,与下面生成的吊销证书文件名一致

 

二、使用openssl制作CA的自签名证书

#切换到CA的工作目录

cd/etc/pki/CA

#制作CA私钥

umask077    ###确保证书只有拥有者才可以访问

openssl genrsa -out private/cakey.pem 2048

#制作自签名证书

openssl req -new -x509 -key private/cakey.pem -out ca.crt

#生成数据记录文件,生成签署号记录文件,给文件一个初始号。

####注意 commonName = aaa.com(对应域名)  ###这个填域名,这个是后面证书的颁发者

touch index.txt

touch serial

touch crlnumber   ###注销证书用

echo '01' > serial

echo '01' > crlnumber

openssl ca -gencrl -crldays3650 -out ca.crl    # 产生crl文件,供吊销证书使用

#自建CA完成

 

三、准备服务器端证书

#建立存放服务器证书文件夹

cd /etc/pki/CA;mkdir server;cd server

#制作服务器端私钥

umask077

openssl genrsa -out server.key 1024

#制作服务器端证书申请指定使用sha512算法签名(默认使用sha1算法)

openssl req -new -key server.key -sha512 -out server.csr 

#签署证书,3650是指证书有效期为10

openssl ca -in server.csr -out server.crt -days 3650

#服务器证书准备完成

 

四、准备客户端证书

#建立存放客服端证书的文件夹

cd /etc/pki/CA;mkdir client;cd client

#制作客户端私钥

umask077

openssl genrsa -out client.key 1024

#制作客户端证书申请

openssl req -new -key client.key -out client.csr

#签署证书,有效期为10

openssl ca -in client.csr -out client.crt -days 3650

注意事项:

1、制作证书时会提示输入密码,设置密码可选,服务器证书和客户端证书密码可以不相同。

2、服务器证书和客户端证书制作时提示输入省份、城市、域名信息等,需保持一致,commonName这个需要不同。

 

五、nginx的配置 注意:nginx编译的时候要带上--with-http_ssl_module选项

server{

        listen 443;

        server_name localhost;

        ssi on;

        ssi_silent_errors on;

        ssi_types text/shtml;

        ssl on;

        ssl_certificate /etc/pki/CA/server/server.crt;

        ssl_certificate_key /etc/pki/CA/server/server.key;

        ssl_client_certificate /etc/pki/CA/ca.crt;

        ssl_verify_client on;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

        ssl_prefer_server_ciphers On;

         ssl_crl /etc/pki/CA/server/ca.crl;  #检查吊销的证书

        location / {

                proxy_pass   http://localhost:8080; ##反向代理到tomcat 8080 端口

                proxy_redirect default;

                   }

}

 

六、客户端证书格式转换

#将文本格式的证书转换成可以导入浏览器的证书

cd /etc/pki/CA/client

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

#sz client.p12 到windows,然后把client.p12导入到浏览器的个人证书里,重启浏览器,导入正常就能正常访问,否则返回400没有证书被发送错误。

 

七、撤销用户证书(例如要注销名字为ceshi的证书)

cat index.txt | grep ceshi  类似如下

V 261106092713  04   unknown /C=CN/ST=GD/O=CKY/OU=YW/CN=ceshi/emailAddress=1234567@qq.com

