国密NGINX(tengine)部署web测试

原创 已于 2025-06-21 14:23:43 修改 · 576 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #运维

于 2025-06-21 13:57:22 首次发布

1、安装tengine+tongsuo
https://www.tongsuo.net/docs/features/tengine
据官网介绍其国密套件是经过检测认证的。安装步骤按照官网流程走就行。
而gmssl之类的服务似乎存在试用期。

2、配置conf证书
下载签发的测试证书,也可自行签发,懒得折腾就直接下载测试:
https://www.tongsuo.net/docs/features/Tongsuo-SM2-2

vi /usr/local/tengine/conf/nginx.conf配置文件:

server {
    listen 443 ssl;
    server_name 110.4.1.1; #需修改为对应的网站域名

    # 启用NTLS。Tengine针对BabaSSL中的NTLS功能进行了适配,本文使用BabaSSL作为Tengine的底层密码库来实现通信加密的能力。
    enable_ntls on;

    # 配置国密算法签名证书
    ssl_sign_certificate cert/tong/server_sign.crt; #需修改为实际证书文件路径
    ssl_sign_certificate_key cert/tong/server_sign.key; #需修改为实际私钥文件路径

    # 配置国密算法加密证书
    ssl_enc_certificate cert/tong/server_enc.crt; #需修改为实际证书文件路径
    ssl_enc_certificate_key cert/tong/server_enc.key; #需修改为实际私钥文件路径

    # 配置RSA算法证书
    #ssl_certificate cert/tong/test_rsa.crt; #需修改为实际证书文件路径
    #ssl_certificate_key cert/tong/test_rsa.key; #需修改为实际私钥文件路径

    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout 5m;
    #略
    }

3、浏览器访问验证
仅配置/usr/local/tengine/conf/nginx.conf国密证书,普通chrome浏览器无法访问:
普通浏览器访问不支持协议
下载奇安信国密浏览器:
国密浏览器正常访问,ssl套件无误
在这里插入图片描述

如果没有国密SSL浏览器,打开了rsa证书验证可访问:
在这里插入图片描述

4、如果没有国密浏览器,命令行验证国密ssl:

wget https://curl.gmssl.cn/down/gmcurl_linux_x64
chmod +x gmcurl_linux_x64
./gmcurl_linux_x64 --gmssl -k https://ebssec.boc.cn

./gmcurl_linux_x64 --gmssl -k https://110.4.1.1

gm工具访问正常

5、参考资料:
https://curl.gmssl.cn/#v_about_sec3
https://www.tongsuo.net/docs/features/tengine
国密浏览器:
https://www.mesign.com/zh-cn/browser/
https://www.qianxin.com/ctp/gmbrowser.html

