双向认证-nginx

１、设置容器

docker run -it --name nginx-test2 -v /home/nginx:/apps  -v /home/nginx/conf/nginx.conf:/etc/nginx/nginx.conf:ro -p 8183:80  -p 7443:443     -d nginx:stable

 

二、修改nginx配置文件

     启用ssl证书

    ssl                  on;

    ssl_certificate      /apps/ssl/server.crt;

    ssl_certificate_key  /apps/ssl/server.key;

    ssl_client_certificate /apps/ssl/ca.crt;     #CA证书用于验证客户端证书的合法性

    ssl_verify_client       on;                      #开启对客户端的验证 

 

三、生成服务端证书

   

自制CA，已经存在

 生成server端证书

1. 进入key文件夹

cd key/

2. 生成server私钥

openssl genrsa -out server.key 2048

--去掉格式

openssl  genrsa  -out  server.key  2048

3. 使用server私钥生成server端证书请求文件

openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=Teamsun/OU=guoxu/CN=guoxu"

（没有-x509选项则生成证书请求文件。）

4. 使用server证书请求文件经过CA生成自签名证书

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

 

注意若是是IP，须要用这个

  openssl ca -in server.csr -out server.crt -cert cloud_ca.crt -keyfile cloud_ca.key -extensions v3_req -notext -config openssl.cnf

 

5. 验证server证书

gouxu@gouxu-pc:~/gx/key$ openssl  verify  -Cafile   ca.crt    server.crt 

server.crt: OK

gouxu@gouxu-pc:~/gx/key$ 

 

验证服务端证书

openssl s_server -accept 10001 -key server.key -cert server.crt 

 

nginx具体的配置项具体请参考

http://nginx.org/en/docs/http/ngx_http_ssl_module.html#example

 

 

 

６、生成客户端证书

生成客户端私钥

openssl  genrsa  -out  client.key  2048

 

生成证书请求文件

openssl  req  -new  -key  client.key  -out  client.csr  -subj  "/C=CN/ST=fj/L=fz/O=landicorp/OU=landicorp/CN=apos"

 

生成签名证书

openssl ca -in client.csr -out client.crt -cert CA/ca.crt -keyfile CA/ca.key -extensions v3_req -notext -config openssl.cnf

 

转成p12格式的证书

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12