CA自认证和双向认证证书生成方法以及Nginx配置

自签名证书生成

1.使用openssl实现证书中心

由于是使用openssl架设私有证书中心，因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同，但是该内容均可以随意填写没有关系。

Country Name 国家名

State or Province Name 省份

Locality Name 地区

Organization Name 组织

Organizational Unit Name 组织单位

编辑证书中心配置文件

vim /etc/pki/tls/openssl.cnf

[ CA_default ]
dir             = /etc/pki/CA
certs           = $dir/certs            # Where the issued certs are kept
crl_dir         = $dir/crl              # Where the issued crl are kept
database        = $dir/index.txt        # database index file.
#unique_subject = no                    # Set to 'no' to allow creation of
# several ctificates with same subject.
new_certs_dir   = $dir/newcerts         # default place for new certs.
certificate     = $dir/cacert.pem       # The CA certificate
serial          = $dir/serial           # The current serial number
crlnumber       = $dir/crlnumber        # the current crl number
# must be commented out to leave a V1 CRL
crl             = $dir/crl.pem          # The current CRL
private_key     = $dir/private/cakey.pem# The private key
RANDFILE        = $dir/private/.rand    # private random number file
[ req_distinguished_name ]
countryName                     = Country Name(2 letter code)        #（这个是创建证书时，shell提示的标题，最好保持不变）
countryName_default             = CN            #（这个是默认值，在不填的情况下默认为该值）
countryName_min                 = 2
countryName_max                 = 2
#(****中间还有一些值项，是没有_default这个项的，在需要有默认值的情况下，可以自行添加该项****)
stateOrProvinceName             = State or Province Name (full name)
stateOrProvinceName_default     = FJ
localityName                    = Locality Name (eg, city)
localityName_default            = FZ
0.organizationName              = Organization Name (eg, company)
0.organizationName_default      = zdz
organizationalUnitName          = Organizational Unit Name (eg, section)
organizationalUnitName_default  = zdz

2.创建证书私钥

cd /etc/pki/CA/private
(umask 077;openssl genrsa -out cakey.pem 2048)

生成自签证书

cd /etc/pki/CA/
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

然后在/etc/pki/CA/目录下，touch出两个文件，名为index.txt的空文件，和名为serial的文件，向文件中写入“01”两个字符

touch index.txt
touch serial

3、创建服务器证书

mkdir /usr/local/nginx/ssl

将/etc/pki/CA/下的cacert.pem拷贝过来

cd /usr/local/nginx/ssl
(umask 077;openssl genrsa -out nginx.key 1024)
openssl req -new -key nginx.key -out nginx.csr
openssl ca -in nginx.csr -out nginx.crt -days 3650

4、创建客户端浏览器证书

(umask 077;openssl genrsa -out client.key 1024)
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -out client.crt -days 3650

将文本格式的证书转换成可以导入浏览器的证书：

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

若在3、4两步中，出现openssl TXT_DB error number 2 failed to update database的错误。

则删除/etc/pki/CA/选的index.txt再touch一个新文件：

rm index.txt

touch index.txt

至此，便完成了SSL自签名证书的生成工作。

Nginx配置SSL单向证书

在前面已经完成了SSL证书的生成，得到了.crt .key .pem三个文件，那么接下来，就将证书配置到Nginx上

打开Nginx配置文件：

vim /usr/local/nginx/conf/nginx.conf

按如下进行配置：

ssl on;
ssl_certificate         /usr/local/nginx/ssl/nginx.crt;
ssl_certificate_key     /usr/local/nginx/ssl/nginx.key;
ssl_client_certificate  /usr/local/nginx/ssl/cacert.pem;
ssl_session_timeout     5m;
#ssl_verify_client      on;       #服务器验证客户端，暂时不开启，让没有证书的客户端可以访问，先完成单向验证
ssl_protocols           SSLv2 SSLv3 TLSv1;点击“我已充分了解可能的风险”
(注意不要再添加其它与ssl有关的参数了)

Nginx配置SSL双向证书

打开nginx的配置文件，找到ssl_verify_client并设置为on开启，如下：

ssl_verify_client on;

这个配置开启了，SSL的客户端验证。到这里就完成了全部配置，接下来可以验证一下是否配置成功：

在客户端浏览器没有安装证书的情况下访问，在客户端浏览器导入证书，将在Linux服务器上生成的客户端证书下载到windows上，打开Firfox的设置中的高级选项卡，在证书管理器中的您的证书中点击导入，选择证书并导入，再次刷新网页，弹出“使用确认”点击确定，就表明实现了双向验证。

本文来源

本文来自 《王静茜 物联网》博客，我的更多最新文章，点击进入