SSL交互简述及nginx双向认证配置
1、证书生成。html
一、SSL Server生成私钥/公钥对。server.key(加密)/server.pub(解密);
二、server.pub生成请求文件server.csr,包含server的一些信息,如域名/申请者/公钥等;
三、server将server.csr递交给CA,CA验证经过,用ca.key和csr加密生成server.cert;
四、server将证书server.cert传给client,client经过ca.crt解密server.cert。nginx
附证书制做流程:https://m.aliyun.com/yunqi/articles/40398算法
2、认证交互json
3、SSL认证数据包分析session
1、客户端请求包app
版本信息:测试
随机数:加密
加密套件列表:url
压缩算法和扩展参数:spa
2、服务端响应包:
版本号:
随机数:
选择的加密套件,压缩算法,及扩展参数:
证书:
3、客户端随机数包
4、通知秘钥和加密算法
5、握手验证消息
6、通知客户端加密算法与握手限制消息
7、加密通讯(3)
8、Encrypted Alert,SSL告警,这里出现一般是提示SSL传输完成
4、nginx代理证书配置(附测试脚本)
server { listen 8000 ssl; listen[::]:8000 ssl; server_name *.*.*.*:8000; ssl on; ssl_certificate /home/nginx/conf/cert/ server.cert; ssl_certificate_key /home/nginx/conf/cert/server.key; ssl_client_certificate /home/nginx/conf/cert/ca.cert; ssl_verify_client on; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_protocols TLSv1.2; ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256; ssl_prefer_server_ciphers on; error_log /var/log/nginx/error.log error; location / { proxy_ssl_certificate /home/nginx/conf/cert/client.cert; proxy_ssl_certificate_key /home/nginx/conf/cert/client.key; proxy_ssl_trusted_certificate /home/nginx/conf/cert/ca.cert; proxy_ssl_verify on;
proxy_ssl_session_reuse on; proxy_pass https://*.*.*.*:8080; } }
关于其余参数请参见:http://nginx.org/en/docs/http/ngx_http_proxy_module.html
import httplib2 ca_cert = '/home/nginx/conf/cert/client/ca.cert' client_key = '/home/nginx/conf/cert/client/client.key' client_cert = '/home/nginx/conf/cert/client/client.cert' full_url = 'https://*.*.*.*:8000/test_url' headers = { 'content-type': 'application/json', 'accept': 'application/json' } http = httplib2.Http(timeout=120, ca_certs=ca_cert, disable_ssl_certificate_validation=False) http.follow_all_redirects = True http.add_certificate(client_key, client_cert, '') resp, resp_content = http.request(full_url, method='GET', headers=headers) print resp, resp_content
相关文章
- 1. nginx SSL证书配置(双向认证)
- 2. nginx支持ssl双向认证配置
- 3. NGINX 配置 SSL 双向认证
- 4. NGINX SSL 的双向认证
- 5. nginx配置ssl双向验证 nginx https ssl证书配置
- 6. SSL单向认证和双向认证交互流程
- 7. NGINX 配置双向SSL 证书
- 8. TOMCAT-SSL双向认证-配置实例
- 9. Tomcat 6中配置SSL双向认证
- 10. SSL 双向认证
- 更多相关文章...
- • Spring Bean的配置及常用属性 - Spring教程
- • Eclipse Debug 配置 - Eclipse 教程
- • IntelliJ IDEA 代码格式化配置和快捷键
- • IDEA下SpringBoot工程配置文件没有提示
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
