一、自制https认证证书

  1. 制作CA证书

    A. 生成CA私钥:openssl genrsa -des3 -out ca.key 2048,注意要输入两次密码,若去除密码使用openssl rsa -in ca.key -out ca.key;

    B. 生成请求文件:openssl req -new -key ca.key -out ca.csr -subj "/C=CN/ST=HuBei/L=WuHan/O=dev/OU=dev/CN=rhxy",注意有可能报错,原因是默认 -config /usr/ssl/openssl.cnf,通过openssl version -a查看配置;

    C. 生成CA证书:openssl x509 -req -days 730 -in ca.csr -signkey ca.key -out ca.crt;

  2. 制作Server端证书

    A. 生成服务端私钥:openssl genrsa -des3 -out server.key 2048;

    B. 生成服务端公钥:openssl rsa -in server.key -pubout -out server.pem;

    C. 生成请求文件:openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=HuBei/L=WuHan/O=dev/OU=dev/CN=rhxy"

    D. 生成服务端带有CA签名的证书:openssl x509 -req -days 730 -CA ca.crt -CAKey ca.key -CAcreateserial -in server.csr -out server.crt;

  3. 制作Client端证书  

    A. 生成客户端私钥:openssl genrsa -des3 -out client.key 2048;

    B. 生成客户端公钥:openssl rsa -in client.key -pubout -out client.pem;

    C. 生成请求文件:openssl req -new -key client.key -out client.csr -subj "/C=CN/ST=HuBei/L=WuHan/O=dev/OU=dev/CN=rhxy"

    D. 生成客户端带有CA签名的证书:openssl x509 -req -days 730 -CA ca.crt -CAKey ca.key -CAcreateserial -in client.csr -out client.crt;

    注意:windows上安装的证书需要pfx/p12格式:openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

  4. 自签名证书和私有CA签名的证书区别

    A. 自签名证书无法吊销,而私有CA签名的证书可以吊销;

二、配置单向认证

  1. 放置服务端证书文件:涉及server.key、server.crt文件放入conf.d/cert目录下;

  2. 更改nginx配置并重启:./nginx -s reload;

server {

    listen 443 ssl;
    listen [::]:443 ssl;

    server_name rhxy.com;

    ssl_certificate conf.d/cert/server.crt;

    ssl_certificate_key conf.d/cert/server.key;

    ssl_session_timeout 5m;
    ssl_protocols TLSv1.2 TLSv1.3;

    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

    ssl_prefer_server_ciphers on;


    location / {

        root html;

        index index.html index.htm;

    }

}

  3. 测试:在谷歌浏览器地址栏中输入url访问,会弹出不安全连接的警告,点击忽略,继续访问,即可访问相应资源;

三、配置双向认证

  1. 放置服务端证书文件:涉及server.key、server.crt、ca.crt文件放入conf.d/cert目录下;

  2. 更改nginx配置并重启:./nginx -s reload;



server {

    listen 443 ssl;
    listen [::]:443 ssl;

    server_name rhxy.com;

    ssl_certificate conf.d/cert/server.crt;

    ssl_certificate_key conf.d/cert/server.key;
   ssl_client_certificate conf.d/cert/ca.crt;

    ssl_session_timeout 5m;
    ssl_protocols TLSv1.2 TLSv1.3;

    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

    ssl_prefer_server_ciphers on;
   ssl_verify_client on;


    location / {

        root html;

        index index.html index.htm;

    }

}




  3. 导入客户端证书


    A. 打开浏览器,找到设置->隐私设置和安全性->安全->管理证书,将client.pfx导入浏览器中;




    B. 重启浏览器:导入成功后需要关闭浏览器再重启,然后访问会弹出提示,单击对应证书就可以正常访问了;


可参考:SSL/TLS认证详解
												


											
Nginx 配置https的单向或双向认证的更多相关文章
	

    
						
  1. nginx配置ssl加密(单双向认证、部分https)
		
    nginx配置ssl加密(单双向认证.部分https) nginx下配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番.一开始 ...
    
		
    2. 
						
  2. [转帖]nginx配置ssl加密(单/双向认证、部分https)
		
    nginx配置ssl加密(单/双向认证.部分https) https://segmentfault.com/a/1190000002866627   nginx下配置ssl本来是很简单的,无论是去认证 ...
    
		
    3. 
						
  3. nginx配置ssl加密(单/双向认证、部分https)
		
    nginx下配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番.一开始采用的是全站加密,所有访问http:80的请求强制转换( ...
    
		
    4. 
						
