L96

双向认证SSL指令示列

对下游使用证书指令

Syntax: ssl_certificate file;
Default:
Context: httpserver
Syntax: ssl_certificate_key file;
Default:
Context: httpserver

代码示列 首先需要将 ngx_http_ssl_module编译进nginx 一般证书可以动态生成 详见 SSL证书生成方式

listen  ssl; # managed by Certbot
 ssl_certificate /etc/letsencrypt/live/shoppas.com.cn/fullchain.pem; # managed by Certbot
 ssl_certificate_key /etc/letsencrypt/live/shoppas.com.cn/privkey.pem; # managed by Certbot
 include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
 ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

如何验证下游证书

Syntax: ssl_client_certificate file;
Default:
Context: httpserver
Syntax: ssl_verify_client on | off | optional | optional_no_ca;
Default: 
ssl_verify_client off;
Context: httpserver

如何对上游使用证书 如果需要链接上游 可以在location设置独立的证书

Syntax: proxy_ssl_certificate file;
Default:
Context: httpserverlocation
Syntax: proxy_ssl_certificate_key file;
Default:
Context: httpserverlocation

如何验证上游的证书

Syntax: proxy_ssl_trusted_certificate file;
Default:
Context: httpserverlocation
Syntax: proxy_ssl_verify on|off;
Default: 
proxy_ssl_verify off;
Context: httpserverlocation

SSL模块提供的变量

  • ssl_cipher : 本次通讯选用的安全套件
  • ssl_ciphers : 客户端支持的所有安全套件
  • ssl_protocal : 本次通讯选用的 TLS 版本
  • ssl_curves:客户端支持的椭圆曲线

证书

  •   ssl_client_raw_cert: 原始客户端证书内容
  •   ssl_client_escaped_cert:返回客户端证书做urlencode编码后的内容
  •   ssl_client_cert:对客户端证书每一行内容前加tab制表符空白,增强可读性
  •   ssl_client_fingerprint:客户端证书的SHA1指纹

证书结构化信息

  •   ssl_server_name 通过TLS插件SNI获取到服务域名
  •   ssl_client_i_dn 依据RFC2253获取到证书issuer nd信息 如: CN=...,O=...,L=...,C=..,
  •   ssl_client_i_dn_legacy 依据RFC2253获取到证书issuer nd信息 如: /CN=.../O=.../L=.../C=...
  •   ssl_client_s_dn  依据RFC2253获取到证书subject dn信息
  •   ssl_client_s_dn_legacy   依据RFC2253获取到证书subject dn信息 格式不一样而已

证书有效期

  •   ssl_client_v_end 返回客户端正式的过期时间
  •   ssl_client_v_ramain 返回还有多少天客户端证书过期
  •   ssl_client_v_start 客户端证书颁发时间

链接有效性

  ssl_client_serial 返回连接上客户端证书的序列号

  ssl_early_data 在TLS1.3协议中使用early data且握手未完成返回1 否则返回空字符串

  ssl_client_verify 如果验证失败为FAILED原因 如果没有验证证书则为NONE 验证成功为SUCCESS

  ssl_session_id 已经建立连接的sessionId

  ssl_session_reused 如果session被复用 则为r 否则为.

创建证书示列

创建根证书

  创建CA私钥命令 : openssl genrsa -out ca.key 2048

  创建CA公钥 :openssl req -new -x509 -days 3650 -key ca.key -out ca.crt  //后面可能让输入很多选项 比如国家 城市 等

签发证书

  创建私钥

  openssl genrsa -out a.pem 1024 //创建证书a

  openssl rsa -in a.pem -out a.key //创建a证书的公钥

  生成签发请求

  openssl req -new -key a.pem -out a.csr //针对a证书做签发

  使用CA证书进行签发

  openssl x509 -req -sha256 -in a.csr -CA ca.crt -CAKey ca.key -CAcreateserial -days 3650 -out a.crt //使用ca证书来签发a证书

  验证签发证书是否正确

  openssl verify -CAfile ca.crt a.crt

Nginx 对上游使用SSL链接的更多相关文章

  1. Ubuntu Nginx下配置网站ssl实现https访问

    最近在看  HTTP权威指南   看到介绍了HTTPS的ssl,自己就动手测试了下,将步骤记录下 HTTPS简介 什么是HTTPS?百科是这样解释的.HTTPS(全称:Hyper Text Trans ...

  2. Nginx集群之SSL证书的WebApi微服务

    目录 1       大概思路... 1 2       Nginx集群之SSL证书的WebApi微服务... 1 3       HTTP与HTTPS(SSL协议)... 1 4       Ope ...

