PKI – 借助Nginx 实现Https 服务端单向认证、服务端客户端双向认证

Openssl

https://www.openssl.net.cn/

openssl是一个功能丰富且自包含的开源安全工具箱。

它提供的主要功能有：

• SSL协议实现(包括SSLv2、SSLv3和TLSv1)
• 大量软算法(对称/非对称/摘要)
• 大数运算
• 非对称算法密钥生成
• ASN.1编解码库
• 证书请求(PKCS10)编解码
• 数字证书编解码
• CRL编解码
• OCSP协议
• 数字证书验证
• PKCS7标准实现
• PKCS12个人数字证书格式实现等功能

openssl采用C语言作为开发语言，这使得它具有优秀的跨平台性能。openssl支持Linux、UNIX、windows、Mac等平台。openssl目前最新的版本是0.9.8e.

操系统默认的CA证书的公钥位置

centos 下 被信任的证书在此文件中

/etc/pki/t1s/cert$/ca-bunde.crt

Nginx Https 自签证书

创建和配置 Nginx 使用 HTTPS 自签名证书的步骤如下：

1. 生成自签名证书和私钥：

openssl genrsa -out server.key 2048

• 该命令生成一个 RSA 密钥对，并将私钥保存到 server.key 文件中。参数 2048 指定了密钥长度为 2048 位。

openssl req -x509 -new -nodes -key server.key -subj "/CN=artisan.com" -days 10000 -out server.crt

• 这个命令生成一个自签名的 X.509 证书。解释如下：
  • -x509：表示生成自签名证书。
  • -new：创建一个新的证书请求。
  • -nodes：不加密生成的私钥。
  • -key server.key：指定使用之前生成的私钥文件 server.key。
  • -subj "/CN=yandun.com"：指定证书的主题（Subject）。在这里，/CN=yandun.com 表示通用名称（Common Name）为 yandun.com。
  • -days 10000：指定证书的有效期为 10000 天。
  • -out server.crt：将生成的证书保存到 server.crt 文件中。

openssl x509 -in server.crt -noout -text

• 该命令用于查看生成的证书的详细信息，包括主题、颁发者、有效期等。解释如下：
  • -in server.crt：指定要查看的证书文件。
  • -noout：不打印证书内容到标准输出。
  • -text：以文本形式显示证书内容。

这些命令可以用来生成自签名的证书并查看证书的详细信息。

2. 配置 Nginx 使用 HTTPS：

   编辑 Nginx 的配置文件（通常位于 /etc/nginx/nginx.conf 或 /etc/nginx/sites-available/default），并确保以下配置项已经添加或更新：

 server {
   
   .....
   .....
 	ss1 on;
 	ss1_certificate /cert/server.crt;
	ss1_certificate_key /cert/server.key;
	
	#ss1_client_certificate /cert/client.crt;
	#ssI_verify_client on;

	ss1_session_cache shared:ssL:1m;
	ss1_session_timeout 10m;
	ss1_ciphers HIGH:!aNULL:!MD5;
 	ss1_prefer_server_ciphers on; 

 .....
   .....
   }

每个指令的含义如下：

1. ss1 on;：

   • 启用 SSL/TLS 加密。这表示流模块将使用 SSL/TLS 加密来保护与客户端的通信。

2. ss1_certificate /cert/server.crt;：

   • 指定用于 SSL/TLS 加密的服务器证书文件路径。在这里，/cert/server.crt 是服务器证书的路径。

3. ss1_certificate_key /cert/server.key;：

   • 指定用于 SSL/TLS 加密的服务器私钥文件路径。在这里，/cert/server.key 是服务器私钥的路径。

4. #ss1_client_certificate /cert/client.crt;：

   • 用于指定客户端证书的文件路径。这是可选的，如果您希望服务器验证客户端的证书，则取消注释并指定客户端证书的路径。

5. #ss1_verify_client on;：

   • 用于指定是否验证客户端证书。取消注释并设置为 on 可以启用客户端证书验证。

6. ss1_session_cache shared:ssL:1m;：

   • 指定用于缓存 SSL/TLS 会话的共享内存区域名称和大小。在这里，会话缓存名称为 ssL，大小为 1MB。

7. ss1_session_timeout 10m;：

   • 指定 SSL/TLS 会话的超时时间。在这里，会话超时时间为 10 分钟。

8. ss1_ciphers HIGH:!aNULL:!MD5;：

   • 指定 SSL/TLS 加密算法的优先级和允许使用的加密套件。在这里，使用了 HIGH 表示使用高强度加密算法，同时禁用了一些不安全的加密套件，如 NULL 和 MD5。

9. ss1_prefer_server_ciphers on;：

   • 指定是否优先使用服务器端提供的加密套件。设置为 on 表示优先使用服务器端提供的加密套件。

这些指令配置了 Nginx 流模块的 SSL/TLS 加密功能，包括了服务器证书、私钥、会话缓存等参数。

3. 重启 Nginx 服务：

   完成配置后，通过以下命令重启 Nginx 服务，以使更改生效：

   sudo systemctl restart nginx
   

现在，Nginx 应该已经配置为使用自签名证书进行 HTTPS 加密通信。请确保防火墙已正确配置以允许流量通过 HTTPS 端口（默认为 443）。

Nginx Https 使用CA签发证书

客户端使用自签证书供服务端验证

客户端使用 根证书 签发客户端证书 供服务端验证

代码007普通

打赏 收藏 海报 链接