自建私有化证书颁发机构(Certificate Authority,CA)实战之 《0x02 Nginx 配置 https双向认证》

本文主要是介绍自建私有化证书颁发机构(Certificate Authority,CA)实战之 《0x02 Nginx 配置 https双向认证》,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

自建CA实战之 《0x02 Nginx 配置 https双向认证》

上一章节我们已经实现了Nginx上配置https单向认证,主要场景为客户端验证服务端的身份,但是服务端不验证客户端的身份。

本章节我们将实现Nginx上配置https双向认证,主要场景为客户端验证服务端的身份,同时服务端也验证客户端的身份,简称双向认证。

双向认证的使用场景很多,比如我们在使用网银的U盾登录的时候,就是使用的双向认证,客户端验证服务端的身份,同时服务端也验证客户端的身份。

配置Nginx

在上一章节的基础上,我们只需要在Nginx上配置要求客户端验证即可。

把根证书导出到ssl/ca.crt,增加两行配置即可:

    ssl_verify_client on; # 要求客户端验证ssl_client_certificate ssl/ca.crt; # 信任该CA颁发的客户端证书

最终的配置如下:

server {listen       80; # 监听 80 端口listen 443 ssl;  # 监听 443 端口,用于SSLserver_name  _; # 默认主机名/域名,这里我们不设置域名,所以用下划线代替ssl_certificate ssl/web.crt; # 导出的证书ssl_certificate_key ssl/web.key; #导出的私钥ssl_verify_client on; # 要求客户端验证ssl_client_certificate ssl/ca.crt; # 信任该CA颁发的客户端证书ssl_session_timeout 5m;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;ssl_prefer_server_ciphers on;location / {root   /usr/share/nginx/html;index  index.html index.htm;}
}

尝试访问,可以看到浏览器提示需要证书:

在这里插入图片描述

创建客户端证书

创建密钥

创建证书

来源选项卡中

  • 使用此CA证书进行签名 -> 自建的CA证书
  • 使用模版创建新证书 -> TLS_client

点击【应用模版所有信息

在这里插入图片描述

主体选项卡中

需要注意的地方就是 commonName,这里我们需要填写的是客户端的域名

在这里插入图片描述

导出证书

导出格式选择PKCS#12证书链(*.pfx)

在这里插入图片描述

设置证书的密码,导入的时候需要用到。导入的时候双击打开证书,一直下一步就好。

在这里插入图片描述

重启浏览器,访问,可以看到浏览器提示需要选择证书:

在这里插入图片描述

点击小锁头,可以看到当前已经选择了客户端证书。

在这里插入图片描述

让 Nginx 日志记录客户端证书信息

我们可以通过Nginx的日志记录客户端证书信息,方便我们后续分析。效果如下图:

在这里插入图片描述

172.22.0.1 - - [25/Nov/2023:18:22:06 +0000] "GET / HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36 Edg/119.0.0.0" "emailAddress=taills@qq.com,CN=TestUserClient,OU=WeiPang,O=WeiPang,L=Nanning,ST=Guangxi,C=CN" "emailAddress=taills@qq.com,CN=TowereSec,OU=TowereSec,O=Towere,L=Nanning,ST=GuangXi,C=CN"

配置Nginx

# 增加日志格式
log_format main_ext '$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" "$ssl_client_s_dn" "$ssl_client_i_dn"';
server {listen       80; # 监听 80 端口listen 443 ssl;  # 监听 443 端口,用于SSLserver_name  _; # 默认主机名/域名,这里我们不设置域名,所以用下划线代替ssl_certificate ssl/web.crt; # 导出的证书ssl_certificate_key ssl/web.key; #导出的私钥ssl_verify_client on; # 要求客户端验证ssl_client_certificate ssl/ca.crt; # 信任该CA颁发的客户端证书ssl_session_timeout 5m;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;ssl_prefer_server_ciphers on;access_log /var/log/nginx/access.log main_ext; # 使用新的日志格式location / {root   /usr/share/nginx/html;index  index.html index.htm;}
}

