`
lvjun106
  • 浏览: 438039 次
  • 性别: Icon_minigender_1
  • 来自: 芜湖
社区版块
存档分类
最新评论

nginx 配置双向 SSL 认证

 
阅读更多

 

 

根据此博客(http://blog.csdn.net/rosw/article/details/3441187)  加以改进

 

1) 创建一个CA根证书
2) 创建一个自签名的服务器证书
3) 设置Nginx
4) 创建客户端证书

 

1. 找到openssl 目录下的openssl.cnf. 打开并加以修改, 上面博客是自己新建了一个CA配置,我是直接在CA_default上修改的.

dir = /etc/ssl/private

private_key = $dir/ca.key

certificate = $dir/ca.crt

default_days = 3650

new_certs_dir = $dir

#crlnumber      = $dir/crlnumber

commonName = optional

 

2)
创建一个新的CA根证书

在/etc/ssl 目录下新建一个private文件夹
下面的几个脚本我都放在/etc/ssl目录下

new_ca.sh:
#!/bin/sh
# Generate the key.
openssl genrsa -out private/ca.key
# Generate a certificate request.
openssl req -new -key private/ca.key -out private/ca.csr
# Self signing key is bad... this could work with a third party signed key... registeryfly has them on for $16 but I'm too cheap lazy to get one on a lark.
# I'm also not 100% sure if any old certificate will work or if you have to buy a special one that you can sign with. I could investigate further but since this
# service will never see the light of an unencrypted Internet see the cheap and lazy remark.
# So self sign our root key.
openssl x509 -req -days 3650 -in private/ca.csr -signkey private/ca.key -out private/ca.crt
# Setup the first serial number for our keys... can be any 4 digit hex string... not sure if there are broader bounds but everything I've seen uses 4 digits.
echo FACE > private/serial
# Create the CA's key database.
touch private/index.txt
# Create a Certificate Revocation list for removing 'user certificates.'
openssl ca -gencrl -out /etc/ssl/private/ca.crl -crldays 7

 

拷贝以上代码上不要多加回车
执行 sh new_ca.sh 生成新的CA证书, 这里我是一路回车,在让你输入密码时,才输入


3)
生成服务器证书的脚本

new_server.sh:
# Create us a key. Don't bother putting a password on it since you will need it to start apache. If you have a better work around I'd love to hear it.
openssl genrsa -out private/server.key
# Take our key and create a Certificate Signing Request for it.
openssl req -new -key 
private/server.key -out private/server.csr
# Sign this bastard key with our bastard CA key.
openssl ca -in 
private/server.csr -cert private/ca.crt -keyfile private/ca.key -out private/server.crt

执行 sh new_server.sh 生成新服务器的证书, 这里我是一路回车,在让你输入密码时,才输入

4)
配置 nginx 的ssl支持

我的配置如下:

# HTTPS server
#
server {
listen   443;
server_name  localhost;

# 打开ssl
ssl  on;
# 上一步生成的服务器证书
ssl_certificate  /etc/ssl/private/server.crt;
# 服务器证书公钥
ssl_certificate_key  /etc/ssl/private/server.key;
# 客户端证书签名 也就是第二步生成的CA签名证书
ssl_client_certificate   /etc/ssl/private/ca.crt;
# ssl session 超时
ssl_session_timeout  5m;
# 打开SSL客户端校验 (双向证书检测)
ssl_verify_client on;

#ssl_protocols  SSLv2 SSLv3 TLSv1;
#ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers   on;

location / {
root   /var/www/nginx-default;
index  index.html index.htm;
}

启动你的nginx ,等待客户连接

5)
现在来生成客户端证书

新建 new_client.sh:
#!/bin/sh
# The base of where our SSL stuff lives.
base="/etc/ssl/private"
# Were we would like to store keys... in this case we take the username given to us and store everything there.
mkdir -p $base/users/$1/

