中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

怎么使用Nginx實現HTTPS雙向驗證

發布時間:2022-04-29 16:13:11 來源:億速云 閱讀:471 作者:iii 欄目:大數據

這篇文章主要介紹了怎么使用Nginx實現HTTPS雙向驗證的相關知識,內容詳細易懂,操作簡單快捷,具有一定借鑒價值,相信大家閱讀完這篇怎么使用Nginx實現HTTPS雙向驗證文章都會有所收獲,下面我們一起來看看吧。

單向驗證與雙向驗證的區別:

單向驗證: 指客戶端驗證服務器端證書,服務器并不需要驗證客戶端證書。

雙向驗證:指客戶端驗證服務器端證書,而服務器也需要通過ca的公鑰證書來驗證客戶端證書。

詳細的握手過程:

單向驗證

瀏覽器發送一個連接請求給安全服務器。

1、服務器將自己的證書,以及同證書相關的信息發送給客戶瀏覽器。

2、客戶瀏覽器檢查服務器送過來的證書是否是由自己信賴的ca中心所簽發的。如果是,就繼續執行協議;如果不是,客戶瀏覽器就給客戶一個警告消息:警告客戶這個證書不是可以信賴的詢問客戶是否需要繼續。

3、接著客戶瀏覽器比較證書里的消息,例如域名和公鑰,與服務器剛剛發送的相關消息是否一致,如果是一致的,客戶瀏覽器認可這個服務器的合法身份。

4、瀏覽器隨機產生一個用于后面通訊的“通話密鑰”,然后用服務器的公鑰對其加密,然后將加密后的“預主密碼”傳給服務器。

5、服務器從客戶發送過來的密碼方案中,選擇一種加密程度最高的密碼方案,用服務器的私鑰加密后通知瀏覽器。

6、瀏覽器針對這個密碼方案,接著用服務器的公鑰加過密后發送給服務器。

7、服務器接收到瀏覽器送過來的消息,用自己的私鑰解密,獲得。

8、服務器、瀏覽器接下來的通訊都是用對稱密碼方案,使用相同的對稱密鑰。

雙向驗證

1、瀏覽器發送一個連接請求給安全服務器。

2、服務器將自己的證書,以及同證書相關的信息發送給客戶瀏覽器。

3、客戶瀏覽器檢查服務器送過來的證書是否是由自己信賴的ca中心所簽發的。如果是,就繼續執行協議;如果不是,客戶瀏覽器就給客戶一個警告消息:警告客戶這個證書不是可以信賴的詢問客戶是否需要繼續。

4、接著客戶瀏覽器比較證書里的消息,例如域名和公鑰,與服務器剛剛發送的相關消息是否一致,如果是一致的,客戶瀏覽器認可這個服務器的合法身份。

5、服務器要求客戶的身份認證,用戶可以建立一個隨機數然后對其進行數字簽名,將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”一起傳給服務器。

6、服務器必須檢驗客戶證書和簽名隨機數的合法性,具體的合法性驗證過程包括:客戶的證書使用日期是否有效,為客戶提供證書的ca 是否可靠,發行ca 的公鑰能否正確解開客戶證書的發行ca的數字簽名,檢查客戶的證書是否在證書廢止列表(crl)中。檢驗如果沒有通過,通訊立刻中斷;如果驗證通過,服務器將用自己的私鑰解開加密的“預主密碼”,然后執行一系列步驟來產生主通訊密碼(客戶端也將通過同樣的方法產生相同的主通訊密碼)。

7、客戶瀏覽器告訴服務器自己所能夠支持的通訊對稱密碼方案。

8、服務器從客戶發送過來的密碼方案中,選擇一種加密程度最高的密碼方案,用客戶的公鑰加過密后通知瀏覽器。

9、瀏覽器針對這個密碼方案,選擇一個通話密鑰,接著用服務器的公鑰加過密后發送給服務器。

10、服務器接收到瀏覽器送過來的消息,用自己的私鑰解密,獲得通話密鑰。

11、服務器、瀏覽器接下來的通訊都是用對稱密碼方案,使用相同的對稱密鑰。

一、自建ca,簽署證書

#openssl配置文件路徑
vim/etc/pki/tls/openssl.cnf
#下面只列出配置文件中和自建ca有關的幾個關鍵指令
dir=/etc/pki/ca#ca的工作目錄
database=$dir/index.txt#簽署證書的數據記錄文件
new_certs_dir=$dir/newcerts#存放新簽署證書的目錄
serial=$dir/serial#新證書簽署號記錄文件
certificate=$dir/ca.crt#ca的證書路徑
private_key=$dir/private/cakey.pem#ca的私鑰路徑

使用openssl制作ca的自簽名證書

#切換到ca的工作目錄
cd/etc/pki/ca
#制作ca私鑰
(umask077;opensslgenrsa-outprivate/cakey.pem2048)
#制作自簽名證書
opensslreq-new-x509-keyprivate/cakey.pem-outca.crt
#生成數據記錄文件,生成簽署號記錄文件,給文件一個初始號。
touchindex.txt
touchserial
echo'01'>serial
#自建ca完成

準備服務器端證書

#制作服務器端私鑰
(umask077;opensslgenrsa-outserver.key1024)
#制作服務器端證書申請指定使用sha512算法簽名(默認使用sha1算法)
opensslreq-new-keyserver.key-sha512-outserver.csr
#簽署證書
opensslca-inserver.csr-outserver.crt-days3650

