碼上歡樂
相關內容    簡體    繁體

NGINX 配置 SSL 雙向認證

本文轉載自   查看原文   2016-11-09 22:04   23745    web安全

對於 NGINX 的 HTTPS 配置,通常情況下我們只需要實現服務端認證就行,因為瀏覽器內置了一些受信任的證書頒發機構(CA),服務器端只需要拿到這些機構頒發的證書並配置好,瀏覽器會自己校驗證書的可用性並通過 SSL 進行通訊加密。

但特殊情況下我們也需要對客戶端進行驗證,只有受信任的客戶端才能使用服務接口,此時我們就需要啟用雙向認證來達到這個目的,只有 當客戶端請求帶了可用的證書才能調通服務端接口

CA 與自簽名

CA 是權威機構才能做的,並且如果該機構達不到安全標准就會被瀏覽器廠商“封殺”,前不久的沃通、StartSSL 就被 Mozilla、Chrome 封殺了。不過這並不影響我們進行雙向認證配置,因為我們是自建 CA 的..

為了方便,我們就在 NGINX 的目錄下進行證書相關制作:

cd /etc/nginx mkdir ssl cd ssl

制作 CA 私鑰

openssl genrsa -out ca.key 2048

制作 CA 根證書(公鑰)

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

注意:

  1. Common Name 可以隨意填寫
  2. 其他需要填寫的信息為了避免有誤,都填寫 .

服務器端證書

制作服務端私鑰

openssl genrsa -out server.pem 1024 openssl rsa -in server.pem -out server.key

生成簽發請求

openssl req -new -key server.pem -out server.csr

注意:

  1. Common Name 得填寫為訪問服務時的域名,這里我們用 usb.dev 下面 NGINX 配置會用到
  2. 其他需要填寫的信息為了避免有誤,都填寫 . 吧(為了和 CA 根證書匹配)

用 CA 簽發

openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt

客戶端證書

和服務端證書類似:

注意:

  1. Common Name可以隨意填寫
  2. 其他需要填寫的信息為了避免有誤,都填寫 . 吧(為了和 CA 根證書匹配)

至此需要的證書都弄好了,我們可以開始配置 NGINX 了。

NGINX

server { listen 443 ssl; server_name usb.dev; access_log off; ssl on; ssl_certificate /etc/nginx/ssl/server.crt; ssl_certificate_key /etc/nginx/ssl/server.key; ssl_client_certificate /etc/nginx/ssl/ca.crt; ssl_verify_client on; location / { proxy_pass http://backend$request_uri; } }

其中 ssl_client_certificate /etc/nginx/ssl/ca.crt; 的意思是使用 CA 證書來驗證請求帶的客戶端證書是否是該 CA 簽發的。

配置好后就就重新加載 NGINX 吧:

service nginx reload

好了,下面我們可以開始驗證了。

請求驗證

驗證過程可以選擇在其他機器或是本機,為了能夠解析 usb.dev,還需要配置一下 /etc/hosts

127.0.0.1 usb.dev

如果用瀏覽器驗證,需要把客戶端證書導出成 p12 格式的,這里略過。我們重點是通過 curl 進行驗證:

curl --insecure --key client.key --cert client.crt 'https://usb.dev'

其中 --insecure 是忽略自建 CA 的非權威性。如果你驗證正常那說明你運氣好,因為這里有個 深坑:某些版本的 curl 會報錯:

<html> <head><title>400 No required SSL certificate was sent</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> <center>No required SSL certificate was sent</center> <hr><center>nginx/1.11.0</center> </body> </html>

這些報錯版本的 curl 居然要嚴格要求 --cert 實參的路徑要完全正確,比如當前目錄下面要用 --cert ./client.crt,用 --cert client.crt 是錯誤的。爬坑過程是啟用了 -v 參數來觀察完整的過程,發現其中有一條告警:


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 nginx配置ssl加密(單/雙向認證、部分https) Nginx配置客戶端SSL雙向認證 SSL交互簡述及nginx雙向認證配置 nginx配置ssl加密(單雙向認證、部分https) Nginx配置客戶端SSL雙向認證 Nginx配置單項SSL以及雙向SSL 自簽SSL證書以及https的雙向認證 實現nginx雙向代理 nginx配置ssl雙向驗證 nginx https ssl證書配置 雙向認證SSL原理 SSL雙向認證
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM