编译配置nginx支持国密(二)

最新推荐文章于 2024-10-30 17:58:51 发布
最新推荐文章于 2024-10-30 17:58:51 发布
阅读量3.7k 收藏 8
点赞数 1
分类专栏: # GMSSL 文章标签: nginx linux centos https openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_15077747/article/details/108220046
版权

从官网下载nginx源码 http://nginx.org/en/download.html,我下载的是1.18版本

  1. 下载解压到root目录下

  2. 进入目录 cd /root/nginx-1.18.0

  3. 编辑auto/lib/openssl/conf,将全部 $OPENSSL/.openssl/修改为$OPENSSL/并保存

  4. 编译配置

    ./configure \
--without-http_gzip_module \
--with-http_ssl_module \
--with-http_stub_status_module \
--with-http_v2_module \
--with-file-aio \
--with-openssl="/usr/local/gmssl" \
--with-cc-opt="-I/usr/local/gmssl/include" \
--with-ld-opt="-lm"

  5. 编译安装
    make install

  6. /usr/local/nginx即为生成的nginx目录

注:可能需要使用yum install pcre-devel需要安装pcre-devel

  1. 单向https配置

    server
{
  listen 0.0.0.0:443 ssl;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-SM3:ECDHE-SM4-SM3:SM2-WITH-SMS4-SM3:ECDHE-SM2-WITH-SMS4-GCM-SM3;
  ssl_verify_client off;

  ssl_certificate /usr/local/nginx/conf/demo1.sm2.sig.crt.pem;
  ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.sig.key.pem;

  ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.enc.key.pem;
  ssl_certificate /usr/local/nginx/conf/demo1.sm2.enc.crt.pem;

  location /
  {
    root html;
    index index.html index.htm;
  }
}

    注意:

    SM2-WITH-SMS4-SM3: 这一个cipher是360浏览器访问时用到的

    ECDHE-SM2-WITH-SMS4-GCM-SM3: 这个cipher是在使用gmssl s_client 命令时用到的

    其他的有些是RSA用到的,可以不配置,这个随意。

    配置完以上的后,重启nginx

    • 使用 gmssl s_client -tls1_2 -connect localhost:443 -cipher SM2 -CAfile demo1.sm2.trust.pem 可以正常链接。
      - 注意:如果你在nginx上部署了应用,使用s_client连接后是没有直接访问到应用的,下一步发送数据 “GET /” ,才能访问到,比如登录页面。
    • 使用360安全浏览器访问 https://ip 也能正常打开欢迎页面。(ip是你部署nginx的电脑,360安全浏览器是在windows系统中使用的)

  2. 双向https配置

    server
{
  listen 0.0.0.0:443 ssl;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-SM3:ECDHE-SM4-SM3:SM2-WITH-SMS4-SM3:ECDHE-SM2-WITH-SMS4-GCM-SM3;
  ssl_client_certificate /usr/local/nginx/conf/demo1.sm2.trust;
  ssl_verify_client on;

  ssl_certificate /usr/local/nginx/conf/demo1.sm2.sig.crt.pem;
  ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.sig.key.pem;

  ssl_certificate /usr/local/nginx/conf/demo1.sm2.enc.crt.pem;
  ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.enc.key.pem;

  location /
  {
    root html;
    index index.html index.htm;
  }
}

    双向的测试也可以使用 gmssl s_client的命令。

    使用360测试双向的暂时还没找到方法,暂且放置。

  3. 单向 RSA/国密自适应

server
{
  listen 0.0.0.0:443 ssl;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-SM3:ECDHE-SM4-SM3:SM2-WITH-SMS4-SM3:ECDHE-SM2-WITH-SMS4-GCM-SM3;
  ssl_verify_client off;

  ssl_certificate /usr/local/nginx/conf/demo1.rsa.crt.pem;
  ssl_certificate_key /usr/local/nginx/conf/demo1.rsa.key.pem;

