nginx ssl 双向认证.docxVIP

nginx ssl 双向认证 2011-04-12 14:21:34 标签： HYPERLINK /tagindex.php?keyword=ssl+ \t _blank ssl  HYPERLINK /tagindex.php?keyword=nginx \t _blank nginx  HYPERLINK /blog/569392 Nginx的浏览器/服务器双向SSL证书认证配置  文章分类: HYPERLINK /blogs/category/os 操作系统 最近的项目中需要安全性控制，而我又懒得改动后台的程序代码，故而想在反向代理层加入SSL证书验证。 一直在用Nginx做反向代理，但是其SSL的配置只用过普通的服务端单向证书。在Google，百度狂搜一通之后，一无所获，依旧是那老三样，只有单向认证的示例。浏览器端双向认证的配置好像从没人写过。 无奈之下，只好从OpenSSL的客户端证书开始学起，一点一点啃，大段大段的E文让我这半瓶子醋看的头晕眼晕。最后在 /blogs/securitymonkey/howto-securing-a-website-with-client-ssl-certificates-11500 