Nginx SSL 双向认证

最新推荐文章于 2024-05-28 17:22:23 发布
最新推荐文章于 2024-05-28 17:22:23 发布
阅读量994 收藏 1
点赞数 2
分类专栏: Java 文章标签: Nginx SSL 双向认证

一、安装Nginx和OpenSSL

yum install nginx openssl -y

二、SSL 服务器 / 客户端双向验证证书的生成

创建一个新的 CA 根证书,在 nginx 安装目录下新建 ca 文件夹,进入 ca,创建几个子文件夹

	mkdir ca && cd ca  
	mkdir newcerts private conf server

	# newcerts 子目录将用于存放 CA 签署过的数字证书(证书备份目录);
	  private 用于存放 CA 的私钥;conf 目录用于存放一些简化参数用的配置文件;
	  server 存放服务器证书文件。

conf 目录新建 openssl.conf 文件

[ ca ] 
default_ca      = foo                   # The default ca section 

[ foo ] 
dir            = ./         # top dir  
database       = ./index.txt          # index file.  
new_certs_dir  = ./newcerts           # new certs dir 

certificate    = ./private/ca.crt         # The CA cert  
serial         = ./serial             # serial no file  
private_key    = ./private/ca.key  # CA private key  
RANDFILE       = ./private/.rand      # random number file 

default_days   = 365                     # how long to certify for  
default_crl_days= 30                     # how long before next CRL  
default_md     = sha1                     # message digest method to use  
unique_subject = no                      # Set to 'no' to allow creation of  
                                         # several ctificates with same subject. 
policy         = policy_any              # default policy 

[ policy_any ] 
countryName = match  
stateOrProvinceName = match  
organizationName = match  
organizationalUnitName = match  
localityName            = optional  
commonName              = supplied  
emailAddress            = optional

生成私钥 key 文件

openssl genrsa -out private/ca.key 2048  
输出
Generating RSA private key, 2048 bit long modulus  
.......+++
.........................+++
e is 65537 (0x10001)  

private 目录下有 ca.key 文件生成。

生成证书请求 csr 文件

openssl req -new -key private/ca.key -out private/ca.csr

生成凭证 crt 文件

openssl x509 -req -days 365 -in private/ca.csr -signkey private/ca.key -out private/ca.crt  

private 目录下有 ca.crt 文件生成。

为我们的 key 设置起始序列号和创建 CA 键库

echo FACE > serial
#可以是任意四个字符
touch index.txt

为 “用户证书” 的移除创建一个证书撤销列表

openssl ca -gencrl -out ./private/ca.crl -crldays 7 -config "./conf/openssl.conf"  

# 输出
Using configuration from ./conf/openssl.conf  
private 目录下有 ca.crl 文件生成。

三、服务器证书的生成

创建一个 key

openssl genrsa -out server/server.key 2048

为我们的 key 创建一个证书签名请求 csr 文件

openssl req -new -key server/server.key -out server/server.csr

使用我们私有的 CA key 为刚才的 key 签名

openssl ca -in server/server.csr -cert private/ca.crt -keyfile private/ca.key -out server/server.crt -config "./conf/openssl.conf"  

# 输出
Using configuration from ./conf/openssl.conf  
Check that the request matches the signature  
Signature ok  
The Subject's Distinguished Name is as follows  
countryName           :PRINTABLE:'CN'  
stateOrProvinceName   :ASN.1 12:'GuangDong'  
localityName          :ASN.1 12:'GuangZhou'  
organizationName      :ASN.1 12:'le****'  
organizationalUnitName:ASN.1 12:'dev'  
commonName            :ASN.1 12:'le***'  
emailAddress          :IA5STRING:'****@gmail.com'  
Certificate is to be certified until Mar 19 07:37:02 2017 GMT (365 days)  
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y  
Write out database with 1 new entries  
Data Base Updated  
注:签名信息每次必须输入一致

四、客户端证书的生成

创建存放 key 的目录 users

	mkdir users

为用户创建一个 key

openssl genrsa -des3 -out ./users/client.key 2048  

输出:
Enter pass phrase for ./users/client.key:123  
Verifying - Enter pass phrase for ./users/client.key:123  
#要求输入 pass phrase,这个是当前 key 的口令,以防止本密钥泄漏后被人盗用。两次输入同一个密码(比如我这里输入 123),users 目录下有 client.key 文件生成。

为 key 创建一个证书签名请求 csr 文件

openssl req -new -key ./users/client.key -out ./users/client.csr  
#users 目录下有 client.csr 文件生成。

使用我们私有的 CA key 为刚才的 key 签名

openssl ca -in ./users/client.csr -cert ./private/ca.crt -keyfile ./private/ca.key -out ./users/client.crt -config "./conf/openssl.conf"

将证书转换为大多数浏览器都能识别的 PKCS12 文件

openssl pkcs12 -export -clcerts -in ./users/client.crt -inkey ./users/client.key -out ./users/client.p12  

输出
Enter pass phrase for ./users/client.key:  
Enter Export Password:  
Verifying - Enter Export Password:  
输入密码后,users 目录下有 client.p12 文件生成。

五、Nginx配置

vhosts.xxx.conf 在 server { }段键入如下代码

    listen       443; 
    server_name  localhost; 
    ssi on; 
    ssi_silent_errors on; 
    ssi_types text/shtml; 

    ssl                  on; 
    ssl_certificate      /usr/local/nginx/ca/server/server.crt; 
    ssl_certificate_key  /usr/local/nginx/ca/server/server.key; 
    ssl_client_certificate /usr/local/nginx/ca/private/ca.crt; 

    ssl_session_timeout  5m; 
    ssl_verify_client on;  #开户客户端证书验证 
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDH:AES:HIGH:!aNULL:!MD5:!ADH:!DH;

    ssl_prefer_server_ciphers   on;

