NGINX HTTPS设置单向/双向
服务器单向验证
生成RSA密钥:
openssl genrsa -out key.pem 2048
生成一个证书请求
openssl req -new -key key.pem -out cert.csr
会提示输入省份、城市、域名信息等,重要的是,email 必定要是你的域名后缀的你能够拿着这个文件去数字证书颁发机构(即CA)申请一个数字证书。CA会给你一个新的文件cacert.pem,那才是你的数字证书。html
若是是本身作测试,就能够用下面这个命令来生成证书:node
openssl req -new -x509 -nodes -out server.crt -keyout server.key
#双向认证nginx
=============建立CA证书==============
Create the CA Key and Certificate for signing Client Certs
openssl genrsa -des3 -out ca.tmp.key 4096
去掉密码
openssl rsa -in ca.tmp.key -out ca.key openssl req -new -x509 -days 365 -key ca.key -out ca.crt
转换根证书格式为 DER
openssl x509 -in ca.crt -out ca.der -outform DER
=================建立服务器端证书===================
建立服务器端证书及证书请求文件
openssl genrsa -des3 -out server.tmp.key 1024
去掉服务器端证书的密码,避免在nginx中使用server.key文件输入密码
openssl rsa -in server.tmp.key -out server.key
这一步须要几项目内容,关键点Common Name不能与CA证书的Common Name相同,不然在进行 openssl verify的时候会出现error 18 at 0 depth lookup:self signed certificate服务器
openssl req -new -key server.key -out server.csr
自签名本身的服务器证书,建议仅在测试环境使用.
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
================建立客户端证书====================
生成客户端证书的key以及客户端的证书请求文件
openssl genrsa -des3 -out client.key 1024
这步会提示输入几详细内容,重要的内容是Common Name必须与服务器端证书的Common Name一致session
openssl req -new -key client.key -out client.csr
使用ca证书签名客户端证书
openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt
导出客户端证书为p12格式
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
导出客户端证书为pfx格式
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
##==================验证证书=====================测试
验证客户端证书
openssl verify -purpose sslserver -CAfile ca.crt client.crt
验证服务器端证书
openssl verify -purpose sslserver -CAfile ca.crt server.crt
安装nginx服务器
./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module make make install
nginx ssl双向配置,单项配置注释ssl_client_certificate行和ssl_verify_client行便可
server {
listen 443 ssl;
server_name localhost,fd.chinasws.com;
#ssl_certificate cert.pem;
#ssl_certificate_key cert.key;
# start
ssl_certificate ssl/ca2/server.crt;
ssl_certificate_key ssl/ca2/server.key;
ssl_client_certificate ssl/ca2/ca.crt;
ssl_verify_client on;
# end
#ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
#allow 10.0.26.41;
# deny all;
}
相关文章
- 1. HTTPS单向/双向认证
- 2. nginx配置Https单向认证和双向认证
- 3. Java nginx https 双向认证
- 4. https nginx 双向认证
- 5. Nginx https 双向认证
- 6. Nginx配置https双向认证
- 7. NGINX 配置本地HTTPS(双向认证)
- 8. nginx 配置 https 的双向认证
- 9. nginx代理Https单向认证和双向认证
- 10. HTTPS双向认证配置
- 更多相关文章...
- • PHP 面向对象 - PHP教程
- • Lua 面向对象 - Lua 教程
- • IntelliJ IDEA代码格式化设置
- • 算法总结-双指针
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. python的安装和Hello,World编写
- 2. 重磅解读:K8s Cluster Autoscaler模块及对应华为云插件Deep Dive
- 3. 鸿蒙学习笔记2(永不断更)
- 4. static关键字 和构造代码块
- 5. JVM笔记
- 6. 无法启动 C/C++ 语言服务器。IntelliSense 功能将被禁用。错误: Missing binary at c:\Users\MSI-NB\.vscode\extensions\ms-vsc
- 7. 【Hive】Hive返回码状态含义
- 8. Java树形结构递归(以时间换空间)和非递归(以空间换时间)
- 9. 数据预处理---缺失值
- 10. 都要2021年了,现代C++有什么值得我们学习的?
欢迎关注本站公众号,获取更多信息