  ssl_certificate /usr/local/nginx/conf/demo1.sm2.sig.crt.pem;
  ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.sig.key.pem;

  ssl_certificate /usr/local/nginx/conf/demo1.sm2.enc.crt.pem;
  ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.enc.key.pem;

  location /
  {
    root html;
    index index.html index.htm;
  }
}

以上配置完后,使用IE浏览器和360安全浏览器访问 https://ip 都是可以打开欢迎页面的。

使用 Nginx 配置 SM2 加密证书
一位努力搬砖程序员。在这里,我会分享关于编程技巧、项目实战经验以及对新技术的见解。希望通过我的文章能够帮助你在技术路上更进一步。期待与你共同学习和成长!
08-13 1361
在传统的 Web 服务中,我们通常使用 RSA 或者 ECC(Elliptic Curve Cryptography)算法来完成加密通信。然而,在国内,由于政策原因,使用国际标准的加密算法会受到一些限制。为了满足这一需求,SM2 算法作为一个国产加密算法得到了广泛应用。Nginx 是一个高性能的开源 Web 服务器,在配置 SSL 证书时也支持 SM2 算法。本文将详细介绍如何在 Nginx配置 SM2 加密证书。
nginx+lua实现网关api加密解密示例
最新发布
qq_42942935的博客
03-05 681
在实际项目中需要将api加密解密,如果想不侵入业务代码,可以将加密解密功能集成到基于Nginx的网关中。
Nginx Windows 支持国密https
Wise-Man的博客
09-23 1974
Evernote Export 依据老狼的博客编译nginx windows版本然后下载gmssl 替换openssl的过程。修改nginx中的源文件1,在ngx_event_opens sl.h中添加 #define NGX_SSL_GMTLSv1_1 0x0080 如下图:2,在ngx_stream_ssl_preread_module.c中增加542 case 5:543 ngx_str_set(&version, "...
nginx国密ssl测试
zhangxm_qz的博客
11-23 2010
root/apps/nginx-1.24.0/auto/lib/openssl/conf 文件内容中。修改nginx配置文件,如下,证书先配置 签名证书和私钥,再配置加密证书和私钥。如果编译过程中出现错误,根据错误信息baidu进行解决。执行make&& make install 进行安装,结果如下。下载文件并上传到服务器,这里使用centos 7.8。如下四个上传到 服务器并在nginx中进行配置。提交后下载的证书文件压缩包内容如下,下载解压nginx程序包,目录如下。
国密SSL的nginx服务器
m0_46089563的博客
03-09 3958
文章推荐看这篇博文:https://blog.youkuaiyun.com/gmssl/article/details/108080409 顺便了解了一下国密实验室https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown 中途报错挺多的,错了自己百度,最后安装完成
国密Nginx服务器安装
啊渊的专栏
11-01 5113
一、简介 GMSSL提供一个国密OpenSSL国密Nginx支持单向/双向认证,支持标准SSL/国密SSL自适应。 其中国密OpenSSL基于OpenSSL1.1.1d实现,且已经修正了CVE-2020-1967。 证书申请 https://gmssl.cn/gmssl/index.jsp 、运行环境 Centos7 x86_64 三、下载 yum install wget -y 国密OpenSSL国密Nginxgmssl_openssl_1.1_bxx.tar.gz...
nginx 同一端口同时支持国密和标密功能
Big_Bristlegass的博客
08-01 1566
nginx支持同一端口,支持国密和标密
搭建支持国密GmSSL的Nginx环境
m0_46665077的博客
10-30 2936
搭建基于国密Nginx的应用服务,国密GmSSL、国密Nginx
Nginx国密
前端摸鱼第一名
08-29 2775
【代码】Nginx国密化保姆教程
信创-nginx-国密ssl改造
twobun的博客
02-19 1996
信创 nginx 国密改造
由于java本身的API不支持国密证书,通过nginx监听本地解决
weixin_38644266的博客
04-16 499
