cfssl这样配置nginx双向认证并Mac安装证书

最新推荐文章于 2024-04-13 17:57:22 发布
最新推荐文章于 2024-04-13 17:57:22 发布
阅读量860 收藏
点赞数
分类专栏: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuDreamer/article/details/117048781
版权

下载cfssl

https://github.com/cloudflare/cfssl

HTTPS验证证书

CA根证书

  • CA机构的证书,用来签署其他企业的证书

server-key.pem

  • 服务端生成的私钥文件

  • 可以解密客户端发送加密数据(https握手过程交换秘钥)

server.csr

  • csr文件为证书请求文件

  • 包含企业等信息,非对称加密等选项

server.pem

  • 证书文件

  • 使用server.csr通过CA证书签名(sha256,md5)过的证书文件

创建CA根证书

ca-config.json

  • 这个是给其他的请求文件的签名配置
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "ssl.sentiger.com": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}

  • signing:签署配置

  • default:默认的配置

  • default.expiry:默认签署其他证书过期时间

  • profiles:配置文件,可以配置多个不同的证书配置

  • ssl.sentiger.com:定义的一个profile,可以使用命令生成这个的证书

  • usages

ca-csr.json

  • CA的证书请求文件配置,用来生成证书

  • 可以安装到客户端本地,来验证CA机构

{
    "CN": "sentiger company name",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing",
            "O": "nginx",
            "OU": "System"
        }
    ]
}

一般的数字证书产品的主题通常含有如下字段:

CN

CN: 公用名称 (Common Name) 简称,对于 SSL 证书,一般为网站域名或IP地址;而对于代码签名证书则为申请单位名称;而对于客户端证书则为证书申请者的姓名;

names 字段

  • 单位名称 (Organization Name) :简称:O 字段,对于 SSL 证书,一般为网站域名;而对于代码签名证书则为申请单位名称;而对于客户端单位证书则为证书申请者所在单位名称;

证书申请单位所在地:

  • 所在城市 (Locality) 简称:L 字段

  • 所在省份 (State/Provice) 简称:S 字段

  • 所在国家 (Country) 简称:C 字段,只能是国家字母缩写,如中国:CN

其他一些字段:

  • 电子邮件 (Email) 简称:E 字段

  • 多个姓名字段 简称:G 字段

  • 介绍:Description 字段

  • 电话号码:Phone 字段,格式要求 + 国家区号 城市区号 电话号码,如: +86 732 88888888

  • 地址:STREET 字段

  • 邮政编码:PostalCode 字段

  • 显示其他内容 简称:OU 字段

生成CA相关文件

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

  • ca.csr:这个是用来生成ca.pem,这个其实没有用了

  • ca-key.pem:CA私钥文件

  • ca.pem:CA证书文件

在这里插入图片描述

服务器证书

server-csr.json

{
    "CN": "*.sentiger.com",
    "hosts": [
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

注意:

CN: "Common Name,填写自己的域名,否则curl请求会判断域名和当前域名不一致,这里写了通用域名"

  • 服务器的证书请求配置

  • 生成server-csr.csr

命令生成

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=ssl.sentiger.com server-csr.json | cfssljson -bare server

  • server.pem:服务器证书文件(ssl握手会下载这个证书)

  • server-key.pem:私钥文件

在这里插入图片描述

客户端证书

{
    "CN": "ssl.sentiger.com",
    "hosts": [
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

nginx配置

双向认证

server {
  listen 443 ssl;
  server_name ssl.sentiger.com;


    ssl_session_timeout  5m;

    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers   on;
root /nginx/html;
  # 服务器公钥
  ssl_certificate   /etc/nginx/ssl/ssl.sentiger.com/server.pem;
  # 服务器私钥
  ssl_certificate_key  /etc/nginx/ssl/ssl.sentiger.com/server-key.pem;
  # CA机构证书 验证客户端证书是否是同一CA签发
  ssl_client_certificate /etc/nginx/ssl/ssl.sentiger.com/ca.pem;
  # on 打开双向认证
  ssl_verify_client on;

ent_certificate /etc/nginx/ssl/ssl.sentiger.com/ca.pem;
  # on 打开双向认证
  ssl_verify_client on;

