NGINX配置https双向认证(自签一级证书)

最新推荐文章于 2025-06-19 10:23:42 发布
原创 最新推荐文章于 2025-06-19 10:23:42 发布 · 1.3k 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #https #运维

一 生成自签证书

以下是生成自签证书(包括服务端和客户端的证书)的步骤,以下命令执行两次,分别生成客户端和服务端证书和私钥。具体执行可以先建两个目录client和server,分别进入到这两个目录下执行下面的命令。

  1. 生成私钥
    首先,你需要生成一个私钥。通常使用RSA算法,你可以通过以下命令生成一个2048位的私钥:

    openssl genrsa -out private.key 2048

    这里private.key是你的私钥文件名。

  2. 生成证书签名请求(CSR)
    使用私钥生成一个证书签名请求(CSR)。在这一步,你需要提供一些组织和个人的信息。

    openssl req -new -key private.key -out csr.csr

    执行此命令后,OpenSSL会提示你输入一些信息,如国家代码(C)、州或省份(ST)、城市(L)、组织名称(O)、通用名称(CN)等。这些信息将被包含在你的CSR中。

  3. 生成自签证书
    最后,使用私钥和CSR生成自签证书。你可以指定证书的有效期。

    openssl x509 -req -days 365 -in csr.csr -signkey private.key -out certificate.crt

    -days 365表示证书有效期为365天。certificate.crt是生成的自签证书文件名。

  4. 验证证书
    你可以使用以下命令来验证生成的证书:

    openssl x509 -in certificate.crt -text -noout

    这个命令会显示证书的详细信息,确保所有信息都是正确的。

  5. (可选)生成PEM格式的证书链文件
    如果你需要将自签证书和中间证书(如果有的话)合并成一个PEM格式的文件,可以使用以下命令:

    cat certificate.crt intermediate.crt > chain.pem

    如果你只有一个自签证书,这一步可以跳过。

  6. 重命名证书
    利用上面的命令可以得到私钥[private.key]和证书[certificate.crt],为了区分服务端和客户端,将其重新命名为[private-client.key]/[certificate-client.crt]和[private-server.key]/[certificate-server.crt]

二 生成浏览器端验证时需要导入到windows中的pfx文件

使用以下命令将[private-client.key]/[certificate-client.crt]合并成一个PFX文件:

openssl pkcs12 -export -out certificate-client.pfx -inkey private-client.key -in certificate-client.crt -certfile certificate-client.crt

在这个命令中:

  • -out certificate-client.pfx 指定输出的PFX文件名。
  • -inkey private-client.key 指定私钥文件。
  • -in certificate-client.crt 指定证书文件。
  • -certfile certificate-client.crt 指定CA证书文件(如果你有中间证书或链证书,也需要包含在内),自签证书这里放了和-in一样的证书。
    执行命令后,OpenSSL会提示你输入一个密码来保护PFX文件。这个密码将在导入PFX文件时需要。

三 NGINX配置ssl证书

包括配置服务端证书、开启客户端证书验证、配置客户端证书的验证证书。

     server {
         listen       9443 ssl http2;
         listen       [::]:9443 ssl http2;
         server_name  xxx.xxx.cn;
         ssl_certificate "certificate-server.crt";
         ssl_certificate_key "private-server.key";
         ssl_client_certificate "certificate-client.crt";  # CA根证书路径,用于验证客户端证书
         ssl_verify_client on;  # 开启客户端证书验证
         ssl_session_cache shared:SSL:1m;
         ssl_session_timeout  10m;
         ssl_ciphers PROFILE=SYSTEM;
         ssl_prefer_server_ciphers on;
         include /etc/nginx/default.d/*.conf;
         location / {
             proxy_pass http://127.0.0.1:8081/;
         }
     }

