本地电脑基于nginx的https单向认证和双向认证(自制证书+nginx配置)保姆级

已于 2024-11-01 14:50:38 修改
阅读量2.9k 收藏 15
点赞数 28
分类专栏: nginx 文章标签: https ssl 网络协议 nginx
于 2024-09-22 12:05:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cshongye/article/details/142396737
版权

目录

1、背景

2、运行环境

3、工具下载

3.1、OpenSSL下载

3.2、nginx下载

4、制作https证书:

4.1、CA与自签名:

4.2、制作CA根证书(公钥)

4.3、制作服务端证书:

4.4、制作客户端证书:

4.5、制作PFX证书

5、进行https认证配置:

5.1、单向认证

5.1.1、nginx.conf配置

5.1.2、验证配置文件

5.1.3、域名指向配置

5.1.4、浏览器客户端验证

5.2、双向配置

5.2.1、nginx.conf配置

5.2.2、验证配置文件

5.2.3、浏览器客户端验证-1

5.2.4、浏览器客户端配置

5.2.5、浏览器客户端验证-2

6、结语

1、背景

公司有个项目需要做相关的https接口的检测,需要用到客户端证书认证,也就是需要客户端发起请求的时候携带客户端证书的那种,中间也看了一些网上材料说的不是很全,特地编写此文记录并帮助有需要的朋友,同时基于此基础上再POSTMAN工具上做了上传证书和接口验证。

2、运行环境

本次环境为win10+jdk1.8;准备使用openssl3.3.2制作证书、nginx1.27.1代理和证书配置,以下会介绍openssl3.3.2和nginx1.27.1的下载

3、工具下载

3.1、OpenSSL下载

https://slproweb.com/products/Win32OpenSSL.html

下载地址:https://slproweb.com/download/Win64OpenSSL-3_3_2.exeicon-default.png?t=O83Ahttps://slproweb.com/download/Win64OpenSSL-3_3_2.exe

选择Win64 OpenSSL v3.3.2

安装成功后将openssl的bin文件夹目录配置到系统环境变量Path中,目的是为了后续使用openssl的命令在cmd窗口的任何路径都可以使用;系统变量Path配置如下所示:

在cmd窗口中使用命令openssl -v,出现openssl的版本信息即表示安装成功。

E:\software\nginx-1.27.1>openssl -v
OpenSSL 3.3.2 3 Sep 2024 (Library: OpenSSL 3.3.2 3 Sep 2024)

3.2、nginx下载

https://nginx.org/en/download.html

下载地址:https://nginx.org/download/nginx-1.27.1.zipicon-default.png?t=O83Ahttps://nginx.org/download/nginx-1.27.1.zip

安装成功后的路径在E:\software\nginx-1.27.1,鼠标双击nginx.exe即可启动nginx,可在谷歌浏览器访问http://localhost/出现如下界面表示成功:

4、制作https证书:

nginx安装目录E:\software\nginx-1.27.1\conf下新建证书文件夹SSL,进入该文件夹SSL开始制作证书

4.1、CA与自签名:

制作CA私钥

openssl genrsa -out ca.key 2048

4.2、制作CA根证书(公钥)

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

制作证书的时候需要填写相关信息,以下信息可以参考下填写 

EMAILADDRESS=11@qq.com, CN=root, OU=rz, O=rz, L=changsha, ST=hunan, C=zh

4.3、制作服务端证书:

制作服务端私钥

openssl genrsa -out server.pem 1024
openssl rsa -in server.pem -out server.key

生成签发请求

openssl req -new -key server.pem -out server.csr

用CA签发

openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt

制作证书的时候需要填写相关信息,以下信息可以参考下填写,其中CN是填写的HTTPS需访问域名apitest.local.cn,这个并不是一个外部购买域名,是本地虚拟的,等全部证书配置完后会把此域名配置到hosts文件进行本地映射。

EMAILADDRESS=11@qq.com, CN=apitest.local.cn, OU=rz, O=rz, L=changsha, ST=hunan, C=zh

4.4、制作客户端证书:

制作客户端私钥

openssl genrsa -out client.pem 1024
openssl rsa -in client.pem -out client.key

生成签发请求

openssl req -new -key client.pem -out client.csr

用CA签发

openssl x509 -req -sha256 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out client.crt

