NGINX HTTPS设置单向/双向
2016-05-18 13:44
197 查看
服务器单向验证
生成RSA密钥:
openssl genrsa -out key.pem 2048
生成一个证书请求
openssl req -new -key key.pem -out cert.csr
会提示输入省份、城市、域名信息等,重要的是,email 一定要是你的域名后缀的你可以拿着这个文件去数字证书颁发机构(即CA)申请一个数字证书。CA会给你一个新的文件cacert.pem,那才是你的数字证书。
如果是自己做测试,就可以用下面这个命令来生成证书:
openssl req -new -x509 -nodes -out server.crt -keyout server.key
#双向认证
=============创建CA证书==============
Create the CA Key and Certificate for signing Client Certs
openssl genrsa -des3 -out ca.tmp.key 4096
去掉密码
openssl rsa -in ca.tmp.key -out ca.key openssl req -new -x509 -days 365 -key ca.key -out ca.crt
转换根证书格式为 DER
openssl x509 -in ca.crt -out ca.der -outform DER
=================创建服务器端证书===================
创建服务器端证书及证书请求文件
openssl genrsa -des3 -out server.tmp.key 1024
去掉服务器端证书的密码,避免在nginx中使用server.key文件输入密码
openssl rsa -in server.tmp.key -out server.key
这一步需要几项目内容,关键点Common Name不能与CA证书的Common Name相同,否则在进行 openssl verify的时候会出现error 18 at 0 depth lookup:self signed certificate
openssl req -new -key server.key -out server.csr
自签名自己的服务器证书,建议仅在测试环境使用.
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
================创建客户端证书====================
生成客户端证书的key以及客户端的证书请求文件
openssl genrsa -des3 -out client.key 1024
这步会提示输入几详细内容,重要的内容是Common Name必须与服务器端证书的Common Name一致
openssl req -new -key client.key -out client.csr
使用ca证书签名客户端证书
openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt
导出客户端证书为p12格式
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
导出客户端证书为pfx格式
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
##==================验证证书=====================
验证客户端证书
openssl verify -purpose sslserver -CAfile ca.crt client.crt
验证服务器端证书
openssl verify -purpose sslserver -CAfile ca.crt server.crt
安装nginx服务器
./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module make make install
nginx ssl双向配置,单项配置注释ssl_client_certificate行和ssl_verify_client行即可
server { listen 443 ssl; server_name localhost,fd.chinasws.com; #ssl_certificate cert.pem; #ssl_certificate_key cert.key; # start ssl_certificate ssl/ca2/server.crt; ssl_certificate_key ssl/ca2/server.key; ssl_client_certificate ssl/ca2/ca.crt; ssl_verify_client on; # end #ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; #allow 10.0.26.41; # deny all; }
相关文章推荐
- nginx代理指定目录
- 访问Nginx发生SSL connection error的一种情况
- Nginx+Naxsi部署专业级Web应用防火墙
- CentOS 6.2实战部署Nginx+MySQL+PHP
- Linux实现https方式访问站点
- nginx中http核心模块的配置指令2
- nginx中http核心模块的配置指令3
- nginx中http核心模块的配置指令4
- nginx中http的fastcgi模块的配置指令1
- Nginx 学习笔记(一)
- HTTPS科普扫盲帖
- 网站502与504错误分析
- 用zabbix监控nginx_status状态
- 艰难完成 nginx + puma 部署 rails 4的详细记录
- 把Lua编译进nginx步骤方法
- web 应用中常用的各种 cache详解
- HTTPS的七个误解
- Linux系统上配置Nginx+Ruby on Rails+MySQL超攻略