}

curl测试

curl --cacert /etc/nginx/ssl/ssl.sentiger.com/ca.pem --key /etc/nginx/ssl/ssl.sentiger.com/client-key.pem --cert /etc/nginx/ssl/ssl.sentiger.com/client.pem https://ssl.sentiger.com

--cacert CA证书,因为自己制作CA机构,本地服务器不认,所以制定CA机构,或者 --insecure或略CA机构的认证
--key 客户私钥
--cert 客户端的证书文件

测试

在这里插入图片描述

  • 证书不安全

  • 因为这是我们自己签发的证书,本地还没有

Mac下将自签CA证书安装本地

  1. 下载ca.pem证书文件到本地

  2. 打开本地秘钥管理,导入

在这里插入图片描述
在这里插入图片描述

  1. 重启浏览器测试

  • 测试查看证书是有效的

  • 但是浏览器还是认为你这个不是正规机构颁布的,不安全

在这里插入图片描述

时小虎
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数字证书中主题(Subject)中字段的含义
09-27 1万+
数字证书中主题(Subject)中字段的含义 一般的数字证书产品的主题通常含有如下字段: 公用名称 (Common Name) 简称:CN 字段,对于 SSL 证书,一般为网站域名或IP地址;而对于代码签名证书则为申请单位名称;而对于客户端证书则为证书申请者的姓名;  单位名称 (Organization Name) :简称:O 字段,对于 SSL 证书,一般为网站域名;
Mac系统本地开发环境Nginx配置HTTPS证书
最新发布
qq_25258019的博客
07-18 231
用https协议可以正常访问了,但是提示无效证书。这是因为证书是由你自己生成的,而不是由受信任的证书颁发机构(CA)签发的。浏览器默认不会信任这些证书。在想要存放证书的目录,我是在/etc/ssl目录下执行的。然后打开终端执行以下命令。Nginx配置文件server下增加如下配置
cfssl安装及使用
qq_20779397的博客
04-13 652
安装方式有很多中,可以通过wget、curl等指令安装,由于本人虚拟机网速及CA认证问题,选择在虚拟机外下载,然后上传操作。cfssl是本地生成CA证书的一种重要方式,另外一种openssl,是搭建k8s集群中不可缺少的一步。下载后将应用上传到系统/usr/local/bin/目录下,并。现在之前需要确认待安装的系统的信息,使用uname -m查看。2、返回i686、i386等,下载适配32bit的应用。下载地址:https://pkg.cfssl.org。1、返回x86-64,下载适配64bit的应用。
使用cfssl为程序添加https证书
liuyij3430448的博客
04-02 1207
相关配置文件在 /config/demo1 下实例1:创建一个自定义的CA机构根证书,使用这个根证书实现对其他证书的颁发,让浏览器能够信息此证书例如自定义的CA机构名称为LYJCA , 要签发一个网址为 api.liuyijiang.com DV证书CA根证书就是一个自签名证书 可以使用./cfssl gencert -initca xx.json 命令创建在此之前先创建一个证书签名请求文件csr配置json可以使用先创建一个证书签名请求文件内容模板。
nginx配置ssl证书
cfun_goodmorning的博客
07-09 221
1. 获取免费的 CA 证书。 2. 然后填写信息申请 3. 下载对应证书 4. 上传证书到你的服务器 cd usr/local/nginx/conf/vhost mkdir cert 将.key和.pem文件上传到cert文件夹 5. 配置 nginx(最好把之前 80 端口的配置备份一份) server { liste...
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** 在网络安全日益重要的今天,服务器与客户端之间的通信安全成为了一个不可忽视的问题。本文将详细介绍如何在Nginx服务器上配置SSL双向认证,以提高服务器的安全性,允许只有经过验证...
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
Nginx双向SSL认证配置详解
04-09
### Nginx双向SSL认证配置详解 #### 一、引言 随着网络安全意识的提高,SSL/TLS协议在Web服务器中的应用越来越广泛。双向SSL认证不仅保护了服务器免受未授权访问,还确保了客户端的身份安全可靠。本文将详细介绍...
nginx配置https详细步骤,从安装OpenSSLNginx,到生成证书nginx配置(包括配置http请求转发到https)等
07-31