準備客戶端證書

#制作客戶端私鑰
(umask077;opensslgenrsa-outkehuduan.key1024)
#制作客戶端證書申請
opensslreq-new-keykehuduan.key-outkehuduan.csr
#簽署證書
opensslca-inkehuduan.csr-outkehuduan.crt-days3650

注意事項:

1、制作證書時會提示輸入密碼,設置密碼可選,服務器證書和客戶端證書密碼可以不相同。

2、服務器證書和客戶端證書制作時提示輸入省份、城市、域名信息等,需保持一致。

3、以下信息根證書需要和客戶端證書匹配,否則可能出現簽署問題。

countryname = match stateorprovincename = match organizationname = match organizationalunitname = match

如何指定簽署證書的簽名算法

<strong>opensslreqxx
-[digest]digesttosignwith(seeopenssldgst-hforlist)</strong>

查看使用的簽名算法:

怎么使用Nginx實現HTTPS雙向驗證

<strong>#使用-sha256指定算法
opensslreq-new-keyserver.key-sha256-outserver.csr</strong>

二、提供nginx配置文件

<strong>server{
listen443;
server_namepro.server.com;
ssion;
ssi_silent_errorson;
ssi_typestext/shtml;
sslon;
ssl_certificate/data/server/nginx/ssl/self/server.crt;
ssl_certificate_key/data/server/nginx/ssl/self/server.key;
ssl_client_certificate/data/server/nginx/ssl/self/ca/ca.crt;
ssl_verify_clienton;
ssl_protocolstlsv1tlsv1.1tlsv1.2;
ssl_ciphersecdhe-ecdsa-aes256-gcm-sha384:ecdhe-rsa-aes256-gcm-sha384:ecdhe-ecdsa-aes256-sha384:ecdhe-rsa-aes256-sha384:ecdhe-ecdsa-aes128-gcm-sha256:ecdhe-rsa-aes128-gcm-sha256:ecdhe-ecdsa-aes128-sha256:ecdhe-rsa-aes128-sha256:ecdhe-ecdsa-rc4-sha:!ecdhe-rsa-rc4-sha:ecdh-ecdsa-rc4-sha:ecdh-rsa-rc4-sha:ecdhe-rsa-aes256-sha:!rc4-sha:high:!anull:!enull:!low:!3des:!md5:!exp:!cbc:!edh:!kedh:!psk:!srp:!kecdh;
ssl_prefer_server_cipherson;
indexindex.htmlindex.htmindex.php;
root/data/www;
location~.*\.(php|php5)?$
{
#fastcgi_passunix:/tmp/php-cgi.sock;
fastcgi_pass127.0.0.1:9000;
fastcgi_indexindex.php;
includefastcgi.conf;
}
location~.*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires30d;
}
location~.*\.(js|css)?$
{
expires1h;
}
###thisistouseopenwebsitelianjielikeonapache##
location/{
if(!-e$request_filename){
rewrite^(.*)$/index.php?s=$1last;
break;
}
keepalive_timeout0;
}
location~/.svn/{
denyall;
}
###end##
include/data/server/nginx/conf/rewrite/test.conf;
access_log/log/nginx/access/access.log;
}</strong>

客戶端證書格式轉換

<strong>#將文本格式的證書轉換成可以導入瀏覽器的證書
opensslpkcs12-export-clcerts-inclient.crt-inkeyclient.key-outclient.p12</strong>

三、將證書導入瀏覽器,這里以chrome為例

1、在瀏覽器窗口右上角找到設置

怎么使用Nginx實現HTTPS雙向驗證

2、在設置窗口中找到高級設置

怎么使用Nginx實現HTTPS雙向驗證

3、找到管理證書

怎么使用Nginx實現HTTPS雙向驗證

4、點擊導入證書,然后選擇證書路徑就可以了

怎么使用Nginx實現HTTPS雙向驗證

5、在導入證書之后就可以正常訪問到服務器數據了

怎么使用Nginx實現HTTPS雙向驗證

6、如果沒有成功導入客戶端證書就訪問服務器的話,那么服務器驗證客戶端證書這步就會失敗,然后返回如下錯誤

怎么使用Nginx實現HTTPS雙向驗證

由于用的是自簽證書不被公有ca信任,所以https那里會有紅叉。

關于“怎么使用Nginx實現HTTPS雙向驗證”這篇文章的內容就介紹到這里,感謝各位的閱讀!相信大家對“怎么使用Nginx實現HTTPS雙向驗證”知識都有一定的了解,大家如果還想學習更多知識,歡迎關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

富顺县| 恩施市| 滦南县| 长寿区| 始兴县| 新昌县| 内丘县| 甘德县| 武宣县| 漳州市| 乐东| 余庆县| 蕲春县| 达尔| 闸北区| 仁布县| 张家口市| 普兰店市| 道真| 密山市| 肥西县| 双牌县| 二手房| 辽阳县| 张北县| 镇宁| 华阴市| 清徐县| 贡嘎县| 海安县| 栾川县| 衡阳县| 金山区| 土默特右旗| 宿州市| 洱源县| 涪陵区| 泸州市| 灵山县| 皋兰县| 田林县|