NGINX之HTTPS双向认证

最新推荐文章于 2024-12-02 16:30:50 发布
原创 最新推荐文章于 2024-12-02 16:30:50 发布 · 456 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#openssl #nginx #https

本文介绍了HTTPS双向认证的概念,强调了其在提高网络安全方面的重要性。通过自签CA,详细阐述了如何创建根证书、服务端证书和客户端证书的过程。同时,提供了在Nginx中配置双向认证的步骤,并讲解了如何将客户端证书提供给终端用户,包括在浏览器和curl中的使用。

前言

大部分HTTPS的站点都只是单向认证,即只有客户端校验服务端。那么一种更安全的做法则是双向认证,即客户端服务端互相验证。
网上介绍https双向认证原理的帖子很多,就不做赘述!

重要

是否需要双向认证是服务端决定的

双向认证的客户端证书和服务端ssl证书没有关系

自签CA

首先ssl证书是受CA信任的三方机构颁发,并预装到主流浏览器中的,网站拥有合法的ssl证书可以规避浏览器的不安全警告,数据传输更安全。

但这里我们只探讨器原理,所以不去纠结ssl证书是否合法

创建根证书私钥:

openssl genrsa -out root.key 1024

创建根证书请求文件:

openssl req -new -out root.csr -key root.key

这里会让你填一些东西,随便填就行,我举个例子:
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:sc
Locality Name (eg, city) [Default City]:cd
Organization Name (eg, company) [Default Company Ltd]:phaoer
Organizational Unit Name (eg, section) []:phaoer
Common Name (eg, your name or your servers hostname) []:root
Email Address []:
A challenge password []:
An optional company name []:

注意:在生成服务端和客户端请求文件的时候也会要求填写这些信息,Common Name填写域名即可

创建根证书(有效期10年):

openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650

服务端证书

如果你的网站目前已经拥有合法的ssl证书,略过这一步即可。

生成服务端证书私钥:


                

                
                
        

    

  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
Java nginx https 双向认证

				
			

			

				

					能写下来,理解才会更深
				

				

					10-20
					
					9518
					
				

			

		

		

			
				
最近要做个https 双向认证的,就做了个demo,踩了不少坑,记录一下.
主要还是对原理理解不够透彻,刚开始直接从网上搬个例子就用,结果大部分都不适用.

			
		

	



                

            
              



	

		

			

				
					
nginx配置https证书双向认证

				
			

			

				

					itafeng
				

				

					07-29
					
					1940
					
				

			

		

		

			
				
目标

使用openssl生成证书并配置到nginx.

步骤

1. 生成服务端证书和客户端证书

2. 配置nginx并重启

3. 本地浏览器导入客户端证书

4. 测试验证

证书制作详细过程


# 1 创建目录
mkdir -p keys/private && mkdir -p keys/certs
cd keys
# 2 生成根证书:

    #生成根证书私钥
    openssl genrsa...

			
		

	



              


  
              

                


	

		

			

				
					
Nginx Https 双向认证

				
			

			

				

					猴子哥哥的博客
				

				

					02-04
					
					908
					
				

			

		

		

			
				
1 基础知识
1.1 单向认证 SSL 步骤
1、客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息
2、服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书
3、客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和

			
		

	





	

		

			

				
					
Nginx配置https双向认证

					
热门推荐

				
			

			

				

					happyzhang的Blog
				

				

					11-20
					
					1万+
					
				

			

		

		

			
				
1.      前期的准备工作:
安装opensslnginxhttps模块
cd  ~/
mkdir ssl
cd ssl
mkdir demoCA
cd demoCA
mkdir newcerts
mkdir private
touch index.txt
echo '01' > serial
2.      制作CA证书(这个是信任的起点,根证书,所有其他的证书都要

			
		

	



		

			
		



	

		

			

				
					
安全认证系列之-Java后台访问双向认证服务

				
			

			

				

					weinichendian的博客
				

				

					11-10
					
					848
					
				

			

		

		

			
				
1.介绍

以java程序作为客户端,原理是一样的,也需要客户端请求时携带客户端证书和秘钥,并且客户端需要保存根证书,用来验证服务端证书的可靠性,所以首先需要安装根证书。

2.根证书安装

1)生成truststore库文件进行访问-原生方式

根证书可以使用jdk的keytool工具安装,方式有很多种,这里只选用库文件的模式。

首先,把根证书ca.crt复制一份,重命名为ca.cer,然后把这个文件复制到jdk的jre\lib\security目录下,在这个目录中进行根证书的安装:



运行命令



			
		

	





	

		

			