制作证书的时候需要填写相关信息,以下信息可以参考下填写,其中CN是填写的HTTPS需访问域名apitest.local.cn(此CN与服务器证书保持一致),这个并不是一个外部购买域名,是本地虚拟的,等全部证书配置完后会把此域名配置到hosts文件进行本地映射。

EMAILADDRESS=11@qq.com, CN=apitest.local.cn, OU=rz, O=rz, L=changsha, ST=hunan, C=zh

4.5、制作PFX证书

windows上安装的证书需要pfx格式,也叫p12格式,生成方式如下:

openssl pkcs12 -export -inkey client.key -in client.crt -out client.pfx

执行以上命令的时候需要输入一个密码,可简单设置自己容易记住的,后续导入证书到浏览器会用到此密码。

5、进行https认证配置:

先将本地nginx.conf文件做以下复制备份

5.1、单向认证

5.1.1、nginx.conf配置

单向认证只需在服务端Nginx的配置文件nginx.conf里面做配置即可:

    # HTTPS server
    #
    server {
        listen       443 ssl;
		listen       [::]:443 ssl;
        server_name  apitest.local.cn;

		#单向认证
		#配置服务端证书,所有证书文件建议放在Nginx文件夹下,避免SELINUX导致的证书文件读取错误
		ssl_certificate SSL/server.crt;
		#配置服务端秘钥
		ssl_certificate_key SSL/server.key;
		
		
		ssl_session_cache shared:SSL:1m;
		ssl_session_timeout  10m;
		#ssl_ciphers HIGH:!aNULL:!MD5;
		ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;    #加密算法
		
		#安全链接可选的加密协议
		ssl_protocols TLSv1 TLSv1.1 TLSv1.2;    
		ssl_prefer_server_ciphers on;

        location / {
            root   html;
            index  index.html index.htm;
        }
		
		location /ubase-admin {
			proxy_pass http://127.0.0.1:8088;
			proxy_set_header Host $Host:$server_port;
			proxy_set_header X-Real-IP $remote_addr;
			proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
			proxy_set_header REMOTE-HOST $remote_addr;
			add_header X-Cache $upstream_cache_status;
			proxy_set_header X-Host $host:$server_port;
			proxy_set_header X-Scheme $scheme;
			proxy_connect_timeout 30s;
			proxy_read_timeout 86400s;
			proxy_send_timeout 30s;
			proxy_http_version 1.1;
			proxy_set_header Upgrade $http_upgrade;
			proxy_set_header Connection "upgrade";
		}
		# HTTP反向代理相关配置结束 <<<
		access_log  /temp-ubase-admin.log;
		error_log  /temp-ubase.error.log;
    }

5.1.2、验证配置文件

配置Nginx,测试Nginx配置文件是否有语法错误命令nginx -t:

验证配置文件失败示例:

以下表示找不到相应的文件,可能是路径配置错误了

E:\software\nginx-1.27.1>nginx -t
nginx: [emerg] cannot load certificate "E:\software\nginx-1.27.1/conf/SSL2/server.crt": BIO_new_file() failed (SSL: error:80000003:system library::No such process:calling fopen(E:\software\nginx-1.27.1/conf/SSL2/server.crt, r) error:10000080:BIO routines::no such file)
nginx: configuration file E:\software\nginx-1.27.1/conf/nginx.conf test failed

重新加载Nginx配置文件,然后以优雅的方式重启Nginx:nginx -s reload

验证配置文件成功示例:

E:\software\nginx-1.27.1>nginx -t
nginx: the configuration file E:\software\nginx-1.27.1/conf/nginx.conf syntax is ok
nginx: configuration file E:\software\nginx-1.27.1/conf/nginx.conf test is successful

5.1.3、域名指向配置

先在window hosts文件后追加以下代码,一般hosts文件在

C:\Windows\System32\drivers\etc

127.0.0.1 apitest.local.cn

追加完后保存文件即可。 

5.1.4、浏览器客户端验证

在客户端谷歌浏览器进行验证,在谷歌浏览器url地址栏中输入:https://apitest.local.cn/ubase-admin/captchaImage,按enter进行访问弹出不安全连接的警告,点击忽略继续访问,成功访问到资源即单向配置成功了。 

以上访问地址中apitest.local.cn域名就是证书中配置的CN值,同时在hosts文件中做了配置指向本地服务器,其中的/ubase-admin是nginx.conf配置的代码服务路径,指向本地启动的一个测试应用服务其中有一个GET API接口captchalmage,出现以下截图示例表示单向认证成功了。

