Nginx配置引起的SSL证书认证失败

最新推荐文章于 2025-06-18 13:35:55 发布
最新推荐文章于 2025-06-18 13:35:55 发布
阅读量4w 收藏 16
点赞数 6
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhangliminqd/article/details/51031146
本文详细介绍了在Nginx部署中遇到的SSL证书认证失败问题,问题源于Java客户端不支持SNI协议,导致Nginx无法正确获取客户端证书。通过Wireshark协议分析和对SSL握手过程的研究,最终发现需要配置default server来解决这个问题,同时提醒在产品上线前应充分测试,避免类似兼容性问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 背景

目前公司对外开放了一个云服务平台,提供一些功能供商户接入使用。整个项目的架构是基于Spring + MyBatis的。另外,商户端的服务接口是基于SOAP WebService的,这部分使用CXF实现。
安全方面采用了Spring Security,可以对商户提供证书认证或密码认证。但是出于安全考虑,目前只开放了证书认证。为了使用证书认证商户,我们创建了一个自签名的CA,用来生成商户使用的客户端证书。在验证上,使用Nginx验证客户端证书是否是指定CA产生的。另外,为了防止被作废的证书(例如给商户颁发了新证书后,原证书应该作废,但是原证书也是由指定CA产生的)再次使用,在代码层面对证书进行了进一步的验证(这一点是通过Nginx将客户端证书作为Header传递到Java后台实现的,有时间以后再讲)。

1.1. 部署架构

云服务平台部署在aliyun上,大致上结构是这样的(只涉及到了网络访问层面的东西):

商户 -https-> aliyun负载均衡 -tcp转发-> Nginx -http-> Jetty --> ClientCertificateFromProxyFilter

商户访问云服务的时候,需要使用我们提供的客户端证书来建立https链接。aliyun的LB只负责TCP转发,不对协议进行分析。因此从aliyun到Nginx之间实际的数据流是https数据流。Nginx接受到请求后,验证客户端证书是否正确,并将客户端证书设置为HTTP请求中的Header变量,然后请求后台的Jetty服务器。
我们代码中实现了一个Filter(ClientCertificateFromProxyFilter),它的唯一作用是检查过来的HTTP请求中有没有变量SSL_CLIENT_CERT,如果有则把它转换成一个Certificate对象,添加到HTTP请求中,从而将一个HTTP请求模拟成一个HTTPS请求,这样Spring Security就能够进行证书认证了。

3. 问题

在上线之前,按照以往的经验,我们测试了通过浏览器访问受保护的资源来测试HTTPS是否工作正常。因为提前在浏览器中导入了客户端证书,因此浏览器上能够弹出对话框选择客户端证书,选择之后就能够访问指定的资源了。

我们推荐商户使用CXF作为接入方式,一般的代码如下:

<jaxws:client id="uidService"
    serviceClass="com.xwf.cloudauth...."
    address="https://.../api/UidApiService">
</jaxws:client>
<http-conf:conduit name="*.http-conduit">
    <http-conf:tlsClientParameters disableCNCheck=
最低0.47元/天 解锁文章

