Nginx配置客户端SSL双向认证

对于 NGINX 的 HTTPS 配置，一般状况下咱们只须要实现服务端认证就行，由于浏览器内置了一些受信任的证书颁发机构（CA），服务器端只须要拿到这些机构颁发的证书并配置好，浏览器会本身校验证书的可用性并经过 SSL 进行通信加密。

但特殊状况下咱们也须要对客户端进行验证，只有受信任的客户端才能使用服务接口，此时咱们就须要启用双向认证来达到这个目的，只有 当客户端请求带了可用的证书才能调通服务端接口 。

CA 与自签名

CA 是权威机构才能作的，而且若是该机构达不到安全标准就会被浏览器厂商“封杀”，前不久的沃通、StartSSL 就被 Mozilla、Chrome 封杀了。不过这并不影响咱们进行双向认证配置，由于咱们是自建 CA 的..

为了方便，咱们就在 NGINX 的目录下进行证书相关制做：

建立相关目录

#mkdir ssl

#cd ssl

制做 CA 私钥

#openssl genrsa -out ca.key 2048

制做 CA 根证书（公钥）

#openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

服务器端证书

制做服务端私钥

#openssl genrsa -out server.pem 1024

#openssl rsa -in server.pem -out server.key

生成签发请求

#openssl req -new -key server.pem -out server.csr

用 CA 签发

#openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt

客户端证书

和服务端证书制做同样。

 

至此须要的证书都弄好了，如今开始配置Nginx。

部分主要配置：

server{

　　ssl on;

　　ssl_certificate ssl/server.crt; #server公钥

　　ssl_certificate_key ssl/server.key; #server私钥

　　ssl_client_certificate ssl/ca.crt; #根级证书公钥，用于验证各个二级client

　　ssl_verify_client on;

}

配置好后就就从新reload nginx。

 

请求验证

一、浏览器验证

因为是双向认证，直接经过浏览器访问https地址是被告知400 Bad Request（No required SSL certificate was sent）的，须要在本机安装client证书。

windows上安装的证书须要pfx格式，也叫p12格式，生成方式以下：

openssl pkcs12 -export -inkey ssl/client.key -in ssl/client.crt -out ssl/client.pfx #执行后会提示输入密码（用于安装使用的）

而后考到windows中双击便可进行安装，安装时会提示输入生成证书时设置的密码。

安装成功后，重启浏览器输入网址访问，浏览器可能会提示你选择证书，选择刚才安装的那个证书便可。

此时有些浏览器会提示用户该证书不受信任，地址不安全之类，这是由于咱们的server证书是咱们本身颁发的，而非真正的权威CA机构颁布，忽略它既可。

二、CURL验证

执行curl命令，带上证书，可是有些问题，貌似是curl自己的问题，这里就不研究了，应为用浏览器已经验证经过。

相关命令：

curl -k --cert ssl/client.crt --key client.key https://ip:443