nginx配置2 way ssl认证-mfc42d-ChinaUnix博客

邢红瑞的bloghongrui.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

mfc42d

博客访问： 4229966
博文数量： 447
博客积分： 1241
博客等级：中尉
技术积分： 5786
用户组：普通用户
注册时间： 2011-01-27 06:48

个人简介

读好书，交益友

文章分类

全部博文（447）

前端技术（5）
docker&vm（11）
embedded（9）

RaspBerry P（1）

yocto（2）

buildroot（3）

openwrt（1）
openwrt（17）
ffmpeg（3）
极限健身（5）
外语学习（8）
big data（6）

elasticsearch（2）
移动平台（8）

android（5）
scala（3）
网络安全（20）

态势感知（1）
EDM（7）
编程语言（96）

rust（3）

golang（1）

javascript（1）

groovy（1）

javascript（1）

perl（4）

python（16）

java（32）

c++（34）
数据库（37）
编程感悟（21）
并发（1）
nginx（12）
工具使用（33）
生活杂事（21）
linux（92）

ebpf（1）
windows编程（14）
PKI（15）
IT职场（3）
未分配的博文（0）

文章存档

2024年（1）

2023年（5）

2022年（29）

2021年（49）

2020年（16）

2019年（15）

2018年（23）

2017年（67）

2016年（42）

2015年（51）

2014年（57）

2013年（52）

2012年（35）

2011年（5）

我的朋友

相关博文

nginx配置2 way ssl认证

分类： LINUX

2018-10-11 14:56:28

1 Create a Root CA and generate a server certificate, private key, client certificate, and client key.

openssl genrsa -des3 -out ca.key 4096
openssl req -new -x509 -days 365 -key ca.key -out ca.crt -subj "/C=CN/ST=beijing/L=haidianO=changyang/CN=Self-Signed CA"
openssl genrsa -out client.key 4096
openssl req -new -key client.key -out client.csr -subj "/C=CN/ST=beijing/L=haidianO=changyang/CN=client"
openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt
openssl genrsa -out server.key 4096
openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=beijing/L=haidianO=changyang/CN=server"
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 02 -out server.crt

2 确认nginx编译了ssl模块
nginx version: nginx/1.14.0
built by gcc 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.10)
built with OpenSSL 1.0.2g 1 Mar 2016
TLS SNI support enabled
configure arguments: --prefix=/usr/local/server/nginx --with-cc-opt='-I /usr/include/pcre -I /usr/include/openssl' --with-debug --with-http_stub_status_module --with-http_ssl_module --with-http_realip_module --with-http_ssl_module --with-http_stub_status_module

3 nginx配置
server {
listen 444 ssl;
server_name localhost;

#charset koi8-r;

#access_log logs/host.access.log main;

location / {
root html;
index index.html index.htm;
}

#error_page 404 /404.html;

# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}

# proxy the PHP scripts to Apache listening on 127.0.0.1:80
#
#location ~ \.php$ {
# proxy_pass
#}

# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
#location ~ \.php$ {
# root html;
# fastcgi_pass 127.0.0.1:9000;
# fastcgi_index index.php;
# fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
# include fastcgi_params;
#}

# deny access to .htaccess files, if Apache's document root
# concurs with nginx's one
#
#location ~ /\.ht {
# deny all;
#}
ssl on;

ssl_certificate //software/pki/server.crt;

ssl_certificate_key //software/pki/server.key;

ssl_client_certificate //software/pki/ca.crt;

ssl_verify_client on;

ssl_session_timeout 5m;

ssl_protocols SSLv3 TLSv1;

ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP;

ssl_prefer_server_ciphers on;
}

4 测试
curl -k --cert client.crt --key client.key

阅读(1383) | 评论(0) | 转发(0) |

上一篇：windows下mysql 如何重置root密码

下一篇：ubuntu下安装chrome

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6