Nginx+SSL实现双向认证的示例代码

Nginx 是一个很强大的高性能Web和反向代理服务,它具有很多非常优越的特性。在连接高并发的情况下,Nginx是Apache服务不错的替代品:Nginx在美国是做虚拟主机生意的老板们经常选择的软件平台之一。

Nginx作为负载均衡服务:Nginx 既可以在内部直接支持 Rails 和 PHP 程序对外进行服务,也可以支持作为 HTTP代理服务对外进行服务。Nginx采用C进行编写,不论是系统资源开销还是CPU使用效率都比 Perlbal 要好很多。

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

本文将讲述Nginx+SSL实现双向认证的示例代码

首先创建一个目录

cd /etc/nginx
mkdir ssl
cd ssl

CA与自签名

制作CA私钥

openssl genrsa -out ca.key 2048

制作 CA 根证书(公钥)

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

注意:

  • 1、Common Name 可以随意填写
  • 2、其他需要填写的信息为了避免有误,都填写 . 吧

服务器端证书

制作服务器端私钥:

openssl genrsa -out server.pem 1024
openssl rsa -in server.pem -out server.key

生成签发请求:

openssl req -new -key server.pem -out server.csr

注意:

  • 1、Common Name 得填写为访问服务时的域名,这里我们用 usb.dev 下面 NGINX 配置会用到
  • 2、其他需要填写的信息为了避免有误,都填写 . 吧(为了和 CA 根证书匹配)

用CA签发

openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt

客户端证书

与服务端证书类似

注意:

  • 1、Common Name可以随意填写
  • 2、其他需要填写的信息为了避免有误,都填写 . 吧(为了和 CA 根证书匹配)

至此需要的证书都弄好了,我们可以开始配置 NGINX 了。

Nginx配置

server {
listen 443;
server_name usb.dev;

index index.html;

root /data/test/;

ssl on;
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
ssl_client_certificate /etc/nginx/ssl/ca.crt;
ssl_verify_client on;
}

请求验证

验证过程可以选择在其他机器或是本机,为了能够解析 usb.dev,还需要配置一下 /etc/hosts:

ip地址 usb.dev

如果用浏览器验证,需要把客户端证书导出成 p12 格式的

openssl pkcs12 -export -clcerts -in client.crt -inkey client.pem -out client.p12

从服务器上将几个证书下载下来,然后安装到可信的证书列表,点击刚才生成的p12文件输入证书的密码将安装至个人列表。

然后关闭浏览器,重新输入域名,会出现ssl双向验证的证书提示。选择证书即可。

赞(0)
声明:本网站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:fanjiao@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处:西部数码知识库 » Nginx+SSL实现双向认证的示例代码

登录

找回密码

注册