Nginx配置引起的SSL证书认证失败

最新推荐文章于 2024-07-25 07:35:01 发布
最新推荐文章于 2024-07-25 07:35:01 发布
阅读量4w 收藏 16
点赞数 6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangliminqd/article/details/51031146
版权
本文详细介绍了在Nginx部署中遇到的SSL证书认证失败问题,问题源于Java客户端不支持SNI协议,导致Nginx无法正确获取客户端证书。通过Wireshark协议分析和对SSL握手过程的研究,最终发现需要配置default server来解决这个问题,同时提醒在产品上线前应充分测试,避免类似兼容性问题。
摘要由CSDN通过智能技术生成

1. 背景

目前公司对外开放了一个云服务平台,提供一些功能供商户接入使用。整个项目的架构是基于Spring + MyBatis的。另外,商户端的服务接口是基于SOAP WebService的,这部分使用CXF实现。
安全方面采用了Spring Security,可以对商户提供证书认证或密码认证。但是出于安全考虑,目前只开放了证书认证。为了使用证书认证商户,我们创建了一个自签名的CA,用来生成商户使用的客户端证书。在验证上,使用Nginx验证客户端证书是否是指定CA产生的。另外,为了防止被作废的证书(例如给商户颁发了新证书后,原证书应该作废,但是原证书也是由指定CA产生的)再次使用,在代码层面对证书进行了进一步的验证(这一点是通过Nginx将客户端证书作为Header传递到Java后台实现的,有时间以后再讲)。

1.1. 部署架构

云服务平台部署在aliyun上,大致上结构是这样的(只涉及到了网络访问层面的东西):

商户 -https-> aliyun负载均衡 -tcp转发-> Nginx -http-> Jetty --> ClientCertificateFromProxyFilter

商户访问云服务的时候,需要使用我们提供的客户端证书来建立https链接。aliyun的LB只负责TCP转发,不对协议进行分析。因此从aliyun到Nginx之间实际的数据流是https数据流。Nginx接受到请求后,验证客户端证书是否正确,并将客户端证书设置为HTTP请求中的Header变量,然后请求后台的Jetty服务器。
我们代码中实现了一个Filter(ClientCertificateFromProxyFilter),它的唯一作用是检查过来的HTTP请求中有没有变量SSL_CLIENT_CERT,如果有则把它转换成一个Certificate对象,添加到HTTP请求中,从而将一个HTTP请求模拟成一个HTTPS请求,这样Spring Security就能够进行证书认证了。

3. 问题

在上线之前,按照以往的经验,我们测试了通过浏览器访问受保护的资源来测试HTTPS是否工作正常。因为提前在浏览器中导入了客户端证书,因此浏览器上能够弹出对话框选择客户端证书,选择之后就能够访问指定的资源了。

我们推荐商户使用CXF作为接入方式,一般的代码如下:

