NGINX HTTPS设置单向/双向

最新推荐文章于 2022-03-25 11:53:22 发布
最新推荐文章于 2022-03-25 11:53:22 发布
阅读量426 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 运维 python
原文链接:https://my.oschina.net/hulingfeng/blog/677145
本文深入解析了服务器单向验证、生成RSA密钥、创建CA证书、生成服务器端与客户端证书的过程,并详细说明了如何完成双向认证。通过实际操作步骤和命令,帮助开发者快速理解并实现SSL/TLS证书的部署。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

服务器单向验证

生成RSA密钥:

   openssl genrsa -out key.pem 2048

生成一个证书请求

   openssl req -new -key key.pem -out cert.csr

会提示输入省份、城市、域名信息等,重要的是,email 一定要是你的域名后缀的你可以拿着这个文件去数字证书颁发机构(即CA)申请一个数字证书。CA会给你一个新的文件cacert.pem,那才是你的数字证书。

如果是自己做测试,就可以用下面这个命令来生成证书:

openssl req -new -x509 -nodes -out server.crt -keyout server.key

#双向认证

=============创建CA证书==============

Create the CA Key and Certificate for signing Client Certs

openssl genrsa -des3 -out ca.tmp.key 4096

去掉密码

openssl rsa -in ca.tmp.key -out ca.key
openssl req -new -x509 -days 365 -key ca.key -out ca.crt

转换根证书格式为 DER

openssl x509 -in ca.crt -out ca.der -outform DER

=================创建服务器端证书===================

创建服务器端证书及证书请求文件

openssl genrsa -des3 -out server.tmp.key 1024

去掉服务器端证书的密码,避免在nginx中使用server.key文件输入密码

openssl rsa -in server.tmp.key -out server.key

这一步需要几项目内容,关键点Common Name不能与CA证书的Common Name相同,否则在进行 openssl verify的时候会出现error 18 at 0 depth lookup:self signed certificate

openssl req -new -key server.key -out server.csr

自签名自己的服务器证书,建议仅在测试环境使用.

openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

================创建客户端证书====================

生成客户端证书的key以及客户端的证书请求文件

openssl genrsa -des3 -out client.key 1024

这步会提示输入几详细内容,重要的内容是Common Name必须与服务器端证书的Common Name一致

openssl req -new -key client.key -out client.csr

使用ca证书签名客户端证书

openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt

导出客户端证书为p12格式

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

导出客户端证书为pfx格式

openssl pkcs12 -export -in client.crt -inkey client.key -out  client.pfx

##==================验证证书=====================

验证客户端证书

openssl verify -purpose sslserver -CAfile ca.crt client.crt

验证服务器端证书

openssl verify -purpose sslserver -CAfile ca.crt server.crt

安装nginx服务器

./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module
make 
make install

nginx ssl双向配置,单项配置注释ssl_client_certificate行和ssl_verify_client行即可

server {
	listen       443 ssl;
	server_name  localhost,fd.chinasws.com;

	#ssl_certificate      cert.pem;
	#ssl_certificate_key  cert.key;

	# start
	ssl_certificate      ssl/ca2/server.crt;
	ssl_certificate_key  ssl/ca2/server.key;
	ssl_client_certificate ssl/ca2/ca.crt;
	ssl_verify_client on;
	# end


#ssl_session_cache    shared:SSL:1m;
	ssl_session_timeout  5m;

	ssl_ciphers  HIGH:!aNULL:!MD5;
	ssl_prefer_server_ciphers  on;

	location / {
	    root   html;
	    index  index.html index.htm;
#allow 10.0.26.41;
#	    deny all;
	}

