Nginx配置https双向认证

最新推荐文章于 2025-03-30 23:53:32 发布
最新推荐文章于 2025-03-30 23:53:32 发布
阅读量4.5k 收藏 23
点赞数 7
分类专栏: 服务器 文章标签: nginx https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mxdzchallpp/article/details/108345401
版权
本文详细介绍HTTPS双向认证的实现过程,包括生成自签名根证书、客户端证书,以及Nginx配置和验证步骤,解决常见错误,适合初学者快速上手。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

https双向认证原理:

 

网上查询很多文章,按照他们的步骤下来到最后都是失败的,然后摸索了3天终于搞定,记录下来,希望帮助到其他小伙伴。

一.生成自签名根证书

创建根证书私钥:

openssl genrsa -out root.key 1024

创建根证书请求文件:

openssl req -new -out root.csr -key root.key

############注意##############
根证书的Common Name填写root就可以,根证书的这个字段和客户端证书、服务器端证书不能一样
其他字段必须与根证书一致,为了不容易出错,其他所有字段输入.
输入密码也输入.

创建根证书:

openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650

这里我们就得到效期为10年的根证书root.crt,我们现在已经有3个文件:

 

二.生成自签名客户端证书

生成客户端证书秘钥:

openssl genrsa -out client.key 1024

生成客户端证书请求文件:

openssl req -new -out client.csr -key client.key

#############注意##############
客户端证书Common Name必须填写访问的域名,该域名与nginx配置的域名一致,可以设置*.xx.com匹配所有二级域名
其他字段必须与根证书字段信息一致,所以其他字段全部输入.
密码输入.

生客户端证书:

openssl x509 -req -in client.csr -out client.crt -signkey client.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

客户端证书生成完毕,我们的文件有:

校验客户端证书与根证书是否创建正确:

openssl verify -CAfile root.crt client.crt

生客户端p12格式证书:

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

# 密码输入.

 

三.Nginx配置

ssl_certificate     /opt/ssl_test/root.crt;
ssl_certificate_key /opt/ssl_test/root.key;
ssl_client_certificate /opt/ssl_test/root.crt;
ssl_verify_client on;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;

 

四.验证

这个时候访问会显示400错误:

下载client.p12到本地的计算机,打开浏览器-》设置-》安全与隐私-》证书管理:

密码输入.

然后点击下一步

导入证书成功,需要重启浏览器,再次访问成功

 

五.curl带证书访问

curl带证书访问:

curl --cert ./client.crt --key ./client.key https://xxx.xxx.com -k

# -k 表示不校验证书合法性,因为证书是自签的

 