重新启动Nginx

sic777
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** 在网络安全日益重要的今天,服务器与客户端之间的通信安全成为了一个不可忽视的问题。本文将详细介绍如何在Nginx服务器上配置SSL双向认证,以提高服务器的安全性,允许只有经过验证...
nginx配置ssl单-双向验证 nginx https ssl证书配置
梦想起飞的地方.........
04-26 2236
1、安装nginx 参考《nginx安装》:http://www.ttlsa.com/nginx/nginx-install-on-linux/ 如果你想在单IP/服务器上配置多个https,请看《nginx 同一个IP上配置多个HTTPS主机》 2、使用openssl实现证书中心 由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同 1 2 3 4 5 Country Name
nginx 配置https双向认证
qq_19641001的博客
05-22 433
参考博客 https://blog.csdn.net/zkt286468541/article/details/80864184 # 制作CA私钥 openssl genrsa -out ca.key 2048 # 制作CA公钥/根证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # 服务器端证书 # 制作服务器私钥 openssl genrsa -out server.pem 1024 openssl rsa -in serve.
Nginx开启TLS双向认证流程及配置
最新发布
ChinaCpp666的博客
05-28 1774
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
Nginx 在公网上搭建加密数据通道
云原生实验室
03-16 1114
最近在跨机房做一个部署,因为机房之间暂时没有专线,所以流量需要经过公网。对于经过公网的流量,我们一般需要做以下的安全措施:只能允许已知的 IP 来访问;流量需要加密;第一项很简单,一般的防...
虚拟服务器ssl端口,nginx – 如何在一个虚拟服务器上使用ssl_verify_client = ON而在另一个虚拟服务器上使用ssl_verify_client = OFF?...
weixin_30989967的博客
08-02 805
我想强制对我的虚拟主机进行ssl客户端验证.但得到“没有发送所需的SSL证书”错误,试图从中获取一些东西.这是我的测试配置:# defaultsssl_certificate /etc/certs/server.cer;ssl_certificate_key /etc/certs/privkey-server.pem;ssl_client_certificate /etc/certs/allcas...
nginx:对上下游使用SSL连接
error311的博客
06-27 2829
对下游使用证书 1.ssl_certificate 指令 语法:ssl_certificate file; 默认:空 放置位置:http,server 2.ssl_certificate_key 指令 语法:ssl_certificate_key file; 默认:空 放置位置:http,server 验证下游证书 1.ssl_verify_client 指令 语法:ssl_verify_client on | off | ...
Nginx双向SSL认证配置详解
04-09
Nginx双向SSL认证配置详细步骤
Nginx+SSL实现双向认证的示例代码
09-30
主要介绍了Nginx+SSL实现双向认证的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过...
从入门到熟悉 HTTPS 的 9 个问题!
weixin_49527334的博客
09-06 257
一、为什么用自增列作为主键 1.如果我们定义了主键(PRIMARY KEY),那么InnoDB会选择主键作为聚集索引。 如果没有显式定义主键,则InnoDB会选择第一个不包含有NULL值的唯- -索引作为主键索引。 如果也没有这样的唯一索引, 则InnoDB会选择内置6字节长的ROWID作为隐含的聚集索引(ROWID随着行记录的写入而主键递增,这个ROWID不像ORACLE的ROWID那样可引用,是隐含的)。 2.数据记录本身被存于主索引(- 颗B+Tree)的叶子节点上,这就要求同一个叶子节点内(大小为-
Nginx配置https双向认证
CyborgLin的博客
09-01 4254
https双向认证原理: 网上查询很多文章,按照他们的步骤下来到最后都是失败的,然后摸索了3天终于搞定,记录下来,希望帮助到其他小伙伴。 一.生成自签名根证书 创建根证书私钥: openssl genrsa -out root.key 1024 创建根证书请求文件: openssl req -new -out root.csr -key root.key ############注意############## 根证书的Common Name填写root就可以,根证书的这个字段和.
nginx中配置ssl双向认证详解
cnhome的专栏
05-03 2686
nginx中配置ssl双向认证详解修改openssl配置的参数使用openssl制作CA的自签名证书准备服务器端证书准备客户端证书nginx的配置客户端证书格式转换撤销用户证书 [转自] (https://blog.csdn.net/yuanlin65/article/details/53187710) 需求说明:公司内部一些业务系统对安全性要求比较高,例如mis、bi等,这些业务系统只允许公司内...
nginx实现双向认证
qq_41937509的博客
09-20 4800
如果手里面只有通过正规途径申请下来的证书(而不是上面自签证做法), 得到的证书如下面所示, 这里只有服务端证书而没有服务端和根证书, 所以仍需要我们以自签证的方式生成根证书以及客户端证书。配置的主要内容是配置了服务器端证书的公钥私钥以及根证书的公钥, 并且ssl_verify_client 参数设置为 on。如果客户端证书不是由根证书直接颁发的,配置中还需要加一个配置:ssl_verify_depth 1;server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成。
Nginx双向认证
weixin_44480960的博客
01-25 6610
Nginx双向认证 一、前言 参考链接 OPENSSL加密DSA,RSA介绍 客户端默认是相信权威CA机构的,操作系统内置了CA证书。 说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。 centos操作系统中被信任的证书一般在此文件中 cat /etc/pki/tls/certs/ca-bundle.crt 我们可以查看一下访问百度的一个通信过程 curl -v https://www.b
nginx 配置 https的双向认证
CheerTan is here
10-11 1997
注意事项 配置双向认证,这里的common name需要都配置成不同 nginx 配置 https的双向认证 1.准备工作 linux环境安装openssl 2.生成证书步骤 1.新建一个文件夹 mkdir /root/keys 2.生成CA私钥 ca.key openssl genrsa -out ca.key 4096 3.生成ca的数字证书 ca.crt openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Co
nginx(六十七)http_ssl模块 client与nginxssl握手
wzj_110的博客
11-26 4106
client与nginxssl握手之http_ssl模块
nginx SSL证书配置(双向认证
weixin_33674976的博客
10-18 1268
2019独角兽企业重金招聘Python工程师标准>>> ...
Java nginx 双向ssl_nginx配置ssl双向验证的方法
weixin_36028243的博客
02-25 338
1、安装nginx略2、使用openssl实现证书中心由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同Country NameState or Province NameLocality NameOrganization NameOrganizational Unit Name编辑证书中心配置文件vim /etc/pki/tls/open...
nginx https双向认证
12-01
以下是nginx https双向认证的步骤: 1.生成自签名证书 使用openssl命令生成自签名证书,其中需要设置证书的common name为服务器的域名或IP地址,同时需要设置证书的扩展属性为客户端认证: ```shell openssl req ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值