小男孩‘自慰网亚洲一区二区,亚洲一级在线播放毛片,亚洲中文字幕av每天更新,黄aⅴ永久免费无码,91成人午夜在线精品,色网站免费在线观看,亚洲欧洲wwwww在线观看

搜索
分享

nginx配置SSL實(shí)現(xiàn)服務(wù)器/客戶端雙向認(rèn)證

 dtl樂學(xué)館 2014-12-09

      本人不才,配置了兩天,終于搞出來了,結(jié)合網(wǎng)上諸多博文,特此總結(jié)一下!

配置環(huán)境:

      Ubuntu 11.04

     PCRE 8.31

     Openssl 2.0.2

     Nginx 1.2.5

    為了確保能在 nginx中使用正則表達(dá)式進(jìn)行更靈活的配置,安裝之前需要確定系統(tǒng)是否安裝有 PCREPerl Compatible Regular Expressions)包??梢缘?/span>ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/ 下載最新的 PCRE 源碼包,使用下面命令下載編譯和安裝 PCRE 包:

  1. # wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.31.tar.bz2  
  2. # tar jxvf pcre-8.31.tar.bz2  
  3. # cd pcre-8.31  
  4. # ./configure –enable-utf8  
  5. # make  
  6. # make install  

        openssl為開源軟件,在Linux(或UNIX/Cygwin)下創(chuàng)建一個簡單的CA。我們可以利用這個CA進(jìn)行PKI、數(shù)字證書相關(guān)的測試。比如,在測試用Tomcat或Apache構(gòu)建HTTPS雙向認(rèn)證時,我們可以利用自己建立的測試CA來為服務(wù)器端頒發(fā)服務(wù)器數(shù)字證書,為客戶端(瀏覽器)生成文件形式的數(shù)字證書(可以同時利用openssl生成客戶端私鑰),安裝方法和上面類似。

       下面重點(diǎn)說說nginx的安裝方法:

        下載最新穩(wěn)定版本1.2.5,使用命令:

  1. # tar zxvf nginx-1.2.5.tar.gz  
  2. # cd nginx-1.2.5  
  3. # ./configure  
  4. --prefix=/usr  
  5. --sbin-path=/usr/sbin/nginx  
  6. --conf-path=/etc/nginx/nginx.conf  
  7. --error-log-path=/var/log/nginx/error.log  
  8. --pid-path=/var/run/nginx/nginx.pid  
  9. --lock-path=/var/lock/nginx.lock  
  10. --user=www-nginx  
  11. --group=www  
  12. --with-http_ssl_module  
  13. --with-http_stub_status_module  
  14. --with-http_flv_module  
  15. --with-http_gzip_static_module  
  16. --http-log-path=/var/log/nginx/access.log  
  17. --http-client-body-temp-path=/var/tmp/nginx/client/  
  18. --http-proxy-temp-path=/var/tmp/nginx/proxy/  
  19. --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/  
  20. # 簡單安裝 ./configure --prefix=/opt/nginx --with-http_stub_status_module --with-http_ssl_module  
  21. # make  
  22. # make install  

      注意:在使用"--prefix"等配置項(xiàng)時,前面是兩橫"--",而不是"-",這里有些博文根本沒注意到,害得我暈了半天。    

      --with-http_stub_status_module 是為了啟用 nginx 的 NginxStatus 功能,用來監(jiān)控 nginx 的當(dāng)前狀態(tài)。
      --with-http_ssl_module 啟用http_ssl模塊
      --with-ipv6 支持ipv6

       安裝成功后 /opt/nginx 目錄下有四個子目錄分別是:conf、html、logs、sbin 。其中 nginx 的配置文件存放于 conf/nginx.conf,nginx 只有一個程序文件位于 sbin 目錄下。確保系統(tǒng)的 80 端口沒被其他程序占用,運(yùn)行 sbin/./nginx 命令來啟動 Nginx,打開瀏覽器訪問此機(jī)器的 IP,如果瀏覽器出現(xiàn) Welcome to nginx! 則表示 nginx 已經(jīng)安裝并運(yùn)行成功。

       注:此處采用sbin/./nginx命令啟動是因?yàn)槲疫@里如果用網(wǎng)上說的sbin/nginx啟動的話,根本啟動不了,而且會出現(xiàn)安裝nginx的提示,很怪!