  4. nginx配置SSL实现服务器/客户端双向认证
		
    http://blog.csdn.net/kunoy/article/details/8239653 本人不才,配置了两天,终于搞出来了,结合网上诸多博文,特此总结一下! 配置环境: Ubuntu 1 ...
    
		
    5. 
						
  5. nginx配置https双向验证(ca机构证书+自签证书)
		
    nginx配置https双向验证 服务端验证(ca机构证书) 客户端验证(服务器自签证书) 本文用的阿里云签发的免费证书实验,下载nginx安装ssl,文件夹有两个文件 这两个文件用于做服务器http ...
    
		
    6. 
						
  6. 基于openssl的单向和双向认证
		
    1.前言 最近工作涉及到https,需要修改nginx的openssl模块,引入keyless方案.关于keyless可以参考CloudFlare的官方博客: https://blog.cloudfl ...
    
		
    7. 
						
  7. nginx 配置https并自签名证书
		
    2016-10-28 转载请注明出处:http://daodaoliang.com/ 作者: daodaoliang 版本: V1.0.1 邮箱: daodaoliang@yeah.net 参考链接: ...
    
		
    8. 
						
  8. Nginx 配置 HTTPS 服务器
		
    Nginx 配置 HTTPS 服务器 Chrome 浏览器地址栏标志着 HTTPS 的绿色小锁头从心理层面上可以给用户专业安全的心理暗示,本文简单总结一下如何在 Nginx 配置 HTTPS 服务器, ...
    
		
    9. 
						
  9. Nginx配置Https
		
    1.申请证书: https://console.qcloud.com/ssl?utm_source=yingyongbao&utm_medium=ssl&utm_campaign=qc ...
    
		
    10. 
						
  10. 【转】Linux下nginx配置https协议访问的方法
		
    一.配置nginx支持https协议访问,需要在编译安装nginx的时候添加相应的模块--with-http_ssl_module 查看nginx编译参数:/usr/local/nginx/sbin/ ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. tesseract-ocr 安装、语言库、使用 随记
			
    前几日才听说ocr的图片识别功能.觉得很有意思.先体验一下. 地址: GitHub - tesseract-ocr/tesseract: Tesseract Open Source OCR Engin ...
    
			
    2. 
						
  2. Docker 安装开发运行环境
			
    Centos7安装docker .参考官方网站 docker官方 1.1 使用以下命令即可 yum install -y yum-utils device-mapper-persistent-data ...
    
			
    3. 
						
  3. react native 中 fetch获取请求头header 的token信息
			
    首先说一句,所有请求,都要带一个token信息,很难受啊,我目前直接将token信息放在global下自定的属性里面.(本地存储Storage和AsyncStorage,取一下,好麻烦) global ...
    
			
    4. 
						
  4. 用windows 定时任务执行kettle的ktr文件,以及问题处理
			
    新建.bat文件,输入下面的批处理语句 d: cd D:\kettle\data-integration\ pan /file D:\etltest\EtltestTrans.ktr 第一行:进入你的 ...
    
			
    5. 
						
  5. 【根文件系统 】开发板通过nfs挂载ubuntu上的根文件系统
			
    在此基础上制作可用的根文件系统:https://www.cnblogs.com/hengqiu/p/15908597.html 1.ubuntu搭建nfs服务器 sudo apt-get instal ...
    
			
    6. 
						
  6. nginx 反向代理 (websocket)后报 - 400 bad request
			
    nginx的反向代理. nginx.conf中的配置如下: location / {        proxy_http_version                1.1;         pro ...
    
			
    7. 
						
  7. python_test_0001_base_string
			
    #!/usr/bin/python # -*- coding: UTF-8 -*- from lib_001_decorator_log_funcname import decorator_log_f ...
    
			
    8. 
						
  8. 【服务器数据恢复】ZFS文件系统下ZPOOL下线的数据恢复案例
			
    服务器数据恢复环境:SUN ZFS系列某型号存储阵列:40块磁盘组建的存储池(其中4块磁盘用作全局热备盘),池内划分出若干空间映射到服务器使用:服务器使用Windows操作系统. 服务器故障:服务器在 ...
    
			
    9. 
						
  9. SAP 附件功能 PRD环境无法删除  VIEW_ATTA
			
    如图:界面上面没有打勾确认按钮 解决方案:来源网址 How to disable, delete and edit buttons function in attachment list. | SAP ...
    
			
    10. 
						
  10. boolean布尔型盲注
			
    mysql中limit的详细用法 1.用于强制返回指定的记录行数 在查询中,经常要返回前几条或者中间某几行数据时,用到limit 语法如下 select * from table_name limit ...
    
			
    11.