根据此博客(http://blog.csdn.net/rosw/article/details/3441187) 加以改进
1) 创建一个CA根证书
2) 创建一个自签名的服务器证书
3) 设置Nginx
4) 创建客户端证书
1. 找到openssl 目录下的openssl.cnf. 打开并加以修改, 上面博客是自己新建了一个CA配置,我是直接在CA_default上修改的.
dir = /etc/ssl/private
private_key = $dir/ca.key
certificate = $dir/ca.crt
default_days = 3650
new_certs_dir = $dir
#crlnumber = $dir/crlnumber
commonName = optional
2)
创建一个新的CA根证书
在/etc/ssl 目录下新建一个private文件夹
下面的几个脚本我都放在/etc/ssl目录下
new_ca.sh:
#!/bin/sh
# Generate the key.
openssl genrsa -out private/ca.key
# Generate a certificate request.
openssl req -new -key private/ca.key -out private/ca.csr
# Self signing key is bad... this could work with a third party signed key... registeryfly has them on for $16 but I'm too cheap lazy to get one on a lark.
# I'm also not 100% sure if any old certificate will work or if you have to buy a special one that you can sign with. I could investigate further but since this
# service will never see the light of an unencrypted Internet see the cheap and lazy remark.
# So self sign our root key.
openssl x509 -req -days 3650 -in private/ca.csr -signkey private/ca.key -out private/ca.crt
# Setup the first serial number for our keys... can be any 4 digit hex string... not sure if there are broader bounds but everything I've seen uses 4 digits.
echo FACE > private/serial
# Create the CA's key database.
touch private/index.txt
# Create a Certificate Revocation list for removing 'user certificates.'
openssl ca -gencrl -out /etc/ssl/private/ca.crl -crldays 7
拷贝以上代码上不要多加回车
执行 sh new_ca.sh 生成新的CA证书, 这里我是一路回车,在让你输入密码时,才输入
3)
生成服务器证书的脚本
new_server.sh:
# Create us a key. Don't bother putting a password on it since you will need it to start apache. If you have a better work around I'd love to hear it.
openssl genrsa -out private/server.key
# Take our key and create a Certificate Signing Request for it.
openssl req -new -key private/server.key -out private/server.csr
# Sign this bastard key with our bastard CA key.
openssl ca -in private/server.csr -cert private/ca.crt -keyfile private/ca.key -out private/server.crt
执行 sh new_server.sh 生成新服务器的证书, 这里我是一路回车,在让你输入密码时,才输入
4)
配置 nginx 的ssl支持
我的配置如下:
# HTTPS server
#
server {
listen 443;
server_name localhost;
# 打开ssl
ssl on;
# 上一步生成的服务器证书
ssl_certificate /etc/ssl/private/server.crt;
# 服务器证书公钥
ssl_certificate_key /etc/ssl/private/server.key;
# 客户端证书签名 也就是第二步生成的CA签名证书
ssl_client_certificate /etc/ssl/private/ca.crt;
# ssl session 超时
ssl_session_timeout 5m;
# 打开SSL客户端校验 (双向证书检测)
ssl_verify_client on;
#ssl_protocols SSLv2 SSLv3 TLSv1;
#ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
location / {
root /var/www/nginx-default;
index index.html index.htm;
}
启动你的nginx ,等待客户连接
5)
现在来生成客户端证书
新建 new_client.sh:
#!/bin/sh
# The base of where our SSL stuff lives.
base="/etc/ssl/private"
# Were we would like to store keys... in this case we take the username given to us and store everything there.
mkdir -p $base/users/$1/
# Let's create us a key for this user... yeah not sure why people want to use DES3 but at least let's make us a nice big key.
openssl genrsa -des3 -out $base/users/$1/$1.key 1024
# Create a Certificate Signing Request for said key.
openssl req -new -key $base/users/$1/$1.key -out $base/users/$1/$1.csr
# Sign the key with our CA's key and cert and create the user's certificate out of it.
openssl ca -in $base/users/$1/$1.csr -cert $base/ca.crt -keyfile $base/ca.key -out $base/users/$1/$1.crt
# This is the tricky bit... convert the certificate into a form that most browsers will understand PKCS12 to be specific.
# The export password is the password used for the browser to extract the bits it needs and insert the key into the user's keychain.
# Take the same precaution with the export password that would take with any other password based authentication scheme.
openssl pkcs12 -export -clcerts -in $base/users/$1/$1.crt -inkey $base/users/$1/$1.key -out $base/users/$1/$1.p12
执行之前需要把/etc/ssl/private/index.txt 文件删除,重新建立一个新的,
即 rm -f index.txt, touch index.txt 否则以下命令会失败. 每次创建新客户端时都要这样做
执行 sh new_client.sh yourname 来生成一个 yourname 的client证书
按照提示一步一步来,这里要注意的是客户证书的几个项目要和根证书匹配
也就是第一步时配置的: 如果你之前一路回车的话,就不需要担心这个
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = match
不一致的话无法生成最后的客户证书
6)
发送上一步生成的 yourname.p12 到客户端。
IE下双击安装就可以导入。
FireFox安装 :
Go into preferences.
Advanced.
View Certificates.
Import.
Enter master password for FireFox (if you don't have one set one here otherwise stolen laptop = easy access).
Enter in the export password given to you by the dude who created your cert.
Hit OK like a mad man.
