L96

双向认证SSL指令示列

对下游使用证书指令

Syntax: ssl_certificate file;
Default:
Context: httpserver
Syntax: ssl_certificate_key file;
Default:
Context: httpserver

代码示列 首先需要将 ngx_http_ssl_module编译进nginx 一般证书可以动态生成 详见 SSL证书生成方式

listen  ssl; # managed by Certbot
 ssl_certificate /etc/letsencrypt/live/shoppas.com.cn/fullchain.pem; # managed by Certbot
 ssl_certificate_key /etc/letsencrypt/live/shoppas.com.cn/privkey.pem; # managed by Certbot
 include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
 ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

如何验证下游证书

Syntax: ssl_client_certificate file;
Default:
Context: httpserver
Syntax: ssl_verify_client on | off | optional | optional_no_ca;
Default: 
ssl_verify_client off;
Context: httpserver

如何对上游使用证书 如果需要链接上游 可以在location设置独立的证书

Syntax: proxy_ssl_certificate file;
Default:
Context: httpserverlocation
Syntax: proxy_ssl_certificate_key file;
Default:
Context: httpserverlocation

如何验证上游的证书

Syntax: proxy_ssl_trusted_certificate file;
Default:
Context: httpserverlocation
Syntax: proxy_ssl_verify on|off;
Default: 
proxy_ssl_verify off;
Context: httpserverlocation

SSL模块提供的变量

  • ssl_cipher : 本次通讯选用的安全套件
  • ssl_ciphers : 客户端支持的所有安全套件
  • ssl_protocal : 本次通讯选用的 TLS 版本
  • ssl_curves:客户端支持的椭圆曲线

证书

  •   ssl_client_raw_cert: 原始客户端证书内容
  •   ssl_client_escaped_cert:返回客户端证书做urlencode编码后的内容
  •   ssl_client_cert:对客户端证书每一行内容前加tab制表符空白,增强可读性
  •   ssl_client_fingerprint:客户端证书的SHA1指纹

证书结构化信息

  •   ssl_server_name 通过TLS插件SNI获取到服务域名
  •   ssl_client_i_dn 依据RFC2253获取到证书issuer nd信息 如: CN=...,O=...,L=...,C=..,
  •   ssl_client_i_dn_legacy 依据RFC2253获取到证书issuer nd信息 如: /CN=.../O=.../L=.../C=...
  •   ssl_client_s_dn  依据RFC2253获取到证书subject dn信息
  •   ssl_client_s_dn_legacy   依据RFC2253获取到证书subject dn信息 格式不一样而已

证书有效期

  •   ssl_client_v_end 返回客户端正式的过期时间
  •   ssl_client_v_ramain 返回还有多少天客户端证书过期
  •   ssl_client_v_start 客户端证书颁发时间

链接有效性

  ssl_client_serial 返回连接上客户端证书的序列号

  ssl_early_data 在TLS1.3协议中使用early data且握手未完成返回1 否则返回空字符串

  ssl_client_verify 如果验证失败为FAILED原因 如果没有验证证书则为NONE 验证成功为SUCCESS

  ssl_session_id 已经建立连接的sessionId

  ssl_session_reused 如果session被复用 则为r 否则为.

创建证书示列

创建根证书

  创建CA私钥命令 : openssl genrsa -out ca.key 2048

  创建CA公钥 :openssl req -new -x509 -days 3650 -key ca.key -out ca.crt  //后面可能让输入很多选项 比如国家 城市 等

签发证书

  创建私钥

  openssl genrsa -out a.pem 1024 //创建证书a

  openssl rsa -in a.pem -out a.key //创建a证书的公钥

  生成签发请求

  openssl req -new -key a.pem -out a.csr //针对a证书做签发

  使用CA证书进行签发

  openssl x509 -req -sha256 -in a.csr -CA ca.crt -CAKey ca.key -CAcreateserial -days 3650 -out a.crt //使用ca证书来签发a证书

  验证签发证书是否正确

  openssl verify -CAfile ca.crt a.crt

Nginx 对上游使用SSL链接的更多相关文章

  1. Ubuntu Nginx下配置网站ssl实现https访问

    最近在看  HTTP权威指南   看到介绍了HTTPS的ssl,自己就动手测试了下,将步骤记录下 HTTPS简介 什么是HTTPS?百科是这样解释的.HTTPS(全称:Hyper Text Trans ...

  2. Nginx集群之SSL证书的WebApi微服务

    目录 1       大概思路... 1 2       Nginx集群之SSL证书的WebApi微服务... 1 3       HTTP与HTTPS(SSL协议)... 1 4       Ope ...

  3. Nginx集群之SSL证书的WebApi身份验证

    目录 1       大概思路... 1 2       Nginx集群之SSL证书的WebApi身份验证... 1 3       AuthorizeAttribute类... 2 4       ...

  4. Nginx集群之SSL证书的WebApi令牌验证

    目录 1       大概思路... 1 2       Nginx集群之SSL证书的WebApi令牌验证... 1 3       Openssl生成SSL证书... 2 4       编写.NE ...

  5. Linux下Nginx配置阿里云 SSL证书实现HTTPS访问

    这篇文章主要介绍了nginx配置ssl证书实现https访问的示例 1.服务器系统:Centos 2. 阿里云申请SSL证书 选择“免费版DV SSL”,点击立即购买: 下载证书 列表中找到已签发的证 ...

  6. nginx:[emerg]unknown directive "ssl"

    nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/nginx.conf:102 到解压的nginx目录 ...

  7. Nginx 接受上游缓存流程

    L:101 这个指令主要是由上游服务器来决定是否缓存 详见博客Nginx 针对上游服务器缓存

  8. Nginx 当上游服务器返回失败时的处理办法

    陶辉95课 Syntax: proxy_next_upstream error | timeout | invalid_header | http_500 | http_502 | http_503  ...

  9. Linux 搭建Nginx并添加配置 SSL 证书

    1. 安装准备   1.1 gcc安装 安装 nginx 需要先将官网下载的源码进行编译,编译依赖 gcc 环境,如果没有 gcc 环境,则需要安装: [root@nginx ~]# yum -y i ...

随机推荐

  1. Gym101237C The Palindrome Extraction Manacher、SAM、倍增

    传送门 假设字符串\(B,D\)满足\(|B| \geq |D|\),那么一定会有\(B=rev(D)+T\),其中\(T\)是一个回文串. 考虑枚举回文串\(T\)的中心\(p\),找到以\(p\) ...

  2. 体验usually.js的管道函数——pipe函数

    体验usually.js的管道函数——pipe函数 usually.js 是一个面向现代 Web 开发的 JavaScript 函数库,基于 ES6 开发.最新版本2.4.1,最新版本usually. ...

  3. 如何用CSS3画出一个立体魔方?

    前言 最近在写<动画点点系列>文章,上一期分享了< 手把手教你如何绘制一辆会跑车 >,本期给大家带来是结合CSS3画出来的一个立体3d魔方,结合了js让你随心所欲想怎么转,就怎 ...

  4. 无线网络中信噪比(SNR)计算

    信噪比(S/N)=log[信号功率密度/噪声功率密度] a =log[信号功率密度]-log[噪声功率密度] 例如,接收端的信号功率密度为-63dBm,噪声的信号功率密度为-95dBm,则: 信噪比( ...

  5. 使用insert ignore来避免向数据库重复插入数据

    mysql中 insert ignore 的使用示例如下: INSERT IGNORE INTO `table_name` (`reportid`, `content`) VALUES (‘11111 ...

  6. POJ - 3264 线段树模板题 询问区间最大最小值

    这是线段树的一个模板题,给出一串数字,然后询问区间的最大最小值. 这个其实很好办,只需把线段树的节点给出两个权值,一个是区间的最小值,一个是区间的最大值,初始化为负无穷和正无穷,然后通过不断地输入节点 ...

  7. Of Study

    Bacon Reading maketh a full man; conference a ready man; and writing an exact man. And therefore, if ...

  8. Linux下破解pycharm

    1.下载 https://pan.baidu.com/s/119UO4SGIEW_cxf0LmZzx3w 并将 JetbrainsCrack-3.1-release-enc.jar 放置到 pycha ...

  9. py使用笔记-pandas函数

    1,nan替换为0df = df(np.nan, 0, regex=True)2.inf替换为0df= df(np.inf, 0.0, regex=True)3.从数据库读取数据到dataframei ...

  10. Android下的软件合集

    在平常使用Android手机的时候,选择一个好的软件可以做到事半功倍的效果,所以在此总结一下,加速我们的工作与生活效率 1) ConnectBot ConnectBot是一个Android操作系统上的 ...