使用openssl制作證書:

    1、服務(wù)器單向驗(yàn)證

    創(chuàng)建并進(jìn)入sslkey存放目錄

       # mkdir /opt/nginx/sslkey

       # cd /opt/nginx/sslkey

    ①、生成RSA密鑰:

       # openssl genrsa -out key.pem 2048

    ②、生成一個證書請求

       # openssl req -new -key key.pem -out cert.csr

       # //會提示輸入省份、城市、域名信息等,重要的是,email 一定要是你的域名后綴的你可以拿著這個文件去數(shù)字證書頒發(fā)機(jī)構(gòu)(即CA)申請一個數(shù)字證書。CA會給你一個新的文件cacert.pem,那才是你的數(shù)字證書。

    如果是自己做測試,就可以用下面這個命令來生成證書:

       # openssl req -new -x509 -nodes -out server.crt -keyout server.key

    ③、修改 nginx 配置

  1. # HTTPS server  
  2. #  
  3. server {  
  4. listen 443;  
  5. server_name localhost;  
  6.   
  7. ssl on;  
  8. ssl_certificate /opt/nginx/sslkey/server.crt;  
  9. ssl_certificate_key /opt/nginx/sslkey/server.key;  
  10.   
  11. ssl_session_timeout 5m;  
  12.   
  13. ssl_protocols SSLv2 SSLv3 TLSv1;  
  14. ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;  
  15. ssl_prefer_server_ciphers on;  
  16.   
  17. location / {      
  18.         root /home/workspace/;      
  19.         index index.asp index.aspx;         
  20.     }  
  21. }  

   配置好后,重啟nginx,采用 https打開網(wǎng)站,瀏覽器會提示證書錯誤,點(diǎn)擊繼續(xù)瀏覽即可。

   2、服務(wù)器-客戶端雙向驗(yàn)證

   在nginx 目錄下建立ca文件夾,進(jìn)入ca。

        # mkdir newcerts private conf server。

   其中newcerts子目錄將存放CA簽署(頒發(fā))過的數(shù)字證書(證書備份目錄)。而private目錄用于存放CA的私鑰。目錄conf只是用于存放一些簡化參數(shù)

用的配置文件,server存放服務(wù)器證書文件。

   ①、conf目錄創(chuàng)建文件openssl.conf配置文件,內(nèi)容如下:

  1. [ ca ]  
  2. default_ca      = foo                   # The default ca section  
  3.    
  4. [ foo ]  
  5. dir            = /opt/nginx/ca         # top dir  
  6. database       = /opt/nginx/ca/index.txt          # index file.  
  7. new_certs_dir  = /opt/nginx/ca/newcerts           # new certs dir  
  8.    
  9. certificate    = /opt/nginx/ca/private/ca.crt         # The CA cert  
  10. serial         = /opt/nginx/ca/serial             # serial no file  
  11. private_key    = /opt/nginx/ca/private/ca.key  # CA private key  
  12. RANDFILE       =/opt/nginx/ca/private/.rand      # random number file  
  13.    
  14. default_days   = 365                     # how long to certify for  
  15. default_crl_days= 30                     # how long before next CRL  
  16. default_md     = md5                     # message digest method to use  
  17. unique_subject = no                      # Set to 'no' to allow creation of  
  18.                                          # several ctificates with same subject.  
  19. policy         = policy_any              # default policy  
  20.    
  21. [ policy_any ]  
  22. countryName = match  
  23. stateOrProvinceName = match  
  24. organizationName = match  
  25. organizationalUnitName = match  
  26. localityName            = optional  
  27. commonName              = supplied  
  28. emailAddress            = optional  

        注:你也可以直接修改openssl的配置文件,這樣的話后面制作證書的代碼中就不用引用這個配置文件了。

   ②、使用腳本創(chuàng)建證書

   下面的幾個腳本都放在/nginx/ca/目錄下。

   創(chuàng)建一個新的CA根證書。

new_ca.sh:

  1. #!/bin/sh  
  2. # Generate the key.  
  3. openssl genrsa -out private/ca.key  
  4. # Generate a certificate request.  
  5. openssl req -new -key private/ca.key -out private/ca.csr  
  6. # Self signing key is bad... this could work with a third party signed key... registeryfly has them on for $16 but I'm too cheap lazy to get one on a lark.  
  7. # I'm also not 100% sure if any old certificate will work or if you have to buy a special one that you can sign with. I could investigate further but since this  
  8. # service will never see the light of an unencrypted Internet see the cheap and lazy remark.  
  9. # So self sign our root key.  
  10. openssl x509 -req -days 365 -in private/ca.csr -signkey private/ca.key -out private/ca.crt  
  11. # Setup the first serial number for our keys... can be any 4 digit hex string... not sure if there are broader bounds but everything I've seen uses 4 digits.  
  12. echo FACE > serial  
  13. # Create the CA's key database.  
  14. touch index.txt  
  15. # Create a Certificate Revocation list for removing 'user certificates.'  
  16. openssl ca -gencrl -out /opt/nginx/ca/private/ca.crl -crldays 7 -config "/opt/nginx/ca/conf/openssl.conf"  