打开网站会弹出对话框来要求你选择使用哪个证书,选择刚才安装的证书。选择接受服务器证书。现在你可以正常访问服务器拉。如果没弄对的话就会出现400 Bad request certification的错误
利用 SOAPUI 进行WEB-SERVICE测试
把P12文件转换成 jks文件
keytool -importkeystore -srckeystore keystore.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore keystore.jks
接着在preferrence-ssl settings- keystore browse and keystore password and selected client authenticated
相关推荐
**Nginx SSL双向认证配置详解** 在网络安全日益重要的今天,服务器与客户端之间的通信安全成为了一个不可忽视的问题。本文将详细介绍如何在Nginx服务器上配置SSL双向认证,以提高服务器的安全性,允许只有经过验证...
本文将详细介绍如何在Nginx服务器上配置双向SSL认证。 #### 二、环境准备 为了进行Nginx的双向SSL认证配置,首先需要准备好必要的环境: 1. **安装OpenSSL工具**:通过`yum install openssl`命令安装。 2. **配置...
### IT技术知识点详解:Nginx双活+双向SSL认证+高并发+安全加固+会话共享+主被动健康探测 #### 一、Nginx双活架构部署 双活架构意味着两个Nginx服务器同时对外提供服务,任何一方都可以独立承担业务请求,当某一方...
用keytool生成证书,双向SSL认证配置的方法,以Tomcat举例。包含步骤:一、为服务器生成证书;二、为客户端生成证书;三、让服务器信任客户端证书;四、让客户端信任服务器证书。
本资源是一个 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证配置示例。详细如何配置请参考博客《图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》,地址是:...
2. **Nginx配置**: - 在Nginx的配置文件中,添加`ssl_verify_client on;`和`ssl_client_certificate /path/to/ca.crt;`等指令,指定证书验证策略和CA证书路径。 3. **测试验证**: - 测试配置是否正确无误,确保...
双向SSL认证是指服务器与客户端之间的双向认证。服务器端需要验证客户端的证书,同时客户端也要验证服务器的证书。这种认证方式适用于安全性要求极高的场景,例如金融机构或企业内部系统。 SSL/TLS证书的生成通常...
以下将详细介绍Nginx配置SSL双向认证的全过程,包括相关命令的使用和配置文件的编写。 首先,需要创建一个工作目录用于存放证书文件。命令如下: ``` cd /etc/nginx mkdir ssl cd ssl ``` 接下来,需要创建证书...
【Nginx 配置详解】在 CentOS 6.5 环境下,配置 Nginx 1.6.2 可以实现多种高级功能,包括 SSL 双向认证、负载均衡和反向代理。以下是一份详细的配置步骤指南。 ### 1. 安装与准备 首先,确保你的系统是 CentOS 6.5...
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过...
### 安装 Nginx 与配置双向验证 在实施 HTTP 双向验证前,需要准备以下组件: 1. PCRE(Perl 兼容正则表达式库) 2. OpenSSL(用于加密算法和 SSL 协议) 3. ZLIB(压缩库) 4. Nginx 服务器 安装步骤: 1. 解压并...
在Nginx中开启SSL/TLS支持并设置双向验证,需要在配置文件中指定服务器端证书和私钥的路径,同时启用SSL/TLS的客户端证书验证功能,配置服务器信任的CA证书文件,以验证客户端证书的合法性。 关于HTTPS握手过程,...
这通常涉及到在Nginx配置文件中指定CA的公钥,以便服务器可以验证收到的客户端证书。 6. **部署和测试**:将签发的客户端证书分发给客户端,同时确保服务器配置正确。然后进行测试,确保只有持有有效证书的客户端...
3. **API 网关:** 对于微服务架构,Nginx 可以作为 API 网关,统一处理认证、限流、路由等功能。 4. **静态资源服务:** Nginx 直接处理静态资源请求,减轻 Java 应用服务器的压力。 5. **WebSocket 支持:** Nginx...
Tomcat 开启基于 HTTPS 的 SSL 配置 在互联网时代,安全性问题变得越来越重要,为了保护用户的隐私和数据,越来越多的网站开始使用 HTTPS 协议。Tomcat 作为一个流行的 Java Web 服务器,当然也支持 HTTPS 协议。...
例如,它能解析出SM2非对称加密算法用于密钥交换,SM3用于消息认证码(MAC)的生成,以及SM4用于数据块的对称加密。 2. 显示过滤器:通过定制的显示过滤器,用户可以快速筛选出国密SSL的特定类型流量,如查找所有...
8. **Apache和Nginx配置**:Apache和Nginx都是常见的Web服务器,它们支持SSL模块,通过修改配置文件(如Apache的httpd.conf或Nginx的nginx.conf)来启用SSL并加载证书。 9. **实验要求**:实验要求在Windows或Linux...
8. 高度的定制性:Nginx通过其配置文件提供了极高的定制性,包括控制文件描述符的数量、内存使用、缓存设置、负载均衡策略和SSL/TLS加密等。 9. 安全性:Nginx提供了多样的安全措施,如限制IP访问、HTTP基本认证、...
5. **重新加载Nginx**:由于Nginx配置已更新,你需要重新加载或重启Nginx服务以应用新的配置。这可以通过发送SIGHUP信号或执行`nginx -s reload`命令完成。 6. **监控与故障排查**:使用`sync-gateway-nginx-confd-...