L96

双向认证SSL指令示列

对下游使用证书指令

Syntax: ssl_certificate file;
Default:
Context: httpserver
Syntax: ssl_certificate_key file;
Default:
Context: httpserver

代码示列 首先需要将 ngx_http_ssl_module编译进nginx 一般证书可以动态生成 详见 SSL证书生成方式

listen  ssl; # managed by Certbot
 ssl_certificate /etc/letsencrypt/live/shoppas.com.cn/fullchain.pem; # managed by Certbot
 ssl_certificate_key /etc/letsencrypt/live/shoppas.com.cn/privkey.pem; # managed by Certbot
 include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
 ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

如何验证下游证书

Syntax: ssl_client_certificate file;
Default:
Context: httpserver
Syntax: ssl_verify_client on | off | optional | optional_no_ca;
Default: 
ssl_verify_client off;
Context: httpserver

如何对上游使用证书 如果需要链接上游 可以在location设置独立的证书

Syntax: proxy_ssl_certificate file;
Default:
Context: httpserverlocation
Syntax: proxy_ssl_certificate_key file;
Default:
Context: httpserverlocation

如何验证上游的证书

Syntax: proxy_ssl_trusted_certificate file;
Default:
Context: httpserverlocation
Syntax: proxy_ssl_verify on|off;
Default: 
proxy_ssl_verify off;
Context: httpserverlocation

SSL模块提供的变量

  • ssl_cipher : 本次通讯选用的安全套件
  • ssl_ciphers : 客户端支持的所有安全套件
  • ssl_protocal : 本次通讯选用的 TLS 版本
  • ssl_curves:客户端支持的椭圆曲线

证书

  •   ssl_client_raw_cert: 原始客户端证书内容
  •   ssl_client_escaped_cert:返回客户端证书做urlencode编码后的内容
  •   ssl_client_cert:对客户端证书每一行内容前加tab制表符空白,增强可读性
  •   ssl_client_fingerprint:客户端证书的SHA1指纹

证书结构化信息

  •   ssl_server_name 通过TLS插件SNI获取到服务域名
  •   ssl_client_i_dn 依据RFC2253获取到证书issuer nd信息 如: CN=...,O=...,L=...,C=..,
  •   ssl_client_i_dn_legacy 依据RFC2253获取到证书issuer nd信息 如: /CN=.../O=.../L=.../C=...
  •   ssl_client_s_dn  依据RFC2253获取到证书subject dn信息
  •   ssl_client_s_dn_legacy   依据RFC2253获取到证书subject dn信息 格式不一样而已

证书有效期

  •   ssl_client_v_end 返回客户端正式的过期时间
  •   ssl_client_v_ramain 返回还有多少天客户端证书过期
  •   ssl_client_v_start 客户端证书颁发时间

链接有效性

  ssl_client_serial 返回连接上客户端证书的序列号

  ssl_early_data 在TLS1.3协议中使用early data且握手未完成返回1 否则返回空字符串

  ssl_client_verify 如果验证失败为FAILED原因 如果没有验证证书则为NONE 验证成功为SUCCESS

  ssl_session_id 已经建立连接的sessionId

  ssl_session_reused 如果session被复用 则为r 否则为.

创建证书示列

创建根证书

  创建CA私钥命令 : openssl genrsa -out ca.key 2048

  创建CA公钥 :openssl req -new -x509 -days 3650 -key ca.key -out ca.crt  //后面可能让输入很多选项 比如国家 城市 等

签发证书

  创建私钥

  openssl genrsa -out a.pem 1024 //创建证书a

  openssl rsa -in a.pem -out a.key //创建a证书的公钥

  生成签发请求

  openssl req -new -key a.pem -out a.csr //针对a证书做签发

  使用CA证书进行签发

  openssl x509 -req -sha256 -in a.csr -CA ca.crt -CAKey ca.key -CAcreateserial -days 3650 -out a.crt //使用ca证书来签发a证书

  验证签发证书是否正确

  openssl verify -CAfile ca.crt a.crt

Nginx 对上游使用SSL链接的更多相关文章

  1. Ubuntu Nginx下配置网站ssl实现https访问

    最近在看  HTTP权威指南   看到介绍了HTTPS的ssl,自己就动手测试了下,将步骤记录下 HTTPS简介 什么是HTTPS?百科是这样解释的.HTTPS(全称:Hyper Text Trans ...

