自签名SSL证书以及nginx配置https服务

已于 2023-04-11 17:45:18 修改
阅读量2.6k 收藏 9
点赞数
文章标签: ssl https nginx
于 2023-04-10 22:07:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fb_fatboy/article/details/130070986
版权

自签名SSL证书以及nginx配置https服务

 

服务器SSL的认证流程

单向认证

  1. 客户端发起建立HTTPS连接请求,将SSL协议版本的信息发送给服务端

  2. 服务器端将本机的公钥证书发送给客户端

  3. 客户端读取公钥证书,取出服务端公钥

  4. 客户端生成一个随机数(秘钥R),用刚才得到的服务器公钥去加密这个随机数行程秘文,发送给服务器

  5. 服务器用自己的私钥去解密这个秘文,得到秘钥R

  6. 客户端和服务端在后续的通讯过程中就是用这个秘钥R进行通信

双向认证

  1. 客户端发起建立HTTPS连接请求,将SSL协议版本的信息发送给服务端

  2. 服务器端将本机的公钥证书发送给客户端

  3. 客户端读取公钥证书,取出服务端公钥

  4. 客户端将客户端公钥证书发送给服务端

  5. 服务器端解密客户端公钥证书,拿到客户端公钥

  6. 客户端发送自己支持的加密方案给服务端

  7. 服务端根据自己和客户端的能力,选择一个双方都能接受的加密方式,使用客户端的公钥加密后发送给客户端

  8. 客户端使用自己的私钥解密加密方案,生成一个随机数R,使用服务器公钥加密之后传给服务端

  9. 服务端用自己的私钥去解密这个秘文,得到秘钥R

  10. 客户端和服务端在后续的通讯过程中就是用这个秘钥R进行通信

不难发现双向认证会比单项认证更安全,当然性能肯定是不如单向

自签名SSL证书

需要生成的证书文件

  • 服务端公钥证书:server.crt

  • 服务端私钥证书:server-privatekey.pem

  • 客户端公钥证书:client.crt

  • 客户端私钥证书:client-privatekey.pem

  • 客户端集成证书(包括公钥和私钥,用于浏览器访问场景):client.p12

在开始生成这一系列证书之前,需要先生成一个CA根证书,通过这个CA根证书颁发服务器公钥和客户端公钥,假装我们是正规的CA机构(手动狗头)

自建CA

  1. 创建私钥privatekey.pem

    openssl genrsa -out privatekey.pem

    如果不指定-out参数2048bit的私钥会直接在命令行打印

    -out为存储路径

  2. 根据私钥生成一个新的证书请求文件

    openssl req -key privatekey.pem -new -out ca.csr

    • -new 生成一个新的证书请求

    • -out 存储路径

    • -key 指定读取私钥的文件路径,这里使用了上一步中生成的私钥文件,如果不指定会先初始化一个私钥

    执行该命令后根据提示完善一些信息

    • Country Name:国家,这里限制输入两个字符,中国是CN

    • State or Province Name:州或者省份

    • Locality Name:城市

    • Organization Name:组织,可以采用公司名

    • Organizational Unit Name:组织单位,有些ca机构没有该内容

    • Common Name:公用名,这里填域名,没有域名的话用服务器的ip

    • Email Address:邮箱,这里我回车跳过了

    • A challenge password:请求文件的密码,可以直接回车跳过

    如果不想要在对话框中依次输入信息,可以执行下面的命令

    openssl req -key privatekey.pem -new -out ca.csr -subj /C=cn/ST=guangdong/L=guangzhou/O=testcompany/OU=testdepartment/CN=test.com

  4. 创建根证书

    openssl x509 -req -in ca.csr -out ca.crt -signkey privatekey.pem -CAcreateserial -days 365

    x509是一个多功能的证书命令。可以用来展示证书信息、转换证书格式、像mini CA一样签名证书请求或者修改证书信任设置

    • -in 输入文件的读取路径

    • -out 输出文件的存储路径

    • -signkey 私钥文件路径

    • -CAcreateserial 避免没有CA serial number file(该文件只有一行,包含偶数个十六进制的字符)时候的报错。没有的话这里会自动创建一个。

    • -days 证书有效天数

生成服务器端证书

  1. 生成证书私钥

    openssl genrsa -out server-privatekey.pem

  2. 使用私钥生成服务器端证书的请求文件

    openssl req -key server-privatekey.pem -new -out server.csr -subj /C=cn/ST=guangdong/L=guangzhou/O=testcompany/OU=testdepartment/CN=test.com