# Let's create us a key for this user... yeah not sure why people want to use DES3 but at least let's make us a nice big key.
openssl genrsa -des3 -out $base/users/$1/$1.key 1024
# Create a Certificate Signing Request for said key.
openssl req -new -key $base/users/$1/$1.key -out $base/users/$1/$1.csr
# Sign the key with our CA's key and cert and create the user's certificate out of it.
openssl ca -in $base/users/$1/$1.csr -cert $base/ca.crt -keyfile $base/ca.key -out $base/users/$1/$1.crt

# This is the tricky bit... convert the certificate into a form that most browsers will understand PKCS12 to be specific.
# The export password is the password used for the browser to extract the bits it needs and insert the key into the user's keychain.
# Take the same precaution with the export password that would take with any other password based authentication scheme.
openssl pkcs12 -export -clcerts -in $base/users/$1/$1.crt -inkey $base/users/$1/$1.key -out $base/users/$1/$1.p12

 

执行之前需要把/etc/ssl/private/index.txt 文件删除,重新建立一个新的,

即 rm -f index.txt,  touch index.txt 否则以下命令会失败. 每次创建新客户端时都要这样做
执行 sh new_client.sh yourname 来生成一个 yourname 的client证书
按照提示一步一步来,这里要注意的是客户证书的几个项目要和根证书匹配
也就是第一步时配置的:  如果你之前一路回车的话,就不需要担心这个
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = match


不一致的话无法生成最后的客户证书

 

6)
发送上一步生成的 yourname.p12 到客户端。
IE下双击安装就可以导入。
FireFox安装 :
Go into preferences.
Advanced.
View Certificates.
Import.
Enter master password for FireFox (if you don't have one set one here otherwise stolen laptop = easy access).
Enter in the export password given to you by the dude who created your cert.
Hit OK like a mad man.

打开网站会弹出对话框来要求你选择使用哪个证书,选择刚才安装的证书。选择接受服务器证书。现在你可以正常访问服务器拉。如果没弄对的话就会出现400 Bad request certification的错误

 

利用 SOAPUI 进行WEB-SERVICE测试

把P12文件转换成 jks文件

keytool -importkeystore -srckeystore keystore.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore keystore.jks

 

接着在preferrence-ssl settings- keystore browse and keystore password and selected client authenticated

分享到:
评论

相关推荐

    详解Nginx SSL快速双向认证配置(脚本)

    **Nginx SSL双向认证配置详解** 在网络安全日益重要的今天,服务器与客户端之间的通信安全成为了一个不可忽视的问题。本文将详细介绍如何在Nginx服务器上配置SSL双向认证,以提高服务器的安全性,允许只有经过验证...

    Nginx双向SSL认证配置详解

    本文将详细介绍如何在Nginx服务器上配置双向SSL认证。 #### 二、环境准备 为了进行Nginx的双向SSL认证配置,首先需要准备好必要的环境: 1. **安装OpenSSL工具**:通过`yum install openssl`命令安装。 2. **配置...

    信息技术_nginx双活+双向SSL认证+高并发+安全加固+会话共享+主被动健康探测

    ### IT技术知识点详解:Nginx双活+双向SSL认证+高并发+安全加固+会话共享+主被动健康探测 #### 一、Nginx双活架构部署 双活架构意味着两个Nginx服务器同时对外提供服务,任何一方都可以独立承担业务请求,当某一方...

    用keytool生成证书,双向SSL认证配置的方法

    用keytool生成证书,双向SSL认证配置的方法,以Tomcat举例。包含步骤:一、为服务器生成证书;二、为客户端生成证书;三、让服务器信任客户端证书;四、让客户端信任服务器证书。

    Nginx+Tomcat配置SSL双向验证示例

    本资源是一个 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证配置示例。详细如何配置请参考博客《图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》,地址是:...

    linux nginx双向认证服务搭建

    2. **Nginx配置**: - 在Nginx的配置文件中,添加`ssl_verify_client on;`和`ssl_client_certificate /path/to/ca.crt;`等指令,指定证书验证策略和CA证书路径。 3. **测试验证**: - 测试配置是否正确无误,确保...

    nginx环境下配置ssl加密(单双向认证、部分https)

    双向SSL认证是指服务器与客户端之间的双向认证。服务器端需要验证客户端的证书,同时客户端也要验证服务器的证书。这种认证方式适用于安全性要求极高的场景,例如金融机构或企业内部系统。 SSL/TLS证书的生成通常...

