nginx配置https双向验证

服务端验证(ca机构证书)

客户端验证(服务器自签证书)

本文用的阿里云签发的免费证书实验,下载nginx安装ssl,文件夹有两个文件

这两个文件用于做服务器https验证

配置如下:

自签证书步骤如下:

ca根证书生成

创建ca私钥

openssl genrsa -out ca.key

生成ca证书

openssl req -new -x509 -days  -key ca.key -out ca.crt

客户端证书生成

创建客户端私钥

openssl genrsa -out client.pem

openssl rsa -in client.pem -out client.key

生成签发请求

openssl req -new -key client.pem -out client.csr

使用ca证书进行签发

openssl x509 -req -sha256 -extfile /etc/pki/tls/openssl.cnf -extensions v3_req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days  -out client.crt

验证签发证书是否正确

[root@danny ca]# openssl verify -CAfile ca.crt client.crt

client.crt: OK

制作p12证书(导入浏览器)

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

操作结束后目录文件

[root@danny ca]# ls

ca.crt  ca.key  ca.pem  ca.srl  client.crt  client.csr  client.key  client.p12  client.pem

验证,导出client.p12点击安装至浏览器,重启浏览器。验证过程截图如下:

未开启双向认证ssl_verify_client on时(客户端可以直接https访问)

开启ssl_verify_client on但是没有安装客户端证书时

安装证书并重启浏览器访问

https证书管理中可看到已导入

 确认即可访问

补充1:如果使用ca机构颁发的证书ssl_certificate,ssl_certificate_key 使用ca机构颁发的证书,客户端证书ssl_client_certificate使用自己生成的证书即可。

 

补充2:在阿里云上申请的https证书的是pem格式,转成cer,crt

openssl x509 -outform der -in xxx.pem -out xxx.cer

openssl x509 -outform der -in xxx.pem -out xxx.crt

补充3:crt文件转换为pem文件

openssl x509 -in xxx.crt -out xxx.pem

补充4:生成安卓所有bks包(windos的jdk环境命令行,具体步骤可百度)

keytool -importcert -keystore client.bks -file client.crt -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider

补充5:常见证书格式说明

PKCS#7:Cryptographic Message Syntax Standard

PKCS#10:Certification Request Standard

PKCS#12:Personal Information Exchange Syntax Standard

X.509:是常见通用的证书格式。所有的证书都符合为Public Key Infrastructure (PKI) 制定的 ITU-T X509 国际标准。

PKCS#7:常用的后缀是: .P7B .P7C .SPC

PKCS#12:常用的后缀有: .P12 .PFX

X.509:DER 编码(ASCII)的后缀是: .DER .CER .CRT

X.509:PAM 编码(Base64)的后缀是: .PEM .CER .CRT

.cer/.crt:是用于存放证书,它是2进制形式存放的,不含私钥。

.pem:跟crt/cer的区别是它以Ascii来表示。

pfx/p12:用于存放个人证书/私钥,他通常包含保护密码,2进制方式

p10:是证书请求

p7r:是CA对证书请求的回复,只用于导入

p7b:以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥。

最新文章

  1. Android NDK开发初识
  2. mysql NOW,CURRENT_TIMESTAMP,SYSDATE 之间的区别
  3. Entity Framework基础01
  4. Eclipse 安装svn插件及使用
  5. !cocos2d 重复添加action事件
  6. 找出程序cpu使用率高的原因
  7. Linux 让进程在后台可靠运行的几种方法
  8. Linux学习之十二、命令别名与历史命令
  9. C语言中sizeof与strlen区别
  10. 漫谈程序员(十)大白菜装机版安装win7系统使用教程
  11. [Zabbix3.0 ]添加Nginx监控
  12. 为什么用Flow
  13. 【ARTS】01_12_左耳听风-20190128~20190203
  14. truncate table很慢之enq: RO - fast object reuse和local write wait等待分析
  15. python在图片上画矩形
  16. 亲手搭建一个基于Asp.Net WebApi的项目基础框架4
  17. app hybrid
  18. 三维偏序 cdq
  19. centos7 yum 安装 mysql
  20. Js的核心:找到DOM

热门文章

  1. SOFARPC源码解析-搭建环境
  2. jquery获取元素(父级的兄弟元素的子元素)
  3. Java服务器内存过高&CPU过高问题排查
  4. 网站集群架构(LVS负载均衡、Nginx代理缓存、Nginx动静分离、Rsync+Inotify全网备份、Zabbix自动注册全网监控)--技术流ken
  5. 基于Kubernates微服务案例
  6. Jinja2用法总结
  7. Source-Based XSS Test Cases
  8. ASP.NET MVC 5 實作 GridView 分頁
  9. 基于django的视频点播网站开发
  10. event 和delegate的分别