nginx配置https证书双向认证
itafeng
07-29 1872
目标 使用openssl生成证书并配置nginx. 步骤 1. 生成服务端证书和客户端证书 2. 配置nginx并重启 3. 本地浏览器导入客户端证书 4. 测试验证 证书制作详细过程 # 1 创建目录 mkdir -p keys/private && mkdir -p keys/certs cd keys # 2 生成根证书: #生成根证书私钥 openssl genrsa...
Java nginx https 双向认证
能写下来,理解才会更深
10-20 9438
最近要做个https 双向认证的,就做了个demo,踩了不少坑,记录一下. 主要还是对原理理解不够透彻,刚开始直接从网上搬个例子就用,结果大部分都不适用.
nginx https配置
最新发布
LYX3693的博客
03-30 1486
指令启用从 NGINX Plus 到上游服务器的保持活动连接,定义在每个工作进程的缓存中保留的与上游服务器的空闲保持活动连接的最大数量。当超过此数字时,将关闭最近最少使用的连接。如果没有 keepalives,您将增加更多的开销,并且连接和临时端口都效率低下。默认缓存超时为 5 分钟。如果连接池里的连接空闲时间超过这个值,则连接关闭。在最简单的 HTTP 实现中,客户端打开新连接,写入请求,读取响应,然后关闭连接以释放关联的资源。在客户端读取响应后,保持连接处于打开状态,因此可以将其重新用于后续请求。
nginx 配置 https双向认证
CheerTan is here
10-11 2239
注意事项 配置双向认证,这里的common name需要都配置成不同 nginx 配置 https双向认证 1.准备工作 linux环境安装openssl 2.生成证书步骤 1.新建一个文件夹 mkdir /root/keys 2.生成CA私钥 ca.key openssl genrsa -out ca.key 4096 3.生成ca的数字证书 ca.crt openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Co
NGINX配置https双向认证(自签一级证书)
javajingling的专栏
12-02 1218
nginx配置双向ssl认证,自签证书生成,客户端证书导入windows系统。
Nginx双向认证
weixin_44480960的博客
01-25 7082
Nginx双向认证 一、前言 参考链接 OPENSSL加密DSA,RSA介绍 客户端默认是相信权威CA机构的,操作系统内置了CA证书。 说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。 centos操作系统中被信任的证书一般在此文件中 cat /etc/pki/tls/certs/ca-bundle.crt 我们可以查看一下访问百度的一个通信过程 curl -v https://www.b
详解Nginx SSL快速双向认证配置(脚本)
09-30
**Nginx SSL双向认证配置详解** 在网络安全日益重要的今天,服务器与客户端之间的通信安全成为了一个不可忽视的问题。本文将详细介绍如何在Nginx服务器上配置SSL双向认证,以提高服务器的安全性,允许只有经过验证...
nginx https双向认证
mengting2040的博客
11-21 244
nginx https双向认证
NGINXHTTPS双向认证
NewObjectNotFound的博客
12-29 420
前言 大部分HTTPS的站点都只是单向认证,即只有客户端校验服务端。那么一种更安全的做法则是双向认证,即客户端服务端互相验证。 网上介绍https双向认证原理的帖子很多,就不做赘述! 重要 是否需要双向认证是服务端决定的 双向认证的客户端证书和服务端ssl证书没有关系 自签CA 首先ssl证书是受CA信任的三方机构颁发,并预装到主流浏览器中的,网站拥有合法的ssl证书可以规避浏览器的不安全警告,数据传输更安全。 但这里我们只探讨器原理,所以不去纠结ssl证书是否合法 创建根证书私钥: o
Nginx Https 双向认证
猴子哥哥的博客
02-04 870
1 基础知识 1.1 单向认证 SSL 步骤 1、客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息 2、服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书 3、客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和
nginx实现双向认证
qq_41937509的博客
09-20 5109
如果手里面只有通过正规途径申请下来的证书(而不是上面自签证做法), 得到的证书如下面所示, 这里只有服务端证书而没有服务端和根证书, 所以仍需要我们以自签证的方式生成根证书以及客户端证书。配置的主要内容是配置了服务器端证书的公钥私钥以及根证书的公钥, 并且ssl_verify_client 参数设置为 on。如果客户端证书不是由根证书直接颁发的,配置中还需要加一个配置:ssl_verify_depth 1;server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成。
自建CA实战之 《0x02 Nginx 配置 https双向认证
一条老萌新
11-26 1034
上一章节我们已经实现了Nginx配置https单向认证,主要场景为客户端验证服务端的身份,但是服务端不验证客户端的身份。本章节我们将实现Nginx配置https双向认证,主要场景为客户端验证服务端的身份,同时服务端也验证客户端的身份,简称双向认证双向认证的使用场景很多,比如我们在使用网银的U盾登录的时候,就是使用的双向认证,客户端验证服务端的身份,同时服务端也验证客户端的身份。
nginx配置双向认证
weixin_33841722的博客
01-22 284
实现的功能:外网访问nginx有证书才能打开页面,无证书打不开页面一、在192.168.13.45安装nginxapt-get install nginx二、配置生成ca的参数mkdir-pv/etc/nginx/ca cd/etc/nginx/ca mkdir-pvmkdirnewcertsprivateconfserver cdconf vimop...
nginx 代理服务器配置双向证书验证
weixin_33774615的博客
01-31 390
生成证书链 用脚本生成一个根证书, 一个中间证书(intermediate), 三个客户端证书. 脚本来源于(有修改)https://stackoverflow.com/que... 中间证书的域名为 localhost. #!/bin/bash -x set -e for C in `echo root-ca intermediat...
nginx双向认证
qq_37657914的博客
07-06 1466
nginx双向认证配置,多级CA配置
带你使用Nginx实现HTTPS双向验证
weixin_33852020的博客
05-25 664
https单向验证应用广泛想必大家都很熟悉,我已经在一篇博文中分享过,这次来看看Nginx如何实现双向验证。单向验证与双向验证的区别:单向验证: 指客户端验证服务器端证书,服务器并不需要验证客户端证书。双向验证:指客户端验证服务器端证书,而服务器也需要通过CA的公钥证书来验证客户端证书。详细的握手过程:单向验证浏览器发送一个连接请求给安全服务器。1、服务器将自己的证书,以及同证书相关的信息发送给客...
Nginx开启TLS双向认证流程及配置
ChinaCpp666的博客
05-28 3527
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
https双向认证,SSL加密方式
菜小菜吃菜的博客
11-07 602
模拟搭建https单、双向认证
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值