Nginx、Tomcat、SSL、双向认证
2016-05-25 11:14
615 查看
1. 证书层级结构
![](https://oscdn.geek-share.com/Uploads/Images/Content/202004/03/f0805a34b489733513fad6612bef24f1.png)
2. 服务器结构
![](https://oscdn.geek-share.com/Uploads/Images/Content/202004/03/bd0a5b355df4fd5610e8f100d19f3874.png)
tomcat不要求认证客户端,nginx要求认证客户端
3. tomcat配置注意点
tomcat的服务器证书的CN必须为tomcat_backend
4. nginx配置注意点
使用openssl从pfx文件中导出pem格式公钥1 | openssl pkcs12 -clcerts -nokeys - in cert.p12 -out cert.pem |
1 | openssl pkcs12 -nocerts -nodes - in cert.p12 -out private.pem |
1. 将根CA和中级CA的公钥证书导出,如导出后文件名分别为root.pem ca.pem
2. 将root.pem ca.pem合并成一个文件,ca.pem在前,root.pem在后
1 2 | cat ca.pem >> chain.pem cat root.pem >> chain.pem |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | server { listen 443 ; server_name localhost; ssl on; ssl_certificate nginx服务器证书公钥; ssl_certificate_key nginx服务器证书私钥; ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 TLSv1; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; ssl_verify_client on; # 开启客户端验证 ssl_verify_depth 2 ; # 这里一定要注意,服务器证书上面有几级CA就写几 ssl_client_certificate chain.pem; # <span bitstream="" vera="" sans="" mono',="" 'courier="" new',="" courier,="" monospace;line-height:15.390625px;background-color:#ffffff;"="" style="box-sizing: border-box;">证书链 用于验证客户端提供的证书 ssl_trusted_certificate 证书链; location / { proxy_pass https: //tomcat_backend; include proxy.conf; } |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | proxy_redirect off; proxy_set_header Host $host; proxy_set_header Client-Cert $ssl_client_cert; # 将客户端证书放到http头中传递给后端的tomcat proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; client_max_body_size 10m; client_body_buffer_size 128k; proxy_connect_timeout 30 ; proxy_send_timeout 15 ; proxy_read_timeout 15 ; proxy_buffer_size 4k; proxy_buffers 4 32k; proxy_busy_buffers_size 64k; proxy_temp_file_write_size 64k; proxy_ssl_certificate localhost.pem; # 如果后端的tomcat也要求客户端认证,则nginx与tomcat建立连接时会把该证书发送给tomcat proxy_ssl_certificate_key localhost.key; proxy_ssl_trusted_certificate chain.pem; # 如果启用了proxy_ssl_verify,则使用该文件中的CA公钥验证后端tomcat的证书 proxy_ssl_verify on; # nginx是否验证后端tomcat的证书 proxy_ssl_verify_depth 2 ; |
相关文章推荐
- eclipse tomcat 启动不了maven项目
- Tomcat:localhost:8080 报404错误
- eclipse 指定文件上传到tomcat的路径
- 总结tomcat日志
- tomcat排错过程
- Can't load AMD 64-bit .dll on a IA 32-bit platform
- Tomcat中使用JNDI时需要注意的地方
- Tomcat装载Servlet的三种情况
- Linux下安装部署tomcat
- Tomcat 启动项目报错 java.lang.OutOfMemoryError: Java heap space
- Tomcat:IOException while loading persisted sessions: java.io.EOFException解决办法
- Tomcat 部署Web应用
- ubuntu nginx设置多个tomcat负载均衡的简单实践
- Apache 和 tomcat 的整合
- tomcat结合nginx使用小结
- tomcat7.0性能优化-挑战极限完整版
- 设置Tomcat的JAVA_OPTS参数
- eclipse启动Tomcat时报错:严重: IOException while loading persisted sessions: java.io.EOF
- 89-001-1 IDEA 的JAVAEE web项目的环境配置 tomcat配置
- SessionUtil Tomcat 生成 session id 的算法