    執(zhí)行 sh new_ca.sh生成新的CA證書。

    生成服務(wù)器證書的腳本。

new_server.sh:

  1. # Create us a key. Don't bother putting a password on it since you will need it to start apache. If you have a better work around I'd love to hear it.  
  2. openssl genrsa -out server/server.key  
  3. # Take our key and create a Certificate Signing Request for it.  
  4. openssl req -new -key server/server.key -out server/server.csr  
  5. # Sign this bastard key with our bastard CA key.  
  6. openssl ca -in server/server.csr -cert private/ca.crt -keyfile private/ca.key -out server/server.crt -config "/opt/nginx/ca/conf/openssl.conf"  

    執(zhí)行 sh new_server.sh生成新服務(wù)器的證書

    配置 nginxssl支持:

  1. #user  www-nginx;  
  2. worker_processes  1;  
  3.   
  4. #error_log  logs/error.log;  
  5. #error_log  logs/error.log  notice;  
  6. #error_log  logs/error.log  info;  
  7.   
  8. #pid        logs/nginx.pid;  
  9.   
  10.   
  11. events {  
  12.     worker_connections  1024;  
  13. }  
  14. http {  
  15.     include       mime.types;  
  16.     default_type  application/octet-stream;  
  17.     sendfile        on;  
  18.     keepalive_timeout  65;  
  19.     #gzip  on;  
  20.   
  21.     # HTTPS server  
  22.     #  
  23.     server {  
  24.         listen       443;  
  25.         server_name  localhost;  
  26.         ssi on;  
  27.         ssi_silent_errors on;  
  28.         ssi_types text/shtml;  
  29.   
  30.         ssl                  on;  
  31.         ssl_certificate      /opt/nginx/ca/server/server.crt;  
  32.         ssl_certificate_key  /opt/nginx/ca/server/server.key;  
  33.         ssl_client_certificate /opt/nginx/ca/private/ca.crt;  
  34.   
  35.         ssl_session_timeout  5m;  
  36.         ssl_verify_client on;  #開戶客戶端證書驗(yàn)證  
  37.   
  38.         ssl_protocols  SSLv2 SSLv3 TLSv1;  
  39.         ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;  
  40.         ssl_prefer_server_ciphers   on;  
  41.           
  42.         location / {      
  43.         root /home/workspace/;      
  44.         index index.asp index.aspx;         
  45.     }  
  46.     }  
  47. }  

    啟動nginx ,等待客戶連接,如果此時連接服務(wù)器,將提示400 Bad request certification的錯誤,故還需要生成客戶端證書。

new_user.sh:

  1. #!/bin/sh  
  2. # The base of where our SSL stuff lives.  
  3. base="/opt/nginx/ca"  
  4. # Were we would like to store keys... in this case we take the username given to us and store everything there.  
  5. mkdir -p $base/users/  
  6.   
  7. # Let's create us a key for this user... yeah not sure why people want to use DES3 but at least let's make us a nice big key.  
  8. openssl genrsa -des3 -out $base/users/client.key 1024  
  9. # Create a Certificate Signing Request for said key.  
  10. openssl req -new -key $base/users/client.key -out $base/users/client.csr  
  11. # Sign the key with our CA's key and cert and create the user's certificate out of it.  
  12. openssl ca -in $base/users/client.csr -cert $base/private/ca.crt -keyfile $base/private/ca.key -out $base/users/client.crt -config "/opt/nginx/ca/conf/openssl.conf"  
  13.   
  14. # This is the tricky bit... convert the certificate into a form that most browsers will understand PKCS12 to be specific.  
  15. # The export password is the password used for the browser to extract the bits it needs and insert the key into the user's keychain.  
  16. # Take the same precaution with the export password that would take with any other password based authentication scheme.  
  17. openssl pkcs12 -export -clcerts -in $base/users/client.crt -inkey $base/users/client.key -out $base/users/client.p12  
  18.   
  19.    