5.2、双向配置

5.2.1、nginx.conf配置

在单向配置的基础之上只需将根认证证书(公钥配置在nginx里面),并打开https双向认证的设置:ssl_verify_client on

    # HTTPS server
    #
    server {
        listen       443 ssl;
		listen       [::]:443 ssl;
        server_name  apitest.local.cn;

		#单向认证
		#配置服务端证书,所有证书文件建议放在Nginx文件夹下,避免SELINUX导致的证书文件读取错误
		ssl_certificate SSL/server.crt;
		#配置服务端秘钥
		ssl_certificate_key SSL/server.key;
		
		#双向认证
		#开启客户端证书校验
		ssl_verify_client on;
		#配置客户端证书用于验证客户端合法性
		ssl_client_certificate SSL/ca.crt;
		
		
		ssl_session_cache shared:SSL:1m;
		ssl_session_timeout  10m;
		#ssl_ciphers HIGH:!aNULL:!MD5;
		ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;    #加密算法
		
		#安全链接可选的加密协议
		ssl_protocols TLSv1 TLSv1.1 TLSv1.2;    
		ssl_prefer_server_ciphers on;

        location / {
            root   html;
            index  index.html index.htm;
        }
		
		# 本地测试应用服务ubase-admin
		location /ubase-admin {
			proxy_pass http://127.0.0.1:8088;
			proxy_set_header Host $Host:$server_port;
			proxy_set_header X-Real-IP $remote_addr;
			proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
			proxy_set_header REMOTE-HOST $remote_addr;
			add_header X-Cache $upstream_cache_status;
			proxy_set_header X-Host $host:$server_port;
			proxy_set_header X-Scheme $scheme;
			proxy_connect_timeout 30s;
			proxy_read_timeout 86400s;
			proxy_send_timeout 30s;
			proxy_http_version 1.1;
			proxy_set_header Upgrade $http_upgrade;
			proxy_set_header Connection "upgrade";
		}
		# HTTP反向代理相关配置结束 <<<
		access_log  /temp-ubase-admin.log;
		error_log  /temp-ubase.error.log;
    }

5.2.2、验证配置文件

重新配置Nginx,测试Nginx配置文件是否有语法错误:nginx -t,重新加载Nginx配置文件,然后以优雅的方式重启Nginx:nginx -s reload

E:\software\nginx-1.27.1>nginx -t
nginx: the configuration file E:\software\nginx-1.27.1/conf/nginx.conf syntax is ok
nginx: configuration file E:\software\nginx-1.27.1/conf/nginx.conf test is successful

E:\software\nginx-1.27.1>nginx -s reload

5.2.3、浏览器客户端验证-1

在验证之前先参考5.1.3、域名指向配置

在客户端谷歌浏览器进行验证,在浏览器url地址栏中输入:https://apitest.local.cn/ubase-admin/captchaImage,按enter进行访问会弹出以下拦截提示:

5.2.4、浏览器客户端配置

因为是双向认证,在发起客户端是需要做相关配置的,所以我们需要将之前做的客户端证书导入到谷歌浏览器中才能访问。

打开谷歌浏览器(版本 123.0.6312.106(正式版本) 64 位),找到:设置->隐私设置和安全性->安全->管理证书:

点击安全,然后再点击管理证书

点击导入,再点击下一步。

选择之前做的client.pfx证书

5.2.5、浏览器客户端验证-2

然后将准备好的证书client.pfx导入到浏览器中,导入成功后关闭浏览器然后再重启(一定要重启谷歌浏览器),重新访问刚才的的https://apitest.local.cn/ubase-admin/captchaImage,就会提示:

浏览器会自动弹出此证书选择框提示,点击你选中你刚才导入的证书然后就可以正常访问了
 

6、结语

以上配置和验证写完了,有不明白或者不够细致的地方可以在评论区留言。

原创不易,希望各位客官点赞+评论+收藏,一键三连! 