    Nginx+SSL实现双向认证的示例代码

    以下将详细介绍Nginx配置SSL双向认证的全过程,包括相关命令的使用和配置文件的编写。 首先,需要创建一个工作目录用于存放证书文件。命令如下: ``` cd /etc/nginx mkdir ssl cd ssl ``` 接下来,需要创建证书...

    CentOS+Nginx配置详解

    【Nginx 配置详解】在 CentOS 6.5 环境下,配置 Nginx 1.6.2 可以实现多种高级功能,包括 SSL 双向认证、负载均衡和反向代理。以下是一份详细的配置步骤指南。 ### 1. 安装与准备 首先,确保你的系统是 CentOS 6.5...

    nginx双向认证配置proxy_ssl_verify_depth详解

    当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过...

    nginx实现http双向验证.docx

    ### 安装 Nginx 与配置双向验证 在实施 HTTP 双向验证前,需要准备以下组件: 1. PCRE(Perl 兼容正则表达式库) 2. OpenSSL(用于加密算法和 SSL 协议) 3. ZLIB(压缩库) 4. Nginx 服务器 安装步骤: 1. 解压并...

    使用Nginx实现HTTPS双向验证的方法

    在Nginx中开启SSL/TLS支持并设置双向验证,需要在配置文件中指定服务器端证书和私钥的路径,同时启用SSL/TLS的客户端证书验证功能,配置服务器信任的CA证书文件,以验证客户端证书的合法性。 关于HTTPS握手过程,...

    一种基于Python+Nginx架构的双向CA系统设计与实现.zip

    这通常涉及到在Nginx配置文件中指定CA的公钥,以便服务器可以验证收到的客户端证书。 6. **部署和测试**:将签发的客户端证书分发给客户端,同时确保服务器配置正确。然后进行测试,确保只有持有有效证书的客户端...

    nginx-1.8.0.rar

    3. **API 网关:** 对于微服务架构,Nginx 可以作为 API 网关,统一处理认证、限流、路由等功能。 4. **静态资源服务:** Nginx 直接处理静态资源请求,减轻 Java 应用服务器的压力。 5. **WebSocket 支持:** Nginx...

    Tomcat 开启基于https的SSL配置

    Tomcat 开启基于 HTTPS 的 SSL 配置 在互联网时代,安全性问题变得越来越重要,为了保护用户的隐私和数据,越来越多的网站开始使用 HTTPS 协议。Tomcat 作为一个流行的 Java Web 服务器,当然也支持 HTTPS 协议。...

    国密SSL的wireshark解析脚本gmssl-wireshark-main.zip

    例如,它能解析出SM2非对称加密算法用于密钥交换,SM3用于消息认证码(MAC)的生成,以及SM4用于数据块的对称加密。 2. 显示过滤器:通过定制的显示过滤器,用户可以快速筛选出国密SSL的特定类型流量,如查找所有...

    opesnssl证书配置和使用1

    8. **Apache和Nginx配置**:Apache和Nginx都是常见的Web服务器,它们支持SSL模块,通过修改配置文件(如Apache的httpd.conf或Nginx的nginx.conf)来启用SSL并加载证书。 9. **实验要求**:实验要求在Windows或Linux...

    实战Nginx:取代Apache的高性能Web服务器

    8. 高度的定制性:Nginx通过其配置文件提供了极高的定制性,包括控制文件描述符的数量、内存使用、缓存设置、负载均衡策略和SSL/TLS加密等。 9. 安全性:Nginx提供了多样的安全措施,如限制IP访问、HTTP基本认证、...

    sync-gateway-nginx-confd:通过 Confd 为同步网关生成 Nginx 代理配置

    5. **重新加载Nginx**:由于Nginx配置已更新,你需要重新加载或重启Nginx服务以应用新的配置。这可以通过发送SIGHUP信号或执行`nginx -s reload`命令完成。 6. **监控与故障排查**:使用`sync-gateway-nginx-confd-...

Global site tag (gtag.js) - Google Analytics