CA自认证和双向认证证书生成方法以及Nginx配置
2017-01-11 20:47
483 查看
自签名证书生成
1.使用openssl实现证书中心由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同,但是该内容均可以随意填写没有关系。
Country Name 国家名
State or Province Name 省份
Locality Name 地区
Organization Name 组织
Organizational Unit Name 组织单位
编辑证书中心配置文件
vim /etc/pki/tls/openssl.cnf
[ CA_default ] dir = /etc/pki/CA certs = $dir/certs # Where the issued certs are kept crl_dir = $dir/crl # Where the issued crl are kept database = $dir/index.txt # database index file. #unique_subject = no # Set to 'no' to allow creation of # several ctificates with same subject. new_certs_dir = $dir/newcerts # default place for new certs. certificate = $dir/cacert.pem # The CA certificate serial = $dir/serial # The current serial number crlnumber = $dir/crlnumber # the current crl number # must be commented out to leave a V1 CRL crl = $dir/crl.pem # The current CRL private_key = $dir/private/cakey.pem# The private key RANDFILE = $dir/private/.rand # private random number file [ req_distinguished_name ] countryName = Country Name(2 letter code) #(这个是创建证书时,shell提示的标题,最好保持不变) countryName_default = CN #(这个是默认值,在不填的情况下默认为该值) countryName_min = 2 countryName_max = 2 #(****中间还有一些值项,是没有_default这个项的,在需要有默认值的情况下,可以自行添加该项****) stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = FJ localityName = Locality Name (eg, city) localityName_default = FZ 0.organizationName = Organization Name (eg, company) 0.organizationName_default = zdz organizationalUnitName = Organizational Unit Name (eg, section) organizationalUnitName_default = zdz
2.创建证书私钥
cd /etc/pki/CA/private (umask 077;openssl genrsa -out cakey.pem 2048)
生成自签证书
cd /etc/pki/CA/ openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
然后在/etc/pki/CA/目录下,touch出两个文件,名为index.txt的空文件,和名为serial的文件,向文件中写入“01”两个字符
touch index.txt touch serial
3、创建服务器证书
mkdir /usr/local/nginx/ssl
将/etc/pki/CA/下的cacert.pem拷贝过来
cd /usr/local/nginx/ssl (umask 077;openssl genrsa -out nginx.key 1024) openssl req -new -key nginx.key -out nginx.csr openssl ca -in nginx.csr -out nginx.crt -days 3650
4、创建客户端浏览器证书
(umask 077;openssl genrsa -out client.key 1024) openssl req -new -key client.key -out client.csr openssl ca -in client.csr -out client.crt -days 3650
将文本格式的证书转换成可以导入浏览器的证书:
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
若在3、4两步中,出现openssl TXT_DB error number 2 failed to update database的错误。
则删除/etc/pki/CA/选的index.txt再touch一个新文件:
rm index.txt
touch index.txt
至此,便完成了SSL自签名证书的生成工作。
Nginx配置SSL单向证书
在前面已经完成了SSL证书的生成,得到了.crt .key .pem三个文件,那么接下来,就将证书配置到Nginx上打开Nginx配置文件:
vim /usr/local/nginx/conf/nginx.conf
按如下进行配置:
ssl on; ssl_certificate /usr/local/nginx/ssl/nginx.crt; ssl_certificate_key /usr/local/nginx/ssl/nginx.key; ssl_client_certificate /usr/local/nginx/ssl/cacert.pem; ssl_session_timeout 5m; #ssl_verify_client on; #服务器验证客户端,暂时不开启,让没有证书的客户端可以访问,先完成单向验证 ssl_protocols SSLv2 SSLv3 TLSv1;点击“我已充分了解可能的风险” (注意不要再添加其它与ssl有关的参数了)
Nginx配置SSL双向证书
打开nginx的配置文件,找到ssl_verify_client并设置为on开启,如下:ssl_verify_client on;
这个配置开启了,SSL的客户端验证。到这里就完成了全部配置,接下来可以验证一下是否配置成功:
在客户端浏览器没有安装证书的情况下访问,在客户端浏览器导入证书,将在Linux服务器上生成的客户端证书下载到windows上,打开Firfox的设置中的高级选项卡,在证书管理器中的您的证书中点击导入,选择证书并导入,再次刷新网页,弹出“使用确认”点击确定,就表明实现了双向验证。
本文来源
本文来自 《王静茜 物联网》博客,我的更多最新文章,点击进入
相关文章推荐
- Android实现https单双向认证及自签名证书生成方法
- 【网页访问单向、双向验证均可以】https原理及tomcat配置https方法[生成CA根证书配置tomcat后,若要成功访问axis中的webservice,需要配置它对应的axis2.xml文件]
- Nginx和openssl的配置以及秘钥和证书的生成
- keytool生成keystore、truststore、证书以及SSL单向认证在服务端tomcat和客户端的配置
- Tomcat服务器配置https双向认证(使用keytool生成证书)
- nginx_ssl证书双向认证以及负载均衡配置
- keytool生成keystore、truststore、证书以及SSL单向认证在服务端tomcat和客户端的配置
- Openssl CA证书生成以及双向认证,及windows系统证书批量导出,android cer转bks
- Openssl CA证书生成以及双向认证,及windows系统证书批量导出,android cer转bks
- 监控WebSphere 6.1以及WAS6.1生成和配置安全证书的方法
- openssl下生成建立CA并生成服务器和客户端证书方法
- SSH 证书认证配置方法
- Nginx用户认证配置方法详解(域名/目录)
- keytool+tomcat配置HTTPS双向证书认证
- nginx配置SSL实现服务器/客户端双向认证
- keytool+tomcat配置HTTPS双向证书认证
- Nginx用户认证配置方法详解(域名/目录)
- tomcat配置双向认证,客户端证书pkcs12格式,方便导入浏览器
- nginx中使用https时,证书的生成方式及配置
- openssl命令生成公私钥、证书方法,apache/tomcat支持https的证书配置