Django云服务器配置Nginx站点SSL证书HTTPS协议
Mr数据杨
02-10 1万+
如果自己已经能独立使用 Python 的 Django 框架完成一个项目了,现在需要进行部署服务以及相关项目分发的二域名了。不过至于什么是 http https 这里不做科普,不懂的请找度娘。一句话开启 https 协议为了解决这个隐患保证数据的传输安全,HTTPS协议(安全套接字层超文本传输协议)诞生了。它在 http 的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器服务器之间的通信数据加密。
Java nginx https 双向认证
能写下来,理解才会更深
10-20 9442
最近要做个https 双向认证的,就做了个demo,踩了不少坑,记录一下. 主要还是对原理理解不够透彻,刚开始直接从网上搬个例子就用,结果大部分都不适用.
Nginx配置https双向认证
热门推荐
happyzhang的Blog
11-20 1万+
1.      前期的准备工作: 安装opensslnginxhttps模块 cd  ~/ mkdir ssl cd ssl mkdir demoCA cd demoCA mkdir newcerts mkdir private touch index.txt echo '01' > serial 2.      制作CA证书(这个是信任的起点,根证书,所有其他的证书都要
Nginx配置SSL详解
最新发布
囚徒之困
04-28 1827
nginx配置ssl nginx配置https
NGINX 配置本地HTTPS(免费证书)
峰之流觞的博客
07-13 2800
Linux系统下生成证书 生成秘钥key,运行: $ openssl genrsa -des3 -out server.key 2048 1 会有两次要求输入密码,输入同一个即可 输入密码 然后你就获得了一个server.key文件. 以后使用此文件(通过openssl提供的命令或API)可能经常回要求输入密码,如果想去除输入密码的步骤可以使用以下命令: $ openssl rsa -...
nginx部署本地证书
Phor的博客
10-22 755
Linux系统下生成证书 生成秘钥key,运行: $ openssl genrsa -des3 -out server.key 2048 1 会有两次要求输入密码,输入同一个即可 输入密码 然后你就获得了一个server.key文件. 以后使用此文件(通过openssl提供的命令或API)可能经常回要求输入密码,如果想去除输入密码的步骤可以使用以下命令: $ openssl rsa -...
nginx 配置 https双向认证
CheerTan is here
10-11 2244
注意事项 配置双向认证,这里的common name需要都配置成不同 nginx 配置 https双向认证 1.准备工作 linux环境安装openssl 2.生成证书步骤 1.新建一个文件夹 mkdir /root/keys 2.生成CA私钥 ca.key openssl genrsa -out ca.key 4096 3.生成ca的数字证书 ca.crt openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Co
Nginx认证
dianzhanxing8021的博客
06-29 151
Nginx 的 ngx_http_auth_basic_module模块允许通过使用“HTTP基本认证”协议验证用户名密码来限制对资源的访问。 配置举例: location / { auth_basic "closed site"; auth_basic_user_file conf/htpasswd; } #生成htpas...
nginx配置https证书双向认证
itafeng
07-29 1875
目标 使用openssl生成证书配置nginx. 步骤 1. 生成服务端证书客户端证书 2. 配置nginx并重启 3. 本地浏览器导入客户端证书 4. 测试验证 证书制作详细过程 # 1 创建目录 mkdir -p keys/private && mkdir -p keys/certs cd keys # 2 生成根证书: #生成根证书私钥 openssl genrsa...
Nginx单向认证双向认证安装配置
liucy007的博客
01-31 1918
1.Nginx单向认证的安装配置 参考 https://www.cnblogs.com/zhoulf/p/4040015.html?tdsourcetag=s_pcqq_aiomsg 补充 Nginx.config配置文件 upstream server_pool { server 10.110.26.78:8080; } server { listen 4...
iOS https 自制证书 单向 双向 验证,以及服务器(Nginx)配置
doubleface999的博客
03-10 2328
一、httphttps的区别与原理 介绍原理的博文太多了,这里列出一篇详细的: IOS 使用自签名证书开发HTTPS文件传输 二、证书的类型自制证书生成 1.什么是数字证书(Certificate) 在HTTPS的传输过程中,有一个非常关键的角色——数字证书,那什么是数字证书?又有什么作用呢? 所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点: 使用数字证书能够.
https双向认证SSL加密方式
菜小菜吃菜的博客
11-07 612
模拟搭建https单、双向认证
Nginx双向认证
weixin_44480960的博客
01-25 7093
Nginx双向认证 一、前言 参考链接 OPENSSL加密DSA,RSA介绍 客户端默认是相信权威CA机构的,操作系统内置了CA证书。 说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。 centos操作系统中被信任的证书一般在此文件中 cat /etc/pki/tls/certs/ca-bundle.crt 我们可以查看一下访问百度的一个通信过程 curl -v https://www.b