    这里我直接沿用了CA证书时候的参数,不然开启SSL双向认证的时候无法正常请求

  3. 生成服务器端证书

    openssl x509 -req -in server.csr -out server.crt -signkey server-privatekey.pem -CA ca.crt -CAkey privatekey.pem -CAcreateserial -days 365

    大部分参数在生成CA证书的时候都有使用,这里说明一下两个之前未使用到的参数

    • -CA 使用的CA证书

    • -CAkey 使用的CA证书私钥

如果不使用SSL双向认证的话,到这里就可以了,服务端开启ssl有服务端证书server.crt和服务端证书server-privatekey.pem就够了,nginx配置如下

server {
        #SSL 默认访问端口号为 443
        listen 9090 ssl;
        #请填写绑定证书的域名
        #server_name cloud.tencent.com;
        #请填写证书文件的相对路径或绝对路径
        ssl_certificate cert/server.crt;
        #请填写私钥文件的相对路径或绝对路径
        ssl_certificate_key cert/server-privatekey.pem;
        # ssl_client_certificate cert/client.crt;
        # ssl_verify_client on;
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        # ...
        # ...
}

生成客户端证书

生成客户端证书的过程基本上和生产服务端证书一致

  1. 生成客户端证书私钥

    openssl genrsa -out client-privatekey.pem

  2. 使用证书私钥生成客户端证书请求文件

    openssl req -key client-privatekey.pem -new -out client.csr -subj /C=cn/ST=guangdong/L=guangzhou/O=testcompany/OU=testdepartment/CN=test.com

    沿用了CA证书时候的参数

  3. 生成客户端证书

    openssl x509 -req -in client.csr -out client.crt -signkey client-privatekey.pem -CA ca.crt -CAkey privatekey.pem -CAcreateserial -days 365

  4. 生成p12格式的证书

    openssl pkcs12 -export -clcerts -in client.crt -inkey client-privatekey.pem -out client.p12

    pkcs12命令用于生成或者转换p12文件

    • -export 生成pkcs#12文件

    • -clcerts 只输出客户端证书

    • -in 输入文件

    • -inkey 私钥

    • -out 输出

nginx配置

server {
        #SSL 默认访问端口号为 443
        listen 443 ssl;
        #请填写绑定证书的域名
        #server_name cloud.tencent.com;
        #请填写证书文件的相对路径或绝对路径
        ssl_certificate cert/server.crt;
        #请填写私钥文件的相对路径或绝对路径
        ssl_certificate_key cert/server-privatekey.pem;
        #客户端证书
        ssl_client_certificate cert/client.crt;
        #校验客户端证书
        ssl_verify_client on;
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        # ...
        # ...
    }

这里开启了校验客户端证书,校验的话可以注释掉ssl_verify_client on;