200万优质内容无限畅学
zhangliminqd
关注
证书导入浏览器任然显示证书验证失败原因
N阶二进制的博客
11-08 3774
输入网址发现浏览器提示您的连接是私密连接。错误ERR_CERT_AUTHORITY_INVALID。
nginx配置ssl双向验证的方法
阳光梦的专栏
04-16 998
http://www.jb51.net/article/57012.htm 1、安装nginx略 http://www.jb51.net/article/49479.htm 2、使用openssl实现证书中心 由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同 Country Name State or Province N
nginx配置SSL证书,无法生效???
林长有的博客
05-09 2万+
关于配置SSL证书参考:阿里云在Nginx/Tengine服务器上安装证书 https://help.aliyun.com/document_detail/98728.html?spm=a2c4g.11174359.6.572.723e842bnxHq5B 问题来了: 发现配置正确,nginx也没有报错,使用https访问报错了,始终找到错误. 最后发现是因为域名配置了CDN,所以没有生效 解决...
nginx配置ssl证书无法访问
嘻嘻哈哈学技术
08-05 6046
有success则表示成功。如果配置文件都对,肯定无法访问。注意,本人就是服务器和防火请未放行443端口导致的。1.配置之后检查nginx配置文件是否正确?2.阿里云或其他云安全组放行443端口。3.检查服务器防火墙是否放心443端口。...
Full authentication is required to access this resource
最新发布
qq_33240556的博客
06-18 688
检查项描述✅是否发送了正确的请求头?✅Token 是否有效、未过期?✅是否已经先登录并获取 Token?✅当前用户是否有权限访问该资源?✅Spring Security 配置是否限制了访问权限?
ssl证书无效什么原因?
蔚可云的博客
08-18 1581
给网站安装SSL证书之后,网站的通信协议就发生了改变,网站的通信协议就可以变成加密的,对用户来说,自己访问网站用担心出现网络安全事故,而网站也用担心网站的核心数据被窃取了,网站想要长久的发展,安装SSL证书是很有必要的,但是有些站长面临了卸载ssl证书的情况,那么卸载ssl怎么做?SSL证书无效是怎么回事? 卸载ssl什么原因? 正常情况下SSL证书会出现卸载的情况,进行ssl卸载是因为SSL证书的等级问题,将ssl给卸载了是为了缓解ssl增加的额外负担,通过单独的处理器来进行加密和解密,它的
nginx 配置ssl证书错误1:
weixin_50512016的博客
11-02 1232
现象:nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/nginx.conf:151 原因:ssl模块并未被安装 解决方案:重新编译附带--with-http_ssl_module模块 step 1:下载nginx 对应版本的源码包,并上传至服务器 step 2:切换目录 示例:[root@shuaishuai ~]# cd /root/nginx-1.15.10 ...
nginx ssl证书生效解决办法
全栈工程师
03-28 3134
nginx ssl证书生效解决办法
nginx配置pem证书 525
04-02
525错误通常表示SSL握手失败,这可能是由于证书完整或证书未正确加载引起的。以下是关于如何在Nginx中正确配置PEM证书以避免此类错误的详细说明。 #### 1. 确认证书文件格式 确保您的证书是以PEM格式保存的。...
记录ssl证书验证通过导致后台调用接口出现问题
zy_ok的博客
10-01 2335
最近搞了一个卡密授权接口,使用派api框架。出现问题ssl验证无法通过,报错curl: (60) SSL certificate problem: unable to get local issuer certificate,原因是Let's Encrypt因更换根证书,部分老旧设备访问时可能提示可信。 接口执行流程如下: 1.通过curl向卡密验证接口提交卡密 $keyapi = json_decode($curl->get('https://api.msdnxz.com/?s=App.K
MySQL SSL连接配置完全指南
IT程序员分享文章-宇哥网络科技
03-11 2190
SSL (Secure Sockets Layer) 连接可以加密MySQL客户端和服务器之间的通信,提高数据传输的安全性。本文将详细介绍如何在MySQL中配置和使用SSL连接,包括服务器端和客户端的配置步骤,以及同场景下的配置方法。加密客户端和服务器之间的数据传输防止数据在传输过程中被窃听验证服务器身份,防止中间人攻击满足数据安全合规要求通过配置MySQL的SSL连接,可以显著提高数据传输的安全性,防止数据在传输过程中被窃听或篡改。
Nginx配置SSL证书出错解决方案
01-08
一、引言 当我们的Linux服务器上当中发布了web项目,有时候需要配置一个SSL证书,这样表示你这个网站还比较正式哈哈哈。当我把证书下载好,把nginx.conf配置好,简直就是万事俱备,只欠重启。结果一重启,duang~出错了。 nginx:[emerg]unknown directive ssl,就是这个错误提示 因为我们配置这个SSL证书需要引用到nginx的中SSL这模块,然而我们一开始编译的Nginx的时候并没有把SSL模块一起编译进去,所以导致这个错误的出现。 二、错误解决步骤 既然在安装的时候没有编译ssl,难道把nginx卸载重新安装一次?,我们只需要在原有的基础上添加
详解Nginx配置SSL证书实现Https访问
01-10
背景 由于项目需求,安全起见,需要将之前的http接口访问变成https访问,所以需要配置SSL证书。项目的架构是这样的: 基本架构是硬负载(ReadWhere)+ 软负载(Nginx)+ Tomcat集群,现在的问题是SSl证书配置在哪里,直接配置在硬负载上?还是分别配置Nginx和Tomcat上?还是其他的配置方法呢? 首先在硬负载上配置放弃了,然后通过在网上查找资料,发现可以只在Nginx配置证书,就是说Nginx接入使用Https,而Nginx与Tomcat之间使用Http进行衔接,这样就游了一个整体思路。 关于SSL证书 关于SSL证书这里简单进行介绍,也是因为项目需要,进
liunx nginx配置ssl 配置https 及访问失败问题排查(fopen:No such file or )([emerg] the “ssl“ parameter requires)
wuyuanshun的博客
02-03 9689
到文件问题:system library:fopen:No such file or directory:fopen('/usr/local/nginx/conf/certt/wys.cn_bundle.crt','r') error:2006D080:BIO routines:BIO_new_file:no such file) 找ssl插件文件 [emerg] the "ssl" parameter requires ngx_http_ssl_module in
Nginx 配置 https 出现no "ssl_certificate" is defined问题原因及解决方法
热门推荐
weixin_33704234的博客
01-21 3万+
2019独角兽企业重金招聘Python工程师标准>>> ...
记录一次访问https站点,报证书无效和无法识别的错误
q285675822的博客
06-23 2098
一、问题描述: 站点用的证书是公司统一的证书,系统通过nginx对外提供https服务,并且nginx的https配置中,也已经配了证书,但是最终浏览器访问,还是提示证书无效,在linux上面,用curl访问站点,报证书无法识别错误: 1、nginx配置: 2、报错截图: ​​​​​​​​​​​​​​​​ 二、解决方案: ......
nginx配置nginx支持ssl sni (一个IP绑定多个证书
csallen的专栏
08-09 2万+
nginx https CA 证书签名 一个IP绑定多个证书
Nginx更换ssl证书生效
chen417980762的博客
11-11 2490
解决nginx更换ssl证书生效问题,将新证书放到一个新目录,nginx配置文件指向新路径。
nginxSSL证书过期后,替换生效
神迹
03-14 3785
后来经过排查内网已经证书生效,已经是新的有效期,但是外网还是原来的;最后原因是:网络层有一个深信服安全设备没替换证书导致。替换SSL证书,并重载nginx证书还是原来的;
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值