NGINX 配置 SSL 雙向認證

對于 NGINX 的 HTTPS 配置,通常情況下我們只需要實現(xiàn)服務(wù)端認證就行,因為瀏覽器內(nèi)置了一些受信任的證書頒發(fā)機構(gòu)(CA),服務(wù)器端只需要拿到這些機構(gòu)頒發(fā)的證書并配置好,瀏覽器會自己校驗證書的可用性并通過 SSL 進行通訊加密。

但特殊情況下我們也需要對客戶端進行驗證,只有受信任的客戶端才能使用服務(wù)接口,此時我們就需要啟用雙向認證來達到這個目的,只有 當(dāng)客戶端請求帶了可用的證書才能調(diào)通服務(wù)端接口 。

CA 與自簽名
CA 是權(quán)威機構(gòu)才能做的,并且如果該機構(gòu)達不到安全標(biāo)準(zhǔn)就會被瀏覽器廠商“封殺”,前不久的沃通、StartSSL 就被 Mozilla、Chrome 封殺了。不過這并不影響我們進行雙向認證配置,因為我們是自建 CA 的..

為了方便,我們就在 NGINX 的目錄下進行證書相關(guān)制作:

cd /etc/nginx
mkdir ssl
cd ssl
制作 CA 私鑰

openssl genrsa -out ca.key 2048
制作 CA 根證書(公鑰)

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
注意:

Common Name 可以隨意填寫
其他需要填寫的信息為了避免有誤,都填寫 . 吧
服務(wù)器端證書
制作服務(wù)端私鑰

openssl genrsa -out server.pem 1024
openssl rsa -in server.pem -out server.key
生成簽發(fā)請求

openssl req -new -key server.pem -out server.csr
注意:

Common Name 得填寫為訪問服務(wù)時的域名,這里我們用 usb.dev 下面 NGINX 配置會用到
其他需要填寫的信息為了避免有誤,都填寫 . 吧(為了和 CA 根證書匹配)
用 CA 簽發(fā)

openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt
客戶端證書
和服務(wù)端證書類似:

注意:

Common Name可以隨意填寫
其他需要填寫的信息為了避免有誤,都填寫 . 吧(為了和 CA 根證書匹配)
至此需要的證書都弄好了,我們可以開始配置 NGINX 了。

 NGINX
server {
listen       443 ssl;
server_name  usb.dev;

access_log off;

ssl on;
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
ssl_client_certificate /etc/nginx/ssl/ca.crt;
ssl_verify_client on;

location / {
    proxy_pass http://backend$request_uri;
}
}

其中 ssl_client_certificate /etc/nginx/ssl/ca.crt; 的意思是使用 CA 證書來驗證請求帶的客戶端證書是否是該 CA 簽發(fā)的。

配置好后就就重新加載 NGINX 吧:

service nginx reload
好了,下面我們可以開始驗證了。

請求驗證
驗證過程可以選擇在其他機器或是本機,為了能夠解析 usb.dev,還需要配置一下 /etc/hosts:

127.0.0.1 usb.dev
如果用瀏覽器驗證,需要把客戶端證書導(dǎo)出成 p12 格式的,這里略過。我們重點是通過 curl 進行驗證:

curl --insecure --key client.key --cert client.crt 'https://usb.dev'
其中 --insecure 是忽略自建 CA 的非權(quán)威性。如果你驗證正常那說明你運氣好,因為這里有個 深坑:某些版本的 curl 會報錯:

<html>
<head><title>400 No required SSL certificate was sent</title>                    </head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
<center>No required SSL certificate was sent</center>
<hr><center>nginx/1.11.0</center>
</body>
</html>

這些報錯版本的 curl 居然要嚴格要求 --cert 實參的路徑要完全正確,比如當(dāng)前目錄下面要用 --cert ./client.crt,用 --cert client.crt 是錯誤的。爬坑過程是啟用了 -v 參數(shù)來觀察完整的過程,發(fā)現(xiàn)其中有一條告警:

轉(zhuǎn)自:http://www.cnblogs.com/UnGeek/p/6049004.html

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容