NGINX HTTPS设置单向/双向

服务器单向验证

生成RSA密钥：

openssl genrsa -out key.pem 2048

生成一个证书请求

openssl req -new -key key.pem -out cert.csr

会提示输入省份、城市、域名信息等，重要的是，email 一定要是你的域名后缀的你可以拿着这个文件去数字证书颁发机构（即CA）申请一个数字证书。CA会给你一个新的文件cacert.pem，那才是你的数字证书。

如果是自己做测试，就可以用下面这个命令来生成证书：

openssl req -new -x509 -nodes -out server.crt -keyout server.key

#双向认证

=============创建CA证书==============

Create the CA Key and Certificate for signing Client Certs

openssl genrsa -des3 -out ca.tmp.key 4096

去掉密码

openssl rsa -in ca.tmp.key -out ca.key
openssl req -new -x509 -days 365 -key ca.key -out ca.crt

转换根证书格式为 DER

openssl x509 -in ca.crt -out ca.der -outform DER

=================创建服务器端证书===================

创建服务器端证书及证书请求文件

openssl genrsa -des3 -out server.tmp.key 1024

去掉服务器端证书的密码，避免在nginx中使用server.key文件输入密码

openssl rsa -in server.tmp.key -out server.key

这一步需要几项目内容,关键点Common Name不能与CA证书的Common Name相同，否则在进行 openssl verify的时候会出现error 18 at 0 depth lookup:self signed certificate

openssl req -new -key server.key -out server.csr

自签名自己的服务器证书，建议仅在测试环境使用.

openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

================创建客户端证书====================

生成客户端证书的key以及客户端的证书请求文件

openssl genrsa -des3 -out client.key 1024

这步会提示输入几详细内容,重要的内容是Common Name必须与服务器端证书的Common Name一致

openssl req -new -key client.key -out client.csr

使用ca证书签名客户端证书

openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt

导出客户端证书为p12格式

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

导出客户端证书为pfx格式

openssl pkcs12 -export -in client.crt -inkey client.key -out  client.pfx

##==================验证证书=====================

验证客户端证书

openssl verify -purpose sslserver -CAfile ca.crt client.crt

验证服务器端证书

openssl verify -purpose sslserver -CAfile ca.crt server.crt

安装nginx服务器

./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module
make
make install

nginx ssl双向配置，单项配置注释ssl_client_certificate行和ssl_verify_client行即可

server {
listen       443 ssl;
server_name  localhost,fd.chinasws.com;

#ssl_certificate      cert.pem;
#ssl_certificate_key  cert.key;

# start
ssl_certificate      ssl/ca2/server.crt;
ssl_certificate_key  ssl/ca2/server.key;
ssl_client_certificate ssl/ca2/ca.crt;
ssl_verify_client on;
# end

#ssl_session_cache    shared:SSL:1m;
ssl_session_timeout  5m;

ssl_ciphers  HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers  on;

location / {
root   html;
index  index.html index.htm;
#allow 10.0.26.41;
#	    deny all;
}