四 在windows中导入pfx文件

直接双击pfx文件,按提示导入即可。导入过程需要输入密码。截取部分图片;
在这里插入图片描述
在这里插入图片描述

导入成功后可以在证书管理查看导入的证书
在这里插入图片描述

在这里插入图片描述
打开浏览器第一次访问服务时会让我们选择证书:
在这里插入图片描述

五 解决浏览器提示自签服务端证书不受信任问题

在这里插入图片描述
一般是将服务端证书导入到受信任的根证书中即可解决。
在这里插入图片描述

javajingling
关注
Java nginx https 双向认证
能写下来,理解才会更深
10-20 9472
最近要做个https 双向认证的,就做了个demo,踩了不少坑,记录一下. 主要还是对原理理解不够透彻,刚开始直接从网上搬个例子就用,结果大部分都不适用.
nginx配置https证书双向认证
itafeng
07-29 1903
目标 使用openssl生成证书配置nginx. 步骤 1. 生成服务端证书和客户端证书 2. 配置nginx并重启 3. 本地浏览器导入客户端证书 4. 测试验证 证书制作详细过程 # 1 创建目录 mkdir -p keys/private && mkdir -p keys/certs cd keys # 2 生成根证书: #生成根证书私钥 openssl genrsa...
nginx双向认证配置及验证-脚本实现制作证书过程及浏览器验证遇到的一些问题解决
u011285281的博客
09-29 2775
nginx实现mTLS双向认证,制作证书的过程,脚本实现制作证书,参数自己更改脚本里的变量
nginx配置https证书
qq_25096749的博客
01-07 743
2、在nginx中需要将 ca.crt 的内容追加到 server.crt 中,如下。1、在apache中配置https 需要三个证书,如下。2、443和80分开写的效果(推荐分开写)
nginx配置SSL域名证书(干货版)
最新发布
gardenia_a的博客
06-19 473
本文介绍了Nginx配置HTTPS服务的完整流程:1) 申请域名和SSL证书;2) 在default.conf中配置443端口监听,设置证书路径、加密协议和Gzip压缩;3) 保留原有80端口配置以实现HTTP访问;4) 包含API代理和/test测试接口的特殊配置;5) 提供证书验证方法,包括检查文件路径和使用openssl命令比对证书与私钥的MD5值。最后通过nginx -s reload重启服务,并给出了证书验证失败时的排查步骤。
Nginx配置https双向认证
热门推荐
happyzhang的Blog
11-20 1万+
1.      前期的准备工作: 安装openssl和nginxhttps模块 cd  ~/ mkdir ssl cd ssl mkdir demoCA cd demoCA mkdir newcerts mkdir private touch index.txt echo '01' > serial 2.      制作CA证书(这个是信任的起点,根证书,所有其他的证书都要
nginx 配置 https双向认证
CheerTan is here
10-11 2270
注意事项 配置双向认证,这里的common name需要都配置成不同 nginx 配置 https双向认证 1.准备工作 linux环境安装openssl 2.生成证书步骤 1.新建一个文件夹 mkdir /root/keys 2.生成CA私钥 ca.key openssl genrsa -out ca.key 4096 3.生成ca的数字证书 ca.crt openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Co
Nginx双向认证
weixin_44480960的博客
01-25 7160
Nginx双向认证 一、前言 参考链接 OPENSSL加密DSA,RSA介绍 客户端默认是相信权威CA机构的,操作系统内置了CA证书。 说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。 centos操作系统中被信任的证书一般在此文件中 cat /etc/pki/tls/certs/ca-bundle.crt 我们可以查看一下访问百度的一个通信过程 curl -v https://www.b
本地电脑基于nginxhttps单向认证双向认证(自制证书+nginx配置)保姆级
cshongye的专栏
09-22 3146
基于nginxhttps单向认证双向认证(自制证书+nginx配置)保姆级
详解Nginx SSL快速双向认证配置(脚本)
09-30
SSL双向认证是一种高级的安全策略,它不仅要求服务器验证客户端的身份,同时也要求客户端验证服务器的身份。 ### 一、SSL双向认证概念 在传统的SSL单向认证中,客户端只需验证服务器的身份,而服务器不验证客户端...
nginx https双向认证
mengting2040的博客
11-21 292
nginx https双向认证
Nginx Https 双向认证
猴子哥哥的博客
02-04 894
1 基础知识 1.1 单向认证 SSL 步骤 1、客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息 2、服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书 3、客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字名”,服务器证书上的域名是否和
自建CA实战之 《0x02 Nginx 配置 https双向认证
一条老萌新
11-26 1067