到这里想要访问服务的话就必须要在客户端导入clien.p12证书,否则客户端请求的时候就会报错

fb_fatboy
关注
自签SSL证书配置Nginx代理Vue+SpringBoot前后端分离服务
Heartsuit的博客
10-29 2505
最近的一个小项目,部署在专网中,可是最近等保测评要求整改为HTTPS加密传输。像我们以前的部署在互联网上的项目都购买了域名,并在云服务商那里申请免费的。证书,这样在浏览器中会提示证书不安全,用户需要多操作一步添加例外才可以正常访问系统。好在可以满足等保的要求,可行那就开干。可是现在在专网中,而且没有域名,甚至没有。移除文件口令,输出到新的server.key(这时,需要输入第一步设置的密码)模块后,将前面生产的秘钥及证书放到一个目录中,我这里是。代理静态资源,以验证证书的有效性。的完整配置,最终实现。
nginx自签名证书以及http跳https
s7827462的博客
09-11 281
自签名 自签名 编译安装需的话需要加--with-http_ssl_module模块 自签名CA证书 openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 365 -out ca.crt Country Name (2 letter code) [AU]:CN #国家代码 State or Province Name (full name) [Some-State]:GuangDong #省份 Lo
Nginx配置SSL自签名证书的方法
09-30
主要介绍了Nginx配置SSL自签名证书的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Nginx生成一个自签名SSL证书脚本
11-18
Nginx生成一个自签名SSL证书脚本
Nginx或Tengine服务配置SSL证书
最新发布
@LPX
03-05 944
本文全面介绍如何在Nginx或Tengine服务配置SSL证书,具体包括下载和上传证书文件,在Nginx配置证书文件、证书链和证书密钥等参数,以及安装证书后结果的验证。成功配置SSL证书后,您将能够通过HTTPS加密通道安全访问Nginx服务器。本文以CentOS 8.0 64位操作系统、Nginx 1.14.2为例介绍。不同版本的操作系统或Web服务器,部署操作会有所差异。
Nginx配置一个自签名SSL证书
MySpace
12-23 868
转载:http://www.liaoxuefeng.com/article/0014189023237367e8d42829de24b6eaf893ca47df4fb5e000 要保证Web浏览器到服务器的安全连接,HTTPS几乎是唯一选择。HTTPS其实就是HTTP over SSL,也就是让HTTP连接建立在SSL安全连接之上。 SSL使用证书来创建安全连接。有两种验证模式:
Nginx配置Https自定义签名证书
weixin_51788950的博客
02-13 1275
Nginx配置Https自定义签名证书
nginx(二):使用自签名证书Nginx上启用HTTPS
欧阳方超的专栏
09-13 1925
通过以上步骤,可以成功在Nginx配置HTTPS并使用自签名证书。虽然自签名证书在生产环境中不推荐使用,但它们非常适合开发和测试环境。
nginx生成自签名证书
weixin_33806300的博客
05-18 193
https://blog.youkuaiyun.com/qq_26819733/article/details/53431662 https://www.liaoxuefeng.com/article/0014189023237367e8d42829de24b6eaf893ca47df4fb5e000 https://blog.youkuaiyun.com/thc1987/article/details/527122...
nginx生成自签名SSL证书配置HTTPS
qq11771258的博客
07-15 1695
在浏览器访问https//xxx.xxx.xxx.xxx:443。
Windows10上Nginx如何通过自签名证书方式发布Https服务(上)
huaqianzkh的专栏
08-30 1911
安卓APP应用正在尝试通过不安全的HTTP协议进行网络通信,而你的应用运行的环境(比如Android 9 Pie或更高版本)默认只允许使用安全的HTTPS协议。于是便想到修改服务配置配置服务器支持HTTPS并确保正确安装了SSL证书。在Windows 10上为Nginx设置自签名证书以启用HTTPS
自签名免费(SSL)私有证书
haodayizhizhuzhu的博客
02-16 6162
内容导航1,生成加密自签名SSL证书1,使用openssl工具生成一个RSA私钥2,删除密码,重命名文件,导出key内容3,生成CSR(证书签名请求)4,生成自签名crt证书1,下载证书到本地2,win + r 打开mmc进入控制台1EDN:内容参考1,背景描述:2,解决方法:EDN:内容参考。
自签名证书ssl
little_fairy66的博客
11-28 1978
然后我放弃了,用上边的办法重新搞了下openssl,记录好目录,重新编译(要用与原版本一摸一样的openssl,不一样会出问题,别问为什么)重新启动nginx时候报 ssl parameter requires ngx_http_ssl_module,网上搜了一下,解决办法是需要重新编nginx,有两个办法,一个是找合适的rpm包直接安装上,但是我的环境rpm长这样。编译openssl 命令: ./config --prefix=/usr/local/openssl-1.1.1d,出现下图就成功了。
自签名SSL证书
shao5166233的博客
07-11 494
自签名SSL证书
自签名 SSL 证书
IT老男孩
08-28 1816
HTTP over SSL要保证 Web 浏览器到服务器的安全连接,HTTPS 几乎是唯一选择。HTTPS 其实就是 HTTP over SSL,也就是让 HTTP 连接建立在 SSL 安全连接之上。SSL 使用证书来创建安全连接,有两种验证模式:仅客户端验证服务器的证书,客户端自己不提供证书;客户端和服务器都互相验证对方的证书。一般第二种方式用于网上银行等安全性要求较高的网站,普通的 Web 网...
SSL自签名证书
无情编码工具人的博客
11-23 188
【代码】SSL自签名证书
jdk自制ssl证书nginx配置https
06-20
Nginx 配置中,你可以使用 `ssl_certificate` 和 `ssl_certificate_key` 参数来指定你的自签证书路径。 ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/keystore....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值