欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

Nginx配置https双向认证

程序员文章站 2024-03-22 18:52:16
...

https双向认证原理:

Nginx配置https双向认证

 

网上查询很多文章,按照他们的步骤下来到最后都是失败的,然后摸索了3天终于搞定,记录下来,希望帮助到其他小伙伴。

一.生成自签名根证书

创建根证书私钥:

openssl genrsa -out root.key 1024

创建根证书请求文件:

openssl req -new -out root.csr -key root.key

############注意##############
根证书的Common Name填写root就可以,根证书的这个字段和客户端证书、服务器端证书不能一样
其他字段必须与根证书一致,为了不容易出错,其他所有字段输入.
输入密码也输入.

Nginx配置https双向认证

创建根证书:

openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650

这里我们就得到效期为10年的根证书root.crt,我们现在已经有3个文件:

Nginx配置https双向认证

 

二.生成自签名客户端证书

生成客户端证书秘钥:

openssl genrsa -out client.key 1024

生成客户端证书请求文件:

openssl req -new -out client.csr -key client.key

#############注意##############
客户端证书Common Name必须填写访问的域名,该域名与nginx配置的域名一致,可以设置*.xx.com匹配所有二级域名
其他字段必须与根证书字段信息一致,所以其他字段全部输入.
密码输入.

Nginx配置https双向认证

生客户端证书:

openssl x509 -req -in client.csr -out client.crt -signkey client.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

客户端证书生成完毕,我们的文件有:

Nginx配置https双向认证

校验客户端证书与根证书是否创建正确:

openssl verify -CAfile root.crt client.crt

Nginx配置https双向认证

生客户端p12格式证书:

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

# 密码输入.

 

三.Nginx配置

ssl_certificate     /opt/ssl_test/root.crt;
ssl_certificate_key /opt/ssl_test/root.key;
ssl_client_certificate /opt/ssl_test/root.crt;
ssl_verify_client on;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;

 

四.验证

这个时候访问会显示400错误:

Nginx配置https双向认证

下载client.p12到本地的计算机,打开浏览器-》设置-》安全与隐私-》证书管理:

Nginx配置https双向认证

Nginx配置https双向认证

Nginx配置https双向认证

Nginx配置https双向认证

Nginx配置https双向认证

Nginx配置https双向认证

Nginx配置https双向认证

密码输入.

然后点击下一步

Nginx配置https双向认证

导入证书成功,需要重启浏览器,再次访问成功

 

五.curl带证书访问

curl带证书访问:

curl --cert ./client.crt --key ./client.key https://xxx.xxx.com -k

# -k 表示不校验证书合法性,因为证书是自签的