转载于:https://my.oschina.net/hulingfeng/blog/677145

本地电脑基于nginxhttps单向认证和双向认证(自制证书+nginx配置)保姆级
cshongye的专栏
09-22 3149
基于nginxhttps单向认证和双向认证(自制证书+nginx配置)保姆级
nginx https双向认证
mengting2040的博客
11-21 292
nginx https双向认证
nginx配置Https单向认证和双向认证
ONS_cukuyo的博客
01-26 4086
  1、配置nginx单向认证 配置文件为nginx解压目录下的conf/nginx.conf文件 其中关于https配置的配置信息是有的,只是被注释掉了,所以我们简单修改就可以用了   Https监听端口为:443(http默认端口为80,https默认端口为443) 服务器名称为:test.XXXXXX.com,这一点需要和证书里声明的一致 公钥:../../XXHttps配置/...
Nginx配置单项SSL以及双向SSL
weixin_30393907的博客
09-24 440
Https安全协议的由来? 在实现 HTTPS协议前,我们需要了解 SSL 协议,但其实我们现在使用的更多的是 TLS 加密通讯协议。 那么TLS是怎么保证明文消息被加密的呢?在OSI七层模型中,应用层是http协议,那么在应用层协议之下,我们的表示层,也就是 SSL 协议所发挥作用的一层,它通过(握手、交换秘钥、告警、加密)等方式,使应用层 HTTP 协议没有感知的情况下做到了数据的安...
nginx https 配置
urbanvice的专栏
01-13 892
1.证书生成 sudo mkdir /etc/nginx/ssl sudo openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt 执行上面的脚本后,创建了有效期100年,加密强度为RSA2048的SSL密钥key和X
带你使用Nginx实现HTTPS双向验证
weixin_33852020的博客
05-25 674
https单向验证应用广泛想必大家都很熟悉,我已经在一篇博文中分享过,这次来看看Nginx如何实现双向验证。单向验证与双向验证的区别:单向验证: 指客户端验证服务器端证书,服务器并不需要验证客户端证书。双向验证:指客户端验证服务器端证书,而服务器也需要通过CA的公钥证书来验证客户端证书。详细的握手过程:单向验证浏览器发送一个连接请求给安全服务器。1、服务器将自己的证书,以及同证书相关的信息发送给客...
nginx 配置 https双向认证
CheerTan is here
10-11 2270
注意事项 配置双向认证,这里的common name需要都配置成不同 nginx 配置 https双向认证 1.准备工作 linux环境安装openssl 2.生成证书步骤 1.新建一个文件夹 mkdir /root/keys 2.生成CA私钥 ca.key openssl genrsa -out ca.key 4096 3.生成ca的数字证书 ca.crt openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Co
Nginx Https 双向认证
猴子哥哥的博客
02-04 894
1 基础知识 1.1 单向认证 SSL 步骤 1、客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息 2、服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书 3、客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和
使用Nginx实现HTTPS双向验证的方法
09-30
在HTTP的安全通信中,涉及了单向双向两种不同的身份验证方式,本文将主要讨论如何使用Nginx实现HTTPS双向验证,以及单向双向验证的区别和相关知识。 单向验证指的是客户端验证服务器端证书的有效性,确保通信...
Nginx-配置HTTPS证书(单向认证)
孟孟的博客
01-28 5681
1. 生成一个 CA 私钥: ca.key mkdir /home/nginx/ssl cd /home/nginx/ssl openssl genrsa -out ca.key 4096
nginx 反向代理到另一个nginx并在另一个ngixn上面做转发
zouyang920的博客
03-25 1万+
一、背景 近期部署项目时遇到一个问题,由阿里云解析到一个公网iP,由该公网ip的nginx进行转发。但转发时,该项目为前后端分离,需要解析到远程服务器的xxx目录,这通过一个nginx转发不好解决。通过第一个nginx转发到远程服务器的nginx端口,由远程服务器的nginx进行本地转发即可。 二、步骤 1.比如远程服务器内网ip为192.168.10.11,ip公网ip服务器的nginx转发到192.168.10.11:的80端口(nginx端口)。 upstream config_upstream{
nginx 配置https双向认证
qq_19641001的博客
05-22 506
参考博客 https://blog.youkuaiyun.com/zkt286468541/article/details/80864184 # 制作CA私钥 openssl genrsa -out ca.key 2048 # 制作CA公钥/根证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # 服务器端证书 # 制作服务器私钥 openssl genrsa -out server.pem 1024 openssl rsa -in serve.
nginx代理Https单向认证和双向认证
ONS_cukuyo的博客
01-26 4501
  1、了解nginx请求转发 感谢:http://blog.youkuaiyun.com/tobacco5648/article/details/51099426 作者:liuwons 例如有 webmail , webcom 以及 webdefault 三个服务器分别运行在portmail , portcom , portdefault 端口,要实现从80端口同时访问这三个web服务器,则可以在8...
Nginx单向认证和双向认证安装配置
liucy007的博客
01-31 1940
1.Nginx单向认证的安装配置 参考 https://www.cnblogs.com/zhoulf/p/4040015.html?tdsourcetag=s_pcqq_aiomsg 补充 Nginx.config配置文件 upstream server_pool { server 10.110.26.78:8080; } server { listen 4...
Nginx配置https双向认证
happyzhang的Blog
11-20 1万+
1.      前期的准备工作: 安装openssl和nginxhttps模块 cd  ~/ mkdir ssl cd ssl mkdir demoCA cd demoCA mkdir newcerts mkdir private touch index.txt echo '01' > serial 2.      制作CA证书(这个是信任的起点,根证书,所有其他的证书都要
NGINX 配置 SSL 双向认证
AlphaTao的博客
06-30 9579
以前总觉得配置nginx这种问题看看网上教程就行了 自己配置的时候才发现有些问题真的不是看一篇两篇教程就能搞定的 所以自己写一个备忘的配置流程 说不定什么时候就用上了
Nginx下配置Https证书详细过程
热门推荐
smartdt的博客
04-21 7万+
一、Http与Https的区别 HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。 HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。HTTPS协议的...
两层nginx转发配置
划水的银开的博客
12-06 7129
1. 背景 我们开发和测试环境做了网络隔离,现在有个测试环境业务要访问开发环境的另一个业务。由于走申请打通流程比较麻烦,在了解到开发环境ng和测试环境的ng之间是打通了网络的。所以决定从做两层ng转发到开发环境真正的业务。即: A业务(10.201.5.171:test环境)–>ng(10.201.5.20: test环境) -->ng(172.22.23.146:dev环境) --&...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值