可以在docker-compose.yml中增加日志目录,方便我们查看日志:

version: '2.1'
services:nginx:image: nginx# restart: alwaysports:- "80:80"- "443:443"volumes:- ./html:/usr/share/nginx/html:ro- ./conf.d:/etc/nginx/conf.d:ro- ./ssl:/etc/nginx/ssl:ro- ./logs:/var/log/nginx

这篇关于自建私有化证书颁发机构(Certificate Authority,CA)实战之 《0x02 Nginx 配置 https双向认证》的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/425469

相关文章

Spring Boot + MyBatis Plus 高效开发实战从入门到进阶优化(推荐)

《SpringBoot+MyBatisPlus高效开发实战从入门到进阶优化(推荐)》本文将详细介绍SpringBoot+MyBatisPlus的完整开发流程,并深入剖析分页查询、批量操作、动... 目录Spring Boot + MyBATis Plus 高效开发实战:从入门到进阶优化1. MyBatis

SpringCloud动态配置注解@RefreshScope与@Component的深度解析

《SpringCloud动态配置注解@RefreshScope与@Component的深度解析》在现代微服务架构中,动态配置管理是一个关键需求,本文将为大家介绍SpringCloud中相关的注解@Re... 目录引言1. @RefreshScope 的作用与原理1.1 什么是 @RefreshScope1.

MyBatis 动态 SQL 优化之标签的实战与技巧(常见用法)

《MyBatis动态SQL优化之标签的实战与技巧(常见用法)》本文通过详细的示例和实际应用场景,介绍了如何有效利用这些标签来优化MyBatis配置,提升开发效率,确保SQL的高效执行和安全性,感... 目录动态SQL详解一、动态SQL的核心概念1.1 什么是动态SQL?1.2 动态SQL的优点1.3 动态S

Pandas使用SQLite3实战

《Pandas使用SQLite3实战》本文主要介绍了Pandas使用SQLite3实战,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学... 目录1 环境准备2 从 SQLite3VlfrWQzgt 读取数据到 DataFrame基础用法:读

springboot security使用jwt认证方式

《springbootsecurity使用jwt认证方式》:本文主要介绍springbootsecurity使用jwt认证方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地... 目录前言代码示例依赖定义mapper定义用户信息的实体beansecurity相关的类提供登录接口测试提供一

SpringBoot日志配置SLF4J和Logback的方法实现

《SpringBoot日志配置SLF4J和Logback的方法实现》日志记录是不可或缺的一部分,本文主要介绍了SpringBoot日志配置SLF4J和Logback的方法实现,文中通过示例代码介绍的非... 目录一、前言二、案例一:初识日志三、案例二:使用Lombok输出日志四、案例三:配置Logback一

springboot security之前后端分离配置方式

《springbootsecurity之前后端分离配置方式》:本文主要介绍springbootsecurity之前后端分离配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的... 目录前言自定义配置认证失败自定义处理登录相关接口匿名访问前置文章总结前言spring boot secu

一文详解SpringBoot响应压缩功能的配置与优化

《一文详解SpringBoot响应压缩功能的配置与优化》SpringBoot的响应压缩功能基于智能协商机制,需同时满足很多条件,本文主要为大家详细介绍了SpringBoot响应压缩功能的配置与优化,需... 目录一、核心工作机制1.1 自动协商触发条件1.2 压缩处理流程二、配置方案详解2.1 基础YAML

springboot简单集成Security配置的教程

《springboot简单集成Security配置的教程》:本文主要介绍springboot简单集成Security配置的教程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录集成Security安全框架引入依赖编写配置类WebSecurityConfig(自定义资源权限规则

SpringBoot中封装Cors自动配置方式

《SpringBoot中封装Cors自动配置方式》:本文主要介绍SpringBoot中封装Cors自动配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录SpringBoot封装Cors自动配置背景实现步骤1. 创建 GlobalCorsProperties