上一章节我们已经实现了Nginx配置https单向认证,主要场景为客户端验证服务端的身份,但是服务端不验证客户端的身份。本章节我们将实现Nginx配置https双向认证,主要场景为客户端验证服务端的身份,同时服务端也验证客户端的身份,简称双向认证双向认证的使用场景很多,比如我们在使用网银的U盾登录的时候,就是使用的双向认证,客户端验证服务端的身份,同时服务端也验证客户端的身份。
nginx实现双向认证
qq_41937509的博客
09-20 5152
如果手里面只有通过正规途径申请下来的证书(而不是上面自证做法), 得到的证书如下面所示, 这里只有服务端证书而没有服务端和根证书, 所以仍需要我们以自证的方式生成根证书以及客户端证书配置的主要内容是配置了服务器端证书的公钥私钥以及根证书的公钥, 并且ssl_verify_client 参数设置为 on。如果客户端证书不是由根证书直接颁发的,配置中还需要加一个配置:ssl_verify_depth 1;server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成。
nginx配置双向认证
weixin_33841722的博客
01-22 293
实现的功能:外网访问nginx证书才能打开页面,无证书打不开页面一、在192.168.13.45安装nginxapt-get install nginx二、配置生成ca的参数mkdir-pv/etc/nginx/ca cd/etc/nginx/ca mkdir-pvmkdirnewcertsprivateconfserver cdconf vimop...
Nginx配置 https 证书
strivew的博客
03-03 1万+
1.阿里云创建免费SSL证书 2.证书申请 3.填写相关信息执行下一步 4.DNS控制台添加解析 5.下载证书(这里选择的是Nginx)
nginx 配置https证书
daizikui的博客
11-18 680
在哪个云服务商买服务器就在哪个服务商那里申请证书,一般有免费试用的证书可以申请,也可以购买证书。6,添加nginx配置文件/etc/nginx/conf.d/https.conf。4,下载证书文件上传到/etc/nginx/key/目录下。# 转发80端口请求到443端口。
Nginx开启TLS双向认证流程及配置
ChinaCpp666的博客
05-28 3726
是一种可选的优化方案,可以减少握手的长度。它通常用于客户端和服务器之间已经建立了信任的情况下。是客户端和服务器共同协商生成的一个用于加密通信数据的对称密钥。是临时性的,只在会话期间存在,不会存储在客户端或服务器上。的长度通常为256位,但这取决于所使用的密码套件。被泄露,攻击者可能会窃听或篡改通信数据。是否会存储在客户端或服务器上?被泄露,会有什么后果?在TLS握手过程中,
nginx 双向https
01-11
### 实现Nginx双向HTTPS客户端证书验证 为了在Nginx中启用双向HTTPS认证,即不仅服务器向客户端证明自己的身份,而且客户端也需要向服务器提交合法的身份凭证——这通常通过SSL/TLS协议中的X.509数字证书机制来达成。具体操作如下: #### 创建必要的证书和密钥 创建一个安全的环境首先涉及到生成根CA(Certificate Authority)、服务器以及客户端所需的证书与私钥。 对于根CA而言,在命令行工具OpenSSL的帮助下执行以下指令可以生成自名的根CA证书及其对应的私钥[^3]: ```bash openssl genrsa -out ca.key 2048 openssl req -new -x509 -days 365 -key ca.key -out ca.crt ``` 接着为服务器准备相应的证书和私钥组合,同样利用上述提到的OpenSSL工具集完成这一过程: ```bash openssl genrsa -out server.key 2048 openssl req -new -key server.key -out server.csr openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt ``` 最后一步是为客户机建立专属的证书/私钥对用于后续的身份确认流程之中: ```bash openssl genrsa -out client.key 2048 openssl req -new -key client.key -out client.csr openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 02 -out client.crt ``` #### 修改Nginx配置文件支持双向TLS握手 编辑位于`nginx.conf`内的虚拟主机部分,加入特定参数以激活并定制化针对来访者的额外审查措施。确保已指定了正确的路径指向之前所制备好的各类证件材料,并开启强制性的客户方凭据检验开关[^1]。 以下是适用于大多数场景下的典型配置片段示例: ```nginx server { listen 443 ssl; server_name localhost; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; # 客户端证书验证所需的相关设置 ssl_client_certificate /path/to/ca.crt; # CA颁发机构的公共证书 ssl_verify_client on; # 开启客户端证书验证 location / { root html; index index.html index.htm; } } ``` 以上配置意味着每当有新的HTTP请求到达时,Nginx都会检查是否存在由可信源发的有效用户级电子身份证件;如果没有找到合适的匹配项,则拒绝继续处理直至获得适当授权为止[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值