nginx 使用Https自建私有证书(类似12306发的证书)
laker的博客
12-04 1771
目录 一、自建证书制作 二、nginx 支持https搭建(centos) 一、自建证书制作 1、成功截图如下 滴滴滴 2、参考springboot + https 步骤 不一样的是 nginx 使用的文件格式为 crt key 所以 再导出服务端文件的时候 注意选择的类型即可 1、crt 文件 2、key文件导出 把后缀 pem 改成 key 即可,但是没测试过 不改行不行 二、nginx 支持https搭建(centos) 参考网址https://bl...
nginx 配置本地https(免费证书)
AsuraSylar的博客
11-22 645
Linux系统下生成证书 生成秘钥key,运行: $ openssl genrsa -des3 -out server.key 20481会有两次要求输入密码,输入同一个即可 输入密码 然后你就获得了一个server.key文件. 以后使用此文件(通过openssl提供的命令或API)可能经常回要求输入密码,如果想去除输入密码的步骤可以使用以下命令: $ openssl rsa...
nginx配置本地https(openssl双向认证)(好文章!!申精!!)
HD243608836的博客
02-04 1804
原文格式更清晰:https://www.cnblogs.com/xiao987334176/p/11041241.html 一、SSL协议加密方式 SSL协议即用到了对称加密也用到了非对称加密(公钥加密),在建立传输链路时,SSL首先对对称加密的密钥使用公钥进行非对称加密,链路建立好之后,SSL对传输内容使用对称加密。 1.对称加密 速度高,可加密内容较大,用来加密会话过程中的消息。 2.公钥加密 加密速度较慢,但能提供更好的身份认证技术,用来加密对称加密的密钥。 单向认证...
nginx本地配置
chen_pt的博客
12-29 5843
nginx是一个代理服务器用来进行域名的反向代理或者正向代理,同时他也是一个比较可靠的静态资源服务器,相比于FTP服务器来说他没有那么专业,但是也能撑起一个小项目的资源。不多说,直接上步骤: ①修改本机HOSTS文件 HOSTS它的作用是包含IP地址Host name(主机名)的映射关系,是一个映射IP地址Host name(主机名)的规定,规定要求每段只能包括一个映射关系,IP地址要放在...
nginx自制证书
yuxinkuan的博客
09-16 1358
1.新建证书存放路径(/usr/local/nginx目录下) mkdirssl 2.生成一个RSA私钥(/usr/local/nginx/ssl目录下) opensslgenrsa-des3-outserver.key 2048 3.创建csr证书 opensslreq-new-keyserver.key-outserver.csr 输入私钥密码------->国家(zh)------>省份(浙江)----->城市(杭州)------>公司名称-----...
nginx搭建本地https服务器
12-28
### 配置 Nginx 运行本地 HTTPS 服务器 为了使 Nginx 支持 HTTPS 协议,需确保已安装 OpenSSL 并获取有效的 SSL/TLS 证书与私钥。对于开发环境而言,可以创建自签名证书用于测试目的。 #### 创建自签名SSL证书 通过 OpenSSL 工具生成自签名证书及其对应的私钥: ```bash openssl req -keyout /etc/ssl/private/nginx-selfsigned.key \ -out /etc/ssl/certs/nginx-selfsigned.crt ``` 此命令会提示输入有关组织的信息,在大多数情况下可以直接按回车键接受默认设置[^1]。 #### 修改Nginx配置文件支持HTTPS 使用文本编辑工具打开站点配置文件 `/etc/nginx/sites-available/default`: ```bash sudo nano /etc/nginx/sites-available/default ``` 在 `server` 块内添加如下内容以启用 HTTPS 监听端口以及指定之前生成的证书路径: ```nginx server { listen 443 ssl; server_name localhost; ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt; ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; location / { root /usr/share/nginx/html; index index.html index.htm; } } ``` 这段配置使得 Nginx 只允许较新的TLS协议版本,并设置了高强度加密算法列表来保障通信安全。 另外还需要保留原有的监听 HTTP 请求(`listen 80`)的服务块以便实现HTTP到HTTPS自动跳转功能: ```nginx server { listen 80; server_name localhost; return 301 https://$host$request_uri; } ``` 完成上述更改之后保存退出编辑器,并验证新配置的有效性: ```bash sudo nginx -t ``` 如果一切正常,则重启 Nginx 应用最新修改过的配置: ```bash sudo systemctl restart nginx ``` 此时访问 http://localhost 将被重定向至 https://localhost ,浏览器地址栏应显示锁形图标表示连接已经加密。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值