背景原因与解决方式 由于JAVA 的 API 不支持 国密证书,所以直接在JAVA代码中调用HTTPS请求,指挥中心无法收到请求。所以可以通过反向代理监听本地端口,通过脚本携带国密证书,把request 打到指挥中心。 shell脚本配置 nginx配置脚本 (```) server { listen 你的端口号; server_name localhost; // #charset koi8-r; access_log /opt/pylon/nginx/logs/localhost.20
nginx 代理服务器配置双向证书验证
weixin_33774615的博客
01-31 389
生成证书链 用脚本生成一个根证书, 一个中间证书(intermediate), 三个客户端证书. 脚本来源于(有修改)https://stackoverflow.com/que... 中间证书的域名为 localhost. #!/bin/bash -x set -e for C in `echo root-ca intermediat...
Nginx国密改造
qq_49081692的博客
05-31 4094
国密web服务器,国密nginxnginx国密国密改造
Nginx国密服务器搭建
w277608109的专栏
06-27 2048
下载nginx源码(无需修改nginx代码),将下载的nginx安装包和附件内容放置在同一个目录下。 编译gmssl静态库的Linux版本 root@localhost:~# cat /etc/issue Ubuntu 16.04.1 LTS \n \l root@localhost:~# uname -a Linux localhost 4.4.0-31-generic #50-Ubuntu SMP Wed Jul 13 00:07:12 UTC 2016 x86_64 x86_64 x86_64
基于GmSSL搭建Nginx国密反代服务器
hlovefp的专栏
03-29 7286
Nginx+GmSSL搭建国密反代服务器
基于GmSSL搭建Nginx国密反向代理服务器
weixin_45548465的博客
05-22 6167
环境:centos7 1810 安装编译依赖包 yum install -y vim lrzsz tree screen psmisc lsof tcpdump wget ntpdate gcc gcc-c++ glibc glibc-devel pcre pcre-devel openssl openssl-devel systemd-devel net-tools iotop bc zip unzip zlib-devel bash-completion nfs-utils automake libxm
nginx服务
Ggggggggggu的博客
07-20 443
Linux平台上,在进行高并发TCP连接处理时,最高的并发数量都要受到系统对用户单一进程同时可打开文件数量的限制(这是因为系统为每个TCP连接都要创建一个socket句柄,每个socket句柄同时也是一个文件句柄)。#epoll是Linux内核为处理大批句柄而作改进的poll,是Linux下多路复用IO接口select/poll的增强版本,它能显著的减少程序在大量并发连接中只有少量活跃的情况下的系统CPU利用率。#使用epoll模型,2.6及以上版本的系统内核,建议使用epoll模型以提高性能。...
国密 SM2 SSL 证书 Nginx 安装指南 linux
wwwwestcn的博客
10-25 2102
1) 下载 wget http://download.myhostadmin.net/gmssl/gmssl_openssl_1.1_b8.tar.gz到/root/下。3) 下载wget http://download.myhostadmin.net/gmssl/nginx-1.18.0.zip 到/root/下。*.***.com_encryptKeyData.txt:内容为已加密的加密证书私钥片段。*.***.com_encrypt.crt:加密证书。
国密】利用gmssl生成SM2证书nginx访问
nmjuzi的博客
09-10 8325
一、GMSSL安装 # 下载 wget https://github.com/guanzhi/GmSSL/archive/master.zip # 解压 unzip master.zip # 进入目录 cd GmSSL-master # 配置config指定目录 ./config --prefix=/usr/local/gmssl make make install # 查看版本,验证是否安装成功 cd /usr/local/gmssl/ bin/gmssl version # 报错了,这是由于openss
CentOS 7.6部署Nginx 1.1.18国密SSL加密证书教程
3. 使用./configure命令编译Nginx,添加必要的模块如SSL、HTTP Stub Status、HTTP/2、文件AIO等,同时指定OpenSSL的安装位置和编译选项。 4. 执行make install命令进行编译和安装,安装完成后,Nginx将在/usr/local/...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值