Youdef
关注
Nginx
前端摸鱼第一名
08-29 2816
【代码】Nginx化保姆教程
搭建支持GmSSL的Nginx环境
m0_46665077的博客
10-30 3087
搭建基于Nginx的应用服务,GmSSL、Nginx
编译制作无期限版本nginx
最新发布
程序我世界
05-08 347
GmSSL 3.0是GmSSL的一个大版本更新,采用了新设计的架构和API,因此无法像之前的版本兼容那些依赖OpenSSL API的应用。为了验证和证明GmSSL 3.0的可用性,有必要让GmSSL 3.0可以兼容最重要的应用类型,即HTTPS服务器。
Nginx服务器安装
啊渊的专栏
11-01 5215
一、简介 GMSSL提供一个版OpenSSL和Nginx,支持单向/双向认证,支持标准SSL/SSL自适应。 其中版OpenSSL基于OpenSSL1.1.1d实现,且已经修正了CVE-2020-1967。 证书申请 https://gmssl.cn/gmssl/index.jsp 二、运行环境 Centos7 x86_64 三、下载 yum install wget -y OpenSSL与Nginxgmssl_openssl_1.1_bxx.tar.gz...
nginx证书(gmssl)安装
qq_44877496的博客
04-25 3789
本文档基于此安装包安装若目标机无法上网,无法执行yum,可通过手动下载安装包,rpm执行安装,部分rpm安装包如下。
Nginx服务器搭建
w277608109的专栏
06-27 2089
下载nginx源码(无需修改nginx代码),将下载的nginx安装包和附件内容放置在同一个目录下。 编译gmssl静态库的Linux版本 root@localhost:~# cat /etc/issue Ubuntu 16.04.1 LTS \n \l root@localhost:~# uname -a Linux localhost 4.4.0-31-generic #50-Ubuntu SMP Wed Jul 13 00:07:12 UTC 2016 x86_64 x86_64 x86_64
nginx 同一端口同时支持和标功能
Big_Bristlegass的博客
08-01 1641
nginx支持同一端口,支持和标
浏览器+tengine+Tongsuo实现https离线部署
09-25
Tengine则是一个基于Nginx的高性能Web服务器,它能够处理HTTP和HTTPS请求,并通过模块化设计来增强其功能。Tongsuo是由腾讯开源的码库,支持包括算法在内的多种码算法,能够为Tengine提供必要的加和解...
[码学实战]安全代理离线部署(二)
曼岛_的博客
01-05 447
安全代理离线部署(一)
算法Web环境改造及RSA+SM2双算法证书部署帮助文档
03-13
在Linux系统中安装和配置支持算法的Web服务器涉及多个步骤,包括使用命令包进行软件的安装和依赖配置、下载并解压Tongsuo和Tengine、编译安装Tengine并关联Tongsuo以及部署证书。 ### 知识点五:安装命令包 在...
支持的OpenSSL 2.0
07-04
支持的OpenSSL 版本2.0, 直接使用无需编译。 支持VC以及C++ Builder调用
NginxTengine服务器配置SSL证书
weixin_46649054的博客
07-02 979
文档输入文档关键字查找产品概述快速入门操作指南安全合规开发参考服务支持视频专区NginxTengine服务器配置SSL证书。
haproxy集成ssl功能[上]
一个致力于开源代码学习、分析和交流的博客
02-21 1828
本文详细介绍了如何在haproxy上实现ssl的功能,并且介绍了测试环境搭建和对应的测试方法。
信创-nginx-ssl改造
twobun的博客
02-19 2112
信创 nginx 改造
Nginx改造
qq_49081692的博客
05-31 4399
web服务器,nginxnginx改造
Tengine + BabaSSL ,让更易用!
程序员阿飘 的博客
01-17 650
文|杨洋(花名:凯申 )蚂蚁集团高级技术专家负责码学工程能力建设、BabaSSL 开源社区建设本文 2366 字 阅读 5 分钟近日,内著名 Web 服务器和反向代理开源软件 Tengine完成了对的适配工作。Tengine 对 BabaSSL 提供的特殊 API 进行了适配,并增加对 NTLS 相关能力的支持。至此,对我码行业相关安全通信协议,有使用需求的用户可以直接使用 Tengine + BabaSSL 的组合。
Nginx支持问题记录
zhangdm的博客
03-03 1871
NGINX 增加支持
nginx无法使用websocket怎么办
06-02
如果您在使用 Nginx 时无法使用 WebSocket,可能是由于 SSL/TLS 配置不正确导致的。以下是一些可能的解决方案: 1. 检查 SSL/TLS 配置 请确保您的 SSL/TLS 配置正确配置并支持您要使用的协议版本和码套件。例如,您可以使用以下配置: ``` ssl_protocols TLSv1.3; ssl_ciphers SM2DHE-RSA-AES256-GCM-SM4; ``` 这将启用 TLS 1.3 协议,并使用 SM2DHE-RSA-AES256-GCM-SM4 码套件。 2. 检查 WebSocket 配置 确保您的 WebSocket 配置正确设置。例如,您可以使用以下配置: ``` location /ws { proxy_pass http://localhost:8080; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "Upgrade"; proxy_set_header Host $host; } ``` 这将将 WebSocket 代理到本地主机上的端口 8080,并确保正确设置 Upgrade 和 Connection 标头。 3. 检查防火墙和代理服务器 如果您使用的是防火墙或代理服务器,请确保它们不会干扰 WebSocket 的连接。您可能需要将防火墙或代理服务器配置为允许 WebSocket 连接。 希望这些步骤可以帮助您解决 Nginx 无法使用 WebSocket 的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值