Nginx配置客户端SSL双向认证
对于 NGINX 的 HTTPS 配置,通常情况下我们只需要实现服务端认证就行,因为浏览器内置了一些受信任的证书颁发机构(CA),服务器端只需要拿到这些机构颁发的证书并配置好,浏览器会自己校验证书的可用性并通过 SSL 进行通讯加密。
但特殊情况下我们也需要对客户端进行验证,只有受信任的客户端才能使用服务接口,此时我们就需要启用双向认证来达到这个目的,只有 当客户端请求带了可用的证书才能调通服务端接口 。
CA 与自签名
CA 是权威机构才能做的,并且如果该机构达不到安全标准就会被浏览器厂商“封杀”,前不久的沃通、StartSSL 就被 Mozilla、Chrome 封杀了。不过这并不影响我们进行双向认证配置,因为我们是自建 CA 的..
为了方便,我们就在 NGINX 的目录下进行证书相关制作:
创建相关目录
#mkdir ssl
#cd ssl
制作 CA 私钥
#openssl genrsa -out ca.key 2048
制作 CA 根证书(公钥)
#openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
服务器端证书
制作服务端私钥
#openssl genrsa -out server.pem 1024
#openssl rsa -in server.pem -out server.key
生成签发请求
#openssl req -new -key server.pem -out server.csr
用 CA 签发
#openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt
客户端证书
和服务端证书制作一样。
至此需要的证书都弄好了,现在开始配置Nginx。
部分主要配置:
server{
ssl on;
ssl_certificate ssl/server.crt; #server公钥
ssl_certificate_key ssl/server.key; #server私钥
ssl_client_certificate ssl/ca.crt; #根级证书公钥,用于验证各个二级client
ssl_verify_client on;
}
配置好后就就重新reload nginx。
请求验证
1、浏览器验证
最新文章
- Fragment之间传值
- .NET Memory Profiler 查看内存使用情况
- [Network] 计算机网络基础知识总结
- 20169212《Linux内核原理与分析》第三周作业
- java提高篇-----详解java的四舍五入与保留位
- 让python整型计算结果为浮点型
- ZOJ 2432 Greatest Common Increasing Subsequence(最长公共上升子序列+路径打印)
- Mysql SlowLog 工具 pt-query-diglist
- MFC 自定义控件
- web从入门开始(1)------简介
- Code First约定-Fluent API配置
- 图零直播新闻发布会—TOLINK2.0全面上线
- final关键字(最终的)
- jsp静态与动态包含的区别和联系
- IOS开发初体验
- LayoutInflater.inflate()方法两个参数和三个参数
- 【速读】——Shangxuan Tian——【ICCV2017】WeText_Scene Text Detection under Weak Supervision
- log4net 开启内部调试
- skipper http router 简单试用
- 银行卡号码校验算法(Luhn算法,又叫模10算法)