一、自制https认证证书

  1. 制作CA证书

    A. 生成CA私钥:openssl genrsa -des3 -out ca.key 2048,注意要输入两次密码,若去除密码使用openssl rsa -in ca.key -out ca.key;

    B. 生成请求文件:openssl req -new -key ca.key -out ca.csr -subj "/C=CN/ST=HuBei/L=WuHan/O=dev/OU=dev/CN=rhxy",注意有可能报错,原因是默认 -config /usr/ssl/openssl.cnf,通过openssl version -a查看配置;

    C. 生成CA证书:openssl x509 -req -days 730 -in ca.csr -signkey ca.key -out ca.crt;

  2. 制作Server端证书

    A. 生成服务端私钥:openssl genrsa -des3 -out server.key 2048;

    B. 生成服务端公钥:openssl rsa -in server.key -pubout -out server.pem;

    C. 生成请求文件:openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=HuBei/L=WuHan/O=dev/OU=dev/CN=rhxy"

    D. 生成服务端带有CA签名的证书:openssl x509 -req -days 730 -CA ca.crt -CAKey ca.key -CAcreateserial -in server.csr -out server.crt;

  3. 制作Client端证书  

    A. 生成客户端私钥:openssl genrsa -des3 -out client.key 2048;

    B. 生成客户端公钥:openssl rsa -in client.key -pubout -out client.pem;

    C. 生成请求文件:openssl req -new -key client.key -out client.csr -subj "/C=CN/ST=HuBei/L=WuHan/O=dev/OU=dev/CN=rhxy"

    D. 生成客户端带有CA签名的证书:openssl x509 -req -days 730 -CA ca.crt -CAKey ca.key -CAcreateserial -in client.csr -out client.crt;

    注意:windows上安装的证书需要pfx/p12格式:openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

  4. 自签名证书和私有CA签名的证书区别

    A. 自签名证书无法吊销,而私有CA签名的证书可以吊销;

二、配置单向认证

  1. 放置服务端证书文件:涉及server.key、server.crt文件放入conf.d/cert目录下;

  2. 更改nginx配置并重启:./nginx -s reload;

server {

    listen 443 ssl;
    listen [::]:443 ssl;

    server_name rhxy.com;

    ssl_certificate conf.d/cert/server.crt;

    ssl_certificate_key conf.d/cert/server.key;

    ssl_session_timeout 5m;
    ssl_protocols TLSv1.2 TLSv1.3;

    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

    ssl_prefer_server_ciphers on;


    location / {

        root html;

        index index.html index.htm;

    }

}

  3. 测试:在谷歌浏览器地址栏中输入url访问,会弹出不安全连接的警告,点击忽略,继续访问,即可访问相应资源;

三、配置双向认证

  1. 放置服务端证书文件:涉及server.key、server.crt、ca.crt文件放入conf.d/cert目录下;

  2. 更改nginx配置并重启:./nginx -s reload;



server {

    listen 443 ssl;
    listen [::]:443 ssl;

    server_name rhxy.com;

    ssl_certificate conf.d/cert/server.crt;

    ssl_certificate_key conf.d/cert/server.key;
   ssl_client_certificate conf.d/cert/ca.crt;

    ssl_session_timeout 5m;
    ssl_protocols TLSv1.2 TLSv1.3;

    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

    ssl_prefer_server_ciphers on;
   ssl_verify_client on;


    location / {

        root html;

        index index.html index.htm;

    }

}




  3. 导入客户端证书


    A. 打开浏览器,找到设置->隐私设置和安全性->安全->管理证书,将client.pfx导入浏览器中;




    B. 重启浏览器:导入成功后需要关闭浏览器再重启,然后访问会弹出提示,单击对应证书就可以正常访问了;


可参考:SSL/TLS认证详解
												


											
Nginx 配置https的单向或双向认证的更多相关文章
	

    
						
  1. nginx配置ssl加密(单双向认证、部分https)
		
    nginx配置ssl加密(单双向认证.部分https) nginx下配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番.一开始 ...
    
		
    2. 
						
  2. [转帖]nginx配置ssl加密(单/双向认证、部分https)
		
    nginx配置ssl加密(单/双向认证.部分https) https://segmentfault.com/a/1190000002866627   nginx下配置ssl本来是很简单的,无论是去认证 ...
    
		
    3. 
						
  3. nginx配置ssl加密(单/双向认证、部分https)
		
    nginx下配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番.一开始采用的是全站加密,所有访问http:80的请求强制转换( ...
    
		
    4. 
						