  2. Nginx集群之SSL证书的WebApi微服务

    目录 1       大概思路... 1 2       Nginx集群之SSL证书的WebApi微服务... 1 3       HTTP与HTTPS(SSL协议)... 1 4       Ope ...

  3. Nginx集群之SSL证书的WebApi身份验证

    目录 1       大概思路... 1 2       Nginx集群之SSL证书的WebApi身份验证... 1 3       AuthorizeAttribute类... 2 4       ...

  4. Nginx集群之SSL证书的WebApi令牌验证

    目录 1       大概思路... 1 2       Nginx集群之SSL证书的WebApi令牌验证... 1 3       Openssl生成SSL证书... 2 4       编写.NE ...

  5. Linux下Nginx配置阿里云 SSL证书实现HTTPS访问

    这篇文章主要介绍了nginx配置ssl证书实现https访问的示例 1.服务器系统:Centos 2. 阿里云申请SSL证书 选择“免费版DV SSL”,点击立即购买: 下载证书 列表中找到已签发的证 ...

  6. nginx:[emerg]unknown directive "ssl"

    nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/nginx.conf:102 到解压的nginx目录 ...

  7. Nginx 接受上游缓存流程

    L:101 这个指令主要是由上游服务器来决定是否缓存 详见博客Nginx 针对上游服务器缓存

  8. Nginx 当上游服务器返回失败时的处理办法

    陶辉95课 Syntax: proxy_next_upstream error | timeout | invalid_header | http_500 | http_502 | http_503  ...

  9. Linux 搭建Nginx并添加配置 SSL 证书

    1. 安装准备   1.1 gcc安装 安装 nginx 需要先将官网下载的源码进行编译,编译依赖 gcc 环境,如果没有 gcc 环境,则需要安装: [root@nginx ~]# yum -y i ...

随机推荐

  1. Keil软件常见配置

    1.tab键占据字节数 Edit-->Configuration-->Tab Size-->安装上默认2个空格,这里改为4,符合通用代码编辑器的处理. 2.编码配置 Edit--&g ...

  2. BZOJ 5306 [HAOI2018] 染色

    BZOJ 5306 [HAOI2018] 染色 首先,求出$N$个位置,出现次数恰好为$S$的颜色至少有$K$种. 方案数显然为$a_i=\frac{n!\times (m-i)^{m-i\times ...

  3. Vue文件中引入img 路径写法

    把图片路径写在data里面,然后渲染模板的两种方式 方案1.在data使用require将图片进入,写法如下 logo: require('../asset/admin/logo.png')  在模板 ...

  4. 自己制作Chrome便携版实现多版本共存

    本文只针对Windows下的Chrome浏览器的使用. 有时候我们需要使用老版本Chrome,或者仅仅体验一下最新版. 上古时代有IETester用来测试多个IE版本,和本机的IE不冲突. Chrom ...

  5. 使用 IIS 在 Windows 上托管 ASP.NET Core2.0

    准备: 操作系统:Windows Server 2008 R2 或更高版本 开发环境:VS2017 第一步:新建项目ASP.NET Core Web应用程序 在 Visual Studio 中,选择“ ...

  6. 个人实战演练全过程——No.1 最大连续子数组求和

    之前的一次个人总结和一次单元测试入门学习是开启软件工程课程的前奏曲,也是热身,现在大家对于这门课程也有了初步的了解和认识,这次要开始真正的演奏了,要从头到尾完全靠自己的能力来解决一个问题,进行实战演练 ...

  7. nodejs源码编译-mipse64el架构

    下载nodejs,node-v6.1.0.tar.gz 链接: https://pan.baidu.com/s/1eCtNBWD5yaKiQIHp3pRKew 提取码: faun 注意对应版本的gcc ...

  8. 简单的将Excel数据同步到SqlServer数据库中

    1.创建一个WinForm程序,添加一个Button控件 2.Button事件 private void button1_Click(object sender, EventArgs e) { Sys ...

  9. win8.1系统下安装ubuntu实现双系统实践教程

    寒假闲来无事,一程序猿哥们给发了一个linux的shell编程指南,看了几张感觉不错.于是装一个试试. 没想到一装才知道了那么的问题. 下面开始: step 1: 软件准备:Ubuntu 系统镜像,这 ...

  10. H5 66-清除浮动方式二

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...