<jaxws:client id="uidService"
    serviceClass="com.xwf.cloudauth...."
    address="https://.../api/UidApiService">
</jaxws:client>
<http-conf:conduit name="*.http-conduit">
    <http-conf
最低0.47元/天 解锁文章
zhangliminqd
关注
  • 6
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
nginx配置SSL证书,无法生效???
林长有的博客
05-09 1万+
关于配置SSL证书参考:阿里云在Nginx/Tengine服务器上安装证书 https://help.aliyun.com/document_detail/98728.html?spm=a2c4g.11174359.6.572.723e842bnxHq5B 问题来了: 发现配置正确,nginx也没有报错,使用https访问报错了,始终找不到错误. 最后发现是因为域名配置了CDN,所以没有生效 解决...
nginx配置ssl证书无法访问
嘻嘻哈哈学技术
08-05 5574
有success则表示成功。如果配置文件都不对,肯定无法访问。注意,本人就是服务器和防火请未放行443端口导致的。1.配置之后检查nginx配置文件是否正确?2.阿里云或其他云安全组放行443端口。3.检查服务器防火墙是否放心443端口。...
Nginx 出现服务器证书验证失败,如何解决?
最新发布
2401_86074221的博客
07-25 976
服务器证书验证失败就像是一场暴风雨,会给我们的网站访问带来不便和安全隐患。但只要我们了解它的“症状”,找到“病因”,开出“良方”,并做好“预防”,就能轻松应对这场风暴,让我们的网站始终在安全的航道上平稳运行。希望通过本文的介绍,您对 Nginx 服务器证书验证失败的问题有了更深入的了解,并且能够在遇到问题时迅速解决,让您的网站继续为用户提供可靠、安全的服务。记住,解决问题的关键在于耐心和细心,就像解决一道复杂的数学题一样,只要一步一步来,总会找到答案。🎉相关推荐🍅关注博主🎗️。
ssl证书无效什么原因?
蔚可云的博客
08-18 1441
给网站安装SSL证书之后,网站的通信协议就发生了改变,网站的通信协议就可以变成加密的,对用户来说,自己访问网站不用担心出现网络安全事故,而网站也不用担心网站的核心数据被窃取了,网站想要长久的发展,安装SSL证书是很有必要的,但是有些站长面临了卸载ssl证书的情况,那么卸载ssl怎么做?SSL证书无效是怎么回事? 卸载ssl什么原因? 正常情况下SSL证书不会出现卸载的情况,进行ssl卸载是因为SSL证书的等级问题,将ssl给卸载了是为了缓解ssl增加的额外负担,通过单独的处理器来进行加密和解密,它的
nginx 配置ssl证书错误1:
weixin_50512016的博客
11-02 984
现象:nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/nginx.conf:151 原因:ssl模块并未被安装 解决方案:重新编译附带--with-http_ssl_module模块 step 1:下载nginx 对应版本的源码包,并上传至服务器 step 2:切换目录 示例:[root@shuaishuai ~]# cd /root/nginx-1.15.10 ...
nginx ssl证书不生效解决办法
C端业务攻城狮
03-28 1539
nginx ssl证书不生效解决办法
Nginx配置SSL证书出错解决方案
01-08
一、引言 当我们的Linux服务器上当中发布了web项目,有时候需要配置一个SSL证书,这样表示你这个网站还比较正式哈哈哈。当我把证书下载好,把nginx.conf配置好,简直就是万事俱备,只欠重启。结果一重启,duang~出错了。 nginx:[emerg]unknown directive ssl,就是这个错误提示 因为我们配置这个SSL证书需要引用到nginx的中SSL这模块,然而我们一开始编译的Nginx的时候并没有把SSL模块一起编译进去,所以导致这个错误的出现。 二、错误解决步骤 既然在安装的时候没有编译ssl,难道把nginx卸载重新安装一次?不不不,我们只需要在原有的基础上添加
Nginx架构及配置详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-10 5288
概述 Nginx采用C进行编写,是俄罗斯程序员开发的一款轻量级的可构建Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器的软件, Nginx服务器是一个高性能的HTTP和反向代理web服务器,同时也可提供了IMAP/POP3/SMTP服务。nginx常用作跑静态和做负载反向代理,动态php交给apache处理,因后者比较稳定,jsp交给tomcat、resin或jboss。n......
Nginx反向代理引出的JCaptcha验证码验证失败的问题
weixin_30621711的博客
06-14 1009