本文将详细介绍如何在 Windows 系统下完成 Nginx 的 HTTPS 配置过程,包括 OpenSSL安装配置证书生成以及 Nginx 配置文件的修改等关键步骤。 #### 二、准备工作 ##### 2.1 安装 OpenSSL **步骤1:** 访问 ...
Nginx单向认证安装配置方法
01-11
首先系统要已经安装了openssl,以下是使用openssl安装配置单向认证的执行步骤与脚本: 代码如下: #——————————————————– # 单向认证,就是传输的数据加密过了,但是不会校验客户端的来源 # 单项...
MAC iOS推送生产pem证书
zhuxb523的专栏
06-08 978
MAC iOS推送生产pem证书
linux安装cfssl工具,在Linux/macOS系统上安装CloudFlare CFSSL的方法
weixin_35161750的博客
05-04 1811
在本文中,我们将介绍如何在Linux和macOS系统上安装CFSSLCFSSL是CloudFlare的开源PKI/TLS工具,用于在Linux、macOS和Windows计算机上签名、验证和捆绑TLS证书,通过选择正确的证书链,CFSSL解决了性能、安全性和兼容性之间的平衡问题。在Linux/macOS上安装CloudFlare CFSSL的说明有两种标准的安装方法,一种是下载由开发人员为您编译...
自签nginx证书相关过程整理
checkjiji的博客
05-05 184
3.在nginx的server配置证书路径。1.openssl自签证书过程。2.cfssl自签证书过程。
自动生成SSL证书的脚本
Jeson 笔记
10-30 4991
生成https证书脚本 基于Lnux系统下的openssl和jdkkeytool工具 1. 生成https证书脚本 #! /bin/bash FILE_PREFIX=tls RSA_BITS_NUM=2048 VALID_DAYS=3650 PASS_RSA=jeasoon PASS_P12=jeasoon PASS_JKS=jeasoon CRT_ALIAS=jeasoon CRT_COU...
如何用 CFSSL 从零开始快速构建一套私有 PKI
easylife206的专栏
07-09 1302
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Synopsis本文档会介绍如何用 cfssl 从零构建起一套 PKI,包括签发根证书(rootCA)、中间证书和叶子证书,以及通过 CRL 实现证书吊销列表。Background1、证书编码格式PEM(Privacy Enhanced Mail)通常用于数字证书认证机构(Certificate Authoritie...
CFSSL使用方法重新整理说明
weixin_34102807的博客
06-11 7004
CFSSL是CloudFlare的PKI / TLS瑞士×××。它既是命令行工具,也是用于签名,验证和捆绑TLS证书的HTTP API服务器.1.下载安装CFSSL(用于签名,验证和捆绑TLS证书的HTTP API工具)(master节点)wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64wget https://pkg.cfssl...
cfssl创建ca证书,调整ca证书的有效期
zyj_csdn的博客
12-07 2004
1. 使用cfssl创建ca证书 1.1 生成ca证书证书请求文件:ca-csr.json cfssl print-defaults csr > ca-csr.json 结果: cat ca-csr.json { "CN": "example.net", "hosts": [ "example.net", "www.example.net" ], "key": { "algo": "ecdsa", "s
k8s部署之使用CFSSL创建证书
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
12-09 1581
安装CFSSL curl -s -L -o /bin/cfssl https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 curl -s -L -o /bin/cfssljson https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 curl -s -L -o /bin/cfssl-certinfo https://p...
Ubuntu 16.04 Nginx SSL双向认证配置教程
本文将详细介绍如何在Ubuntu Server 16.04 LTS的Nginx服务器上配置SSL双向认证,以满足特定项目的安全性需求,即只允许部分用户访问。由于作者遵循避免使用代码解决方案的原则,所以选择使用SSL双向认证,该方案允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值