可得 值为04

cd  /etc/ssl/newcerts

openssl ca -revoke 04.pem                ##完成注销,证书的V会变为R

openssl ca -gencrl -crldays 3650 -out ca.crl ###更新ca.crl文件

/usr/local/nginx/sbin/nginx -s reload   ####重启nginx ,吊销证书生效

远玖
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Nginx+Tomcat配置SSL双向验证示例
03-18
本资源是一个 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证配置示例。详细如何配置请参考博客《图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》,地址是:http://blog.csdn.net/defonds/article/details/44410359。
nginx(六十七)http_ssl模块 client与nginxssl握手
wzj_110的博客
11-26 3545
client与nginxssl握手之http_ssl模块
Nginx配置SSL相关记录
Climbman的博客
05-01 1321
启用 HTTP/2 协议:通过配置 http2 关键字,Apache 就会启用 HTTP/2 协议,该协议相较于 HTTP/1.1 协议可以实现更快的页面加载速度、更低的延迟和更高效的资源利用率。综上所述,这几条指令的作用是为 Nginx 服务器配置 SSL/TLS 加密通讯相关的参数,包括选择加密套件、优化握手效率、缓存会话等方面,进一步提高了数据传输的安全性和效率。限制特定端口的访问:如果服务器上有多个应用程序在不同的端口上运行,可以使用这个条件语句限制只允许特定端口的访问,从而提高服务器的安全性。
Nginx的关于配置HTTPS模块详解
最新发布
乔木的博客
01-28 1179
HTTPS模块是Nginx的一个核心模块,用于处理HTTPS请求。当客户端通过HTTPS协议访问网站时,Nginx会首先调用HTTPS模块来处理请求。读取客户端发送的证书信息,验证客户端的身份。生成服务器端证书和私钥,用于加密通信数据。配置SSL/TLS协议参数,如加密算法、密钥长度等。与客户端建立安全的连接,并进行数据的加密传输。Nginx的HTTPS模块提供了对HTTPS的支持,使得网站可以安全地使用HTTPS进行数据传输。
我的总结之nginx https的配置 自己生成ssl证书 curl命令总结 https工作原理 find命令 PolarSSL http协议总结 json url nginx_lua
xu_ya_fei的专栏
12-19 7348
鉴于公司的业务需要需要,我需要对nginxssl模块研究一下,顺便记录一下研究过程。 首先需要将ssl模块配置跑通(前提是要已经with了该模块,可用/data/nginx/sbin/nginx -V 看一下)。现在有了,那就配置吧,先看他自带的默认配置文件,如下    server {         listen       1500 ssl;         server_name
Nginx HTTPS配置详解
人丑就要多读书的博客
08-22 2208
文章目录一 、 HTTPS概述1.1 什么是HTTPS1.2 为何需要HTTPS1.3 TLS如何实现加密二、HTTPS实现原理2.1 加密模型-对称加密2.2 加密模型-非对称加密2.3 身份验证机构-CA2.4 HTTPS通讯原理三、HTTPS扩展知识3.1 https证书类型3.2 Https购买建议3.3 Https颜色标识四、HTTPS单台配置实践4.1 配置SSL语法4.1 创建SSL证书4.2 配置SSL场景五、HTTPS集群配置实践5.1 环境准备5.2 配置应用节点六、企业级HTTPS场景
nginx配置SSL实现服务器/客户端双向认证
江下飞雪
11-29 5万+
本人不才,配置了两天,终于搞出来了,结合网上诸多博文,特此总结一下! 配置环境:       Ubuntu 11.04      PCRE 8.31      Openssl 2.0.2      Nginx 1.2.5     为了确保能在 nginx使用正则表达式进行更灵活的配置,安装之前需要确定系统是否安装有 PCRE(Perl Compatible Regular Expre
Nginx配置ssl双向认证
Tiger、
04-28 1792
Nginx配置ssl双向认证
nginx+ssl 服务器 双向认证
weixin_34043301的博客
03-07 108
项目后台服务器采用nginx+tomcat 负载均衡架构 不久 访问协议有http升级为https 对服务器认证采用沃通的ssl证书 nginx ssl证书安装 参照沃通官方文档 他们有技术支持沟通起来也很方便,但是他们只提供单项认证,没有服务器对客户端的认证 服务器对客户端的认证(如果项目网站需要)是需要我们自己来处理 记录如下: 第一步: cd~/ mkdirssl...
详解Nginx SSL快速双向认证配置(脚本)
sakura379的博客
05-05 564
这篇文章主要介绍了详解Nginx SSL快速双向认证配置(脚本),现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧 目前遇到一个项目有安全性要求,要求只有个别用户有权限访问。本着能用配置解决就绝不用代码解决的原则,在Nginx上做一下限制和修改即可。 这种需求其实实现方式很多,经过综合评估考虑,觉得SSL双向认证方案对用户使用最简单,遂决定用此方案。 注: 本方案在Ubuntu Serve...
Nginx服务器关于SSL的安全配置详解
09-30
主要介绍了Nginx服务器关于SSL的安全配置详解,2014年曝出的SSL安全漏洞无疑为整个业界带来了巨大震动,本文便对此给出相关安全维护方法,需要的朋友可以参考下
Nginx双向SSL认证配置详解
04-09
Nginx双向SSL认证配置详细步骤
Linux Nginx 配置SSL访问实例详解
01-10
Linux Nginx 配置SSL访问实例详解 生成证书 可以通过以下步骤生成一个简单的证书: 首先,进入你想创建证书和私钥的目录,例如: $ cd /usr/local/nginx/conf 创建服务器私钥,命令会让你输入一个口令: $ ...
Nginx+SSL实现双向认证的示例代码
09-30
主要介绍了Nginx+SSL实现双向认证的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx配置ssl双向验证的方法
09-30
主要介绍了nginx配置ssl双向验证的方法,需要的朋友可以参考下
Nginx配置ssl双向认证(精简!好文章!)
HD243608836的博客
02-04 3762
最近在搞ssl双向认证的任务,需要在本地调测,所以就使用自己生成的CA来生成证书。 这里只说如何配置双向认证双向认证的概念就不说了。 具体看如下链接:https://www.jianshu.com/p/fb5fe0165ef2 CA与自签名 # 制作CA私钥 openssl genrsa -out ca.key 2048 # 制作CA公钥/根证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # Common Name 随意填写
nignx web服务器ssl_ciphers配置项的配置
热门推荐
aa1382525的专栏
12-05 7万+
ssl_ciphers配置项的可选值由openssl 的ciphers定义 查看openssl支持的加密套件 opensslciphers[-v][-ssl2][-ssl3][-tls1][cipherlist] -v:详细列出所有加密套件。包括ssl版本(SSLv2、SSLv3以及TLS)、密钥交换算法、身份验证算法、对称算法、摘要算法以及该算法是否可以出口。 -ssl...
nginx服务器的SSL证书配置详解
ligaoyuan00的博客
06-11 2596
先把下载好的证书丢到服务器上 nginx的话 有两个文件 一个是.key 一个是.pem结尾的两个文件 位置可以随便放 个人比较喜欢放到nginx目录下 配置文件 server { listen 80; server_name 域名; #监听443端口(必须) listen 443 ssl; #ssl ssl_certificate 下载的证书.pem; ssl_cer...
nginx ssl配置详解
08-17
3. 配置SSL参数:在Nginx配置文件,找到需要启用SSL的server块。在该块添加以下配置参数: ``` listen 443 ssl; ssl_certificate /etc/nginx/ssl/certificate.crt; # SSL证书文件路径 ssl_certificate_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值