搜索关键字: 1)Windows本地开发正常,部署到Linux远程服务器上JCaptcha验证失败 2)Linux远程服务器上JCpatcha验证失败 3)Nginx反向代理后JCaptcha验证失败 目录 一 前言 二 背景描述 三 问题&解决 四 一路Debug 五 总结 六 参考资料 一 前言 我为什么要写这篇文章? 很简单,因为从我遇到这个问题到解...
nginx解决 ERR_SSL_VERSION_OR_CIPHER_MISMATCH
03-15
4. 检查证书配置:确保您的SSL证书正确配置,并且与您正在使用的域名匹配。检查证书文件路径和权限是否正确,并确保证书链完整。 5. 检查服务器时间:确保您的服务器时间与实际时间一致。SSL/TLS握手过程中会验证...
详解Nginx配置SSL证书实现Https访问
01-10
背景 由于项目需求,安全起见,需要将之前的http接口访问变成https访问,所以需要配置SSL证书。项目的架构是这样的: 基本架构是硬负载(ReadWhere)+ 软负载(Nginx)+ Tomcat集群,现在的问题是SSl证书配置在哪里,直接配置在硬负载上?还是分别配置Nginx和Tomcat上?还是其他的配置方法呢? 首先在硬负载上配置放弃了,然后通过在网上查找资料,发现可以只在Nginx配置证书,就是说Nginx接入使用Https,而Nginx与Tomcat之间使用Http进行衔接,这样就游了一个整体思路。 关于SSL证书 关于SSL证书这里简单进行介绍,也是因为项目需要,进
通过 Consul-Template 实现动态配置Nginx负载服务
后端老鸟
05-13 537
【转载请注明出处】:https://www.jianshu.com/p/3fe4e15a1f99 Consul-Template简介 Consul-Template是基于Consul的自动替换配置文件的应用。在Consul-Template没出现之前,大家构建服务发现系统大多采用的是Zookeeper、Etcd+Confd这样类似的系统。 Consul官方推出了自己的模板系统Consul-Template后,动态的配置系统可以分化为Etcd+Confd和Consul+Consul-Template两大阵营。
liunx nginx配置ssl 配置https 及访问失败问题排查(fopen:No such file or )([emerg] the “ssl“ parameter requires)
wuyuanshun的博客
02-03 7752
找不到文件问题:system library:fopen:No such file or directory:fopen('/usr/local/nginx/conf/certt/wys.cn_bundle.crt','r') error:2006D080:BIO routines:BIO_new_file:no such file) 找不到ssl插件文件 [emerg] the "ssl" parameter requires ngx_http_ssl_module in
Nginx 配置 https 出现no "ssl_certificate" is defined问题原因及解决方法
热门推荐
weixin_33704234的博客
01-21 3万+
2019独角兽企业重金招聘Python工程师标准>>> ...
nginx配置ssl双向验证的方法
阳光梦的专栏
04-16 942
http://www.jb51.net/article/57012.htm 1、安装nginx略 http://www.jb51.net/article/49479.htm 2、使用openssl实现证书中心 由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书客户端证书中都相同 Country Name State or Province N
记录一次访问https站点,报证书无效和无法识别的错误
q285675822的博客
06-23 1798
一、问题描述: 站点用的证书是公司统一的证书,系统通过nginx对外提供https服务,并且nginx的https配置中,也已经配了证书,但是最终浏览器访问,还是提示证书无效,在linux上面,用curl访问站点,报证书无法识别错误: 1、nginx配置: 2、报错截图: ​​​​​​​​​​​​​​​​ 二、解决方案: ......
nginx配置nginx支持ssl sni (一个IP绑定多个证书
csallen的专栏
08-09 2万+
nginx https CA 证书签名 一个IP绑定多个证书
nginxSSL证书过期后,替换后不生效
神迹
03-14 2382
后来经过排查内网已经证书生效,已经是新的有效期,但是外网还是原来的;最后原因是:网络层有一个深信服安全设备没替换证书导致。替换SSL证书,并重载nginx证书还是原来的;
nginx配置SSL双向验证详细步骤
"本文将详细介绍如何在Nginx服务器上配置SSL双向认证,包括安装Nginx、创建自签名证书中心、生成服务器证书客户端证书,以及在Nginx配置文件中设置相关参数。" 在现代网络安全中,SSL(Secure Socket Layer)协议...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值