nginx配置ssl

1、确保环境中已经安装过openssl

openssl version -a 查看是否安装过

2、安装nginx

说明：安装编译的时候必须增加上：--with-http_ssl_module

3、使用openssl实现证书中心

由于是使用openssl架设私有证书中心，因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同

Country Name

State or Province Name

Locality Name

Organization Name

Organizational Unit Name

编辑证书中心配置文件

vim /etc/pki/tls/openssl.cnf

[ CA_default ]

dir             = /etc/pki/CA           # Where everything is kept  （CA中心的目录）

certs           = $dir/certs            # Where the issued certs are kept (证书保存目录）

crl_dir         = $dir/crl              # Where the issued crl are kept  (被吊销证书的目录)

database        = $dir/index.txt        # database index file.  (证书索引文件)

#unique_subject = no                    # Set to 'no' to allow creation of

new_certs_dir   = $dir/newcerts         # default place for new certs.(经过CA中心签名的证书备份目录)

certificate     = $dir/my-ca.crt        # The CA certificate （CA的公钥文件名）

serial          = $dir/serial           # The current serial number （CA中心的颁发证书序列号）

crlnumber       = $dir/crlnumber        # the current crl number （已吊销证书序列号）

crl             = $dir/my-ca.crl        # The current CRL （证书吊销列表）

private_key     = $dir/private/my-ca.key # The private key （CA私钥文件）

RANDFILE        = $dir/private/.rand    # private random number file

x509_extensions = usr_cert              # The extentions to add to the cert

default_days    = 365                   # how long to certify for  （证书有效期）

default_crl_days= 30                    # how long before next CRL

default_md      = default               # use public key default MD

preserve        = no                    # keep passed DN ordering

[ req_distinguished_name ]

countryName                     = Country Name(2 letter code)

countryName_default             = CN

countryName_min                 = 2

countryName_max                 = 2

stateOrProvinceName             = State or Province Name (full name)

stateOrProvinceName_default     = Beijing

localityName                    = Locality Name (eg, city)

localityName_default            = Beijing

0.organizationName              = Organization Name (eg, company)

0.organizationName_default      = founder

organizationalUnitName          = Organizational Unit Name (eg, section)

organizationalUnitName_default  = founder

创建相应的文件：

cd /etc/pki/CA

touch index.txt

echo "00"> serial

创建证书私钥

cd /etc/pki/CA/private

umask 077

openssl genrsa -out cakey.pem 2048

生成自签证书

cd /etc/pki/CA/

openssl req -new -x509 -key private/cakey.pem -out cacert.pem

4、创建服务器证书

mkdir /usr/local/nginx/ssl

cd /usr/local/nginx/ssl

umask 077

openssl genrsa -out nginx.key 1024

openssl req -new -key nginx.key -out nginx.csr

openssl ca -in nginx.csr -out nginx.crt

5、创建客户端浏览器证书

umask 077

openssl genrsa -out client.key 1024

openssl req -new -key client.key -out client.csr

openssl ca -in client.csr -out client.crt

将文本格式的证书转换成可以导入浏览器的证书

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12  

6、配置nginx服务器验证

vim /usr/local/nginx/conf/nginx.conf

ssl on;

ssl_certificate         /usr/local/nginx/ssl/nginx.crt;

ssl_certificate_key     /usr/local/nginx/ssl/nginx.key;

ssl_client_certificate  /usr/local/nginx/ssl/cacert.pem;

ssl_session_timeout     5m;

#ssl_verify_client       on;                         服务器验证客户端，暂时不开启，让没有证书的客户端可以访问，先完成单向验证

ssl_protocols           SSLv2 SSLv3 TLSv1;

点击“我已充分了解可能的风险”

点击“添加例外”

点击“确认安全例外”

 

7、配置双向验证

nginx配置开启ssl_verify_client       on;    

在客户端浏览器没有安装证书的情况下访问

在客户端浏览器导入证书

将在Linux服务器上生成的客户端证书下载到windows上

打开火狐浏览器的高级选项卡

在证书管理器中的您的证书中点击导入

选择证书并导入

再次刷新网页，弹出“使用确认”点击确定，就实现了双向验证