   執(zhí)行 shnew_user.sh生成一個 client證書。
       按照提示一步一步來,這里要注意的是客戶證書的幾個項(xiàng)目要和根證書匹配。
       也就是前面配置的:
             countryName = match
             stateOrProvinceName = match
             organizationName = match
             organizationalUnitName = match

        不一致的話無法生成最后的客戶證書,證書生成后,客戶端導(dǎo)入證書瀏覽器,即可打開網(wǎng)站。

注意事項(xiàng):

    1、制作證書時會提示輸入密碼,服務(wù)器證書和客戶端證書密碼可以不相同。

    2、服務(wù)器證書和客戶端證書制作時提示輸入省份、城市、域名信息等,需保持一致。

    3、Nginx默認(rèn)未開啟SSI,上面配置已開啟。

    4、Nginx不能自啟動,需要如下配置:

  1. cd /etc/init.d    
  2. sudo touch nginx    
  3. sudo chmod +x nginx   

nginx內(nèi)容:

  1. #! /bin/sh  
  2. #  
  3. ### BEGIN INIT INFO  
  4. # Provides:          nginx  
  5. # Required-Start:    $syslog $local_fs $remote_fs  
  6. # Required-Stop:     $syslog $local_fs $remote_fs  
  7. # Should-Start:      dbus avahi  
  8. # Should-Stop:       dbus avahi  
  9. # Default-Start:     2 3 4 5  
  10. # Default-Stop:      1  
  11. # Short-Description: Nginx Server  
  12. # Description:       Nginx  
  13. ### END INIT INFO  
  14.   
  15. PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/opt/nginx/sbin  
  16. DAEMON=/opt/nginx/sbin/nginx  
  17. NAME=nginx  
  18. DESC="Nginx Server"  
  19. PID_FILE=/opt/nginx/logs/nginx.pid  
  20.   
  21. test -x $DAEMON || exit 0  
  22.   
  23. RUN=yes  
  24. #RUN_AS_USER=root  
  25.   
  26. #DAEMON_OPTS="-a $RUN_AS_USER"  
  27.   
  28. set -e  
  29.   
  30. case "$1" in  
  31.   start)  
  32.     echo -n "Starting $DESC: "  
  33.     start-stop-daemon --start --quiet --pidfile $PID_FILE \  
  34.         --exec $DAEMON  
  35.     echo "$NAME."  
  36.     ;;  
  37.   stop)  
  38.     echo -n "Stopping $DESC: "  
  39.     start-stop-daemon --stop --oknodo --quiet --pidfile $PID_FILE \  
  40.         --exec $DAEMON  
  41.     echo "$NAME."  
  42.     ;;  
  43.   force-reload)  
  44.     # check whether $DAEMON is running. If so, restart  
  45.     start-stop-daemon --stop --test --quiet --pidfile \  
  46.         $PID_FILE --exec $DAEMON \  
  47.     && $0 restart \  
  48.     || exit 0  
  49.     ;;  
  50.   restart)  
  51.     echo -n "Restarting $DESC: "  
  52.     start-stop-daemon --stop --oknodo --quiet --pidfile \  
  53.         $PID_FILE --exec $DAEMON  
  54.     sleep 1  
  55.     start-stop-daemon --start --quiet --pidfile \  
  56.         $PID_FILE --exec $DAEMON  
  57.     echo "$NAME."  
  58.     ;;  
  59.   status)  
  60.     if [ -s $PID_FILE ]; then  
  61.             RUNNING=$(cat $PID_FILE)  
  62.             if [ -d /proc/$RUNNING ]; then  
  63.                 if [ $(readlink /proc/$RUNNING/exe) = $DAEMON ]; then  
  64.                     echo "$NAME is running."  
  65.                     exit 0  
  66.                 fi  
  67.             fi  
  68.   
  69.             # No such PID, or executables don't match  
  70.             echo "$NAME is not running, but pidfile existed."  
  71.             rm $PID_FILE  
  72.             exit 1  
  73.         else  
  74.             rm -f $PID_FILE  
  75.             echo "$NAME not running."  
  76.             exit 1  
  77.         fi  
  78.     ;;  
  79.   *)  
  80.     N=/etc/init.d/$NAME  
  81.     echo "Usage: $N {start|stop|restart|force-reload}" >&2  
  82.     exit 1  
  83.     ;;  
  84. esac  
  85.   
  86. exit 0  

設(shè)置自啟動:

  1. sudo chkconfig --list nginx    
  2. sudo chkconfig nginx on   

 

作者:kunoy
申明:作者寫博是為了總結(jié)經(jīng)驗(yàn),和交流學(xué)習(xí)之用。
如需轉(zhuǎn)載,請盡量保留此申明,并在文章頁面明顯位置給出原文連接。謝謝!

    本站是提供個人知識管理的網(wǎng)絡(luò)存儲空間,所有內(nèi)容均由用戶發(fā)布,不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息,謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請點(diǎn)擊一鍵舉報。
    轉(zhuǎn)藏 分享 獻(xiàn)花(0

    0條評論

    發(fā)表

    請遵守用戶 評論公約

    類似文章 更多