				
					
nginx https双向认证

				
			

			

				

					mengting2040的博客
				

				

					11-21
					
					311
					
				

			

		

		

			
				
nginx https双向认证

			
		

	





	

		

			

				
					
本地电脑基于nginxhttps单向认证双向认证(自制证书+nginx配置)保姆级

				
			

			

				

					cshongye的专栏
				

				

					09-22
					
					3372
					
				

			

		

		

			
				
基于nginxhttps单向认证双向认证(自制证书+nginx配置)保姆级

			
		

	





	

		

			

				
					
使用Nginx实现HTTPS双向验证的方法

				
			

			

				

					09-30
				

			

		

		

			
				
Nginx实现HTTPS双向验证的基本步骤包括:  1. 自建CA(Certificate Authority,证书颁发机构),制作CA的自签名证书,这一步是为了确保能够信任自己颁发的证书; 2. 使用自建CA为服务器和客户端分别签署证书; 3. 在...

			
		

	





	

		

			

				
					
https双向认证,SSL加密方式

				
			

			

				

					菜小菜吃菜的博客
				

				

					11-07
					
					698
					
				

			

		

		

			
				
模拟搭建https单、双向认证

			
		

	





	

		

			

				
					
java后台安全 加密

				
			

			

				

					05-03
				

			

		

		

			
				
java web 方面的安全信息 SSL通信原理及Tomcat SSL双向配置

			
		

	





	

		

			

				
					
nginx 配置 https双向认证

				
			

			

				

					CheerTan is here
				

				

					10-11
					
					2309
					
				

			

		

		

			
				
注意事项
配置双向认证,这里的common name需要都配置成不同
nginx 配置 https双向认证
1.准备工作
linux环境安装openssl
2.生成证书步骤
1.新建一个文件夹
   mkdir /root/keys

2.生成CA私钥 ca.key
   openssl genrsa -out ca.key 4096

3.生成ca的数字证书 ca.crt
   openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
   Co

			
		

	





	

		

			

				
					
Nginx双向认证

				
			

			

				

					weixin_44480960的博客
				

				

					01-25
					
					7231
					
				

			

		

		

			
				
Nginx双向认证
一、前言
参考链接

OPENSSL加密DSA,RSA介绍

客户端默认是相信权威CA机构的,操作系统内置了CA证书。
说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。
centos操作系统中被信任的证书一般在此文件中
cat /etc/pki/tls/certs/ca-bundle.crt


我们可以查看一下访问百度的一个通信过程
curl -v https://www.b

			
		

	





	

		

			

				
					
nginx配置https双向认证

				
			

			

				

					weixin_42084197的博客
				

				

					12-24
					
					540
					
				

			

		

		

			
				
基础知识SSL: Secure Socket Layer, 安全套接字层,它位于TCP层与Application层之间。提供对Application数据的加密保护(密文),完整性保护(不...

			
		

	





	

		

			

				
					
Nginx + https配置双向认证

				
			

			

				

					任我行的博客
				

				

					10-18
					
					669
					
				

			

		

		

			
				
1 准备工作
1.1 openssl目录准备
一般情况下openssl的配置文件都在这个目录/etc/pki/tls,so:
mkdir /etc/pki/ca_linvo

cd /etc/pki/ca_linvo

mkdir root server client newcerts

echo 01 > serial

echo 01 > crlnumber

touch inde...

			
		

	





	

		

			

				
					
Nginx配置https双向认证访问

				
			

			

				

					endzhi的博客
				

				

					03-21
					
					1196
					
				

			

		

		

			
				
需求:某些机密网站,仅允许特定电脑访问,能在运维方式解决,就不去麻烦开发!



安装或升级openssl

yuminstall-yopenssl



安装nginx,这里已经安装,安装目录为/usr/local/nginx/



创建一个新的CA根证书,在nginx安装目录下新建ca文件夹并创建几个子文件夹

mkdir/usr/local/nginx...

			
		

	





	

		

			

				
					
巧用 Nginx 快速实现 HTTPS 双向认证

				
			

			

				

					easylife206的专栏
				

				

					08-03
					
					7545
					
				

			

		

		

			
				
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !研究 HTTPS双向认证实现与原理,踩了不少坑,终于整个流程都跑通了,现在总结出一篇文档来,把一些心...

			
		

	





	

		

			

				
					
NGINX配置https双向认证(自签一级证书)

					
最新发布

				
			

			

				

					javajingling的专栏
				

				

					12-02
					
					1492
					
				

			

		

		

			
				
nginx配置双向ssl认证,自签证书生成,客户端证书导入windows系统。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值