  4. nginx配置SSL实现服务器/客户端双向认证
		
    http://blog.csdn.net/kunoy/article/details/8239653 本人不才,配置了两天,终于搞出来了,结合网上诸多博文,特此总结一下! 配置环境: Ubuntu 1 ...
    
		
    5. 
						
  5. nginx配置https双向验证(ca机构证书+自签证书)
		
    nginx配置https双向验证 服务端验证(ca机构证书) 客户端验证(服务器自签证书) 本文用的阿里云签发的免费证书实验,下载nginx安装ssl,文件夹有两个文件 这两个文件用于做服务器http ...
    
		
    6. 
						
  6. 基于openssl的单向和双向认证
		
    1.前言 最近工作涉及到https,需要修改nginx的openssl模块,引入keyless方案.关于keyless可以参考CloudFlare的官方博客: https://blog.cloudfl ...
    
		
    7. 
						
  7. nginx 配置https并自签名证书
		
    2016-10-28 转载请注明出处:http://daodaoliang.com/ 作者: daodaoliang 版本: V1.0.1 邮箱: daodaoliang@yeah.net 参考链接: ...
    
		
    8. 
						
  8. Nginx 配置 HTTPS 服务器
		
    Nginx 配置 HTTPS 服务器 Chrome 浏览器地址栏标志着 HTTPS 的绿色小锁头从心理层面上可以给用户专业安全的心理暗示,本文简单总结一下如何在 Nginx 配置 HTTPS 服务器, ...
    
		
    9. 
						
  9. Nginx配置Https
		
    1.申请证书: https://console.qcloud.com/ssl?utm_source=yingyongbao&utm_medium=ssl&utm_campaign=qc ...
    
		
    10. 
						
  10. 【转】Linux下nginx配置https协议访问的方法
		
    一.配置nginx支持https协议访问,需要在编译安装nginx的时候添加相应的模块--with-http_ssl_module 查看nginx编译参数:/usr/local/nginx/sbin/ ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. 组建LAN
			
    推荐 cisco packet tracer 软件,可以画拓扑图,组件局域网等. ---------------------------------- 物联网:世界上很多物体的连接.物联网与现有的互联 ...
    
			
    2. 
						
  2. vue 中使用 XLSX  和 xlsx-style 实现前端下载Excel表格
			
    import XLSX from "xlsx-style"  //ps  需要修改源码:在\node_modules\xlsx-style\dist\cpexcel.js 807行 ...
    
			
    3. 
						
  3. 常用ansible命令梳理
			
    命令的具体格式 : ansible <host-pattern> [-f forks] [-m module_name] [-a args] 场景 命令 查询线上所有机器某个文件的含有某个 ...
    
			
    4. 
						
  4. 在springboot使用jsp
			
    在springboot配置jsp环境 在pom.xml中添加配置依赖 内容如下: <dependency> <groupId>org.springframework.boot& ...
    
			
    5. 
						
  5. StarRC 转XRC flow
			
    抽取寄生参数是我们工作中经常做的事情,目前来说三家EDA 都有抽取工具,分别是StarRC, XRC,QRC,其中QRC现在有个升级版本Quantus,但是由于calibre在DRC 和LVS方面太强 ...
    
			
    6. 
						
  6. CSMA/CA多路复用、载波监听、冲突避免
			
    CSMA/CA是避免各站点之间数据传输冲突的算法,其特点是发送包的同时不能检测到信道上有无冲突,只能尽量"避免".例如,如果计算机A和计算机C同时给计算机B发送一个控制消息,它们将 ...
    
			
    7. 
						
  7. PyTorch Live get started from Windows
			
    〇. PyTorch Live https://pytorch.org/live/docs/tutorials/get-started-manually/ 以下 命令 建议都用 以管理员身份运行的 P ...
    
			
    8. 
						
  8. SVN: E155004: THERE ARE UNFINISHED WORK ITEMS IN ''; RUN 'SVN CLEANUP' FIRST
			
    eclipse的SVN更新或者还原都报错 使用clean up也不好用 解决办法 通过网址https://www.sqlite.org/download.html下载这个软件 解压放到.svn文件夹下 ...
    
			
    9. 
						
  9. GUI程序设计--班级信息收集系
			
    import wx from python实验2 import classinformation class MyFrame(wx.Frame): def __init__(self,parent,i ...
    
			
    10. 
						
  10. 大小写字符转换【Sql Server和C#两种写法】
			
    案例:Var Str = "abdCnd" 如何将Str = "ABDCND"? Sql Server写法:upper(Str)   ==>  Lower ...
    
			
    11.