  3. Nginx集群之SSL证书的WebApi身份验证

    目录 1       大概思路... 1 2       Nginx集群之SSL证书的WebApi身份验证... 1 3       AuthorizeAttribute类... 2 4       ...

  4. Nginx集群之SSL证书的WebApi令牌验证

    目录 1       大概思路... 1 2       Nginx集群之SSL证书的WebApi令牌验证... 1 3       Openssl生成SSL证书... 2 4       编写.NE ...

  5. Linux下Nginx配置阿里云 SSL证书实现HTTPS访问

    这篇文章主要介绍了nginx配置ssl证书实现https访问的示例 1.服务器系统:Centos 2. 阿里云申请SSL证书 选择“免费版DV SSL”,点击立即购买: 下载证书 列表中找到已签发的证 ...

  6. nginx:[emerg]unknown directive "ssl"

    nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/nginx.conf:102 到解压的nginx目录 ...

  7. Nginx 接受上游缓存流程

    L:101 这个指令主要是由上游服务器来决定是否缓存 详见博客Nginx 针对上游服务器缓存

  8. Nginx 当上游服务器返回失败时的处理办法

    陶辉95课 Syntax: proxy_next_upstream error | timeout | invalid_header | http_500 | http_502 | http_503  ...

  9. Linux 搭建Nginx并添加配置 SSL 证书

    1. 安装准备   1.1 gcc安装 安装 nginx 需要先将官网下载的源码进行编译,编译依赖 gcc 环境,如果没有 gcc 环境,则需要安装: [root@nginx ~]# yum -y i ...

随机推荐

  1. PayPal、支付宝诞生的故事 | 概述起源篇

    你知道第三方支付是如何由来的吗? 第三方支付概述 说起第三方支付,好像大家都知道,天天不是用支付宝和微信吗?支付宝和微信支付确实是行业内非常具有代表的第三方支付公司,但现在他们已经不完全是一家第三方支 ...

  2. Deno下一代Nodejs?Deno初体验

    前言 Ryan Dahl之父发布了新的项目Deno,很多IT媒体都使用了标题“下一代Nodejs”,首先我们看一下Deno的特性: 1.支持typescript (nodejs目前也支持). 2.无p ...

  3. COMCMS 微进阶篇,从0开始部署到Centos 7.4

    言:上一篇,我们介绍了,如何本地调试和部署到windows服务器. 本篇,将带大家,从0到1,开始部署到Centos系统上... 经过测试,可以完美支持Centos.这也是.net core 跨平台的 ...

  4. 在Linux的Windows子系统上(WSL)使用Docker(Ubuntu)

    背景 平时开发大部人都是在提供了高效GUI的window下工作,但是真正部署环境普遍都是在Linux中,所以为了让开发环境和部署环境统一,我们需要在windows模拟LInux环境,以前我们可能通过虚 ...

  5. 未安装Oracle客户端的服务器上,使用ASP.NET远程连接Oracle

    公司服务器一直都是使用 .NET+SQLSERVER的开发方式,有个项目需要进行读取远程Oracle的需求.由于oracle 基本不会,也是一边做一遍摸索. 首先是使用工具测试是否已经联通,因为之前用 ...

  6. mockjs使用

    /** * 使用mockjs来mock数据, 提供mock数据API接口 */ import Mock from 'mockjs' import data from './data.json' //注 ...

  7. 使用faker去构造一个User-Agent

    faker可以仿造各种各样的信息,可以使用faker去构造一个User-Agent from faker import Factory f = Factory.create() 'User-Agent ...

  8. ORACLE not available如何解决

    最近小弟在用sqlplus的是侯连接scott用户总是出现ORACLE not available于是在网上查看别人博客发现起始并没有别人所说的那么复杂 于是现在来发表一下自己的解决方案: 刚开始登入 ...

  9. Day10 Python基础之特殊函数(八)

    一些特殊函数 1.递归函数(recursion) 递归函数的定义:在函数内部,可以调用其他函数.如果一个函数在内部调用自身本身,这个函数就是递归函数. 递归函数的优点:是定义简单,逻辑清晰.理论上,所 ...

  10. [2017BUAA软工助教]案例分析小结

    BUAA案例分析小结 一.作业要求 http://www.cnblogs.com/jiel/p/7631784.html 二.统计数据 总人数 神策数据 博客园博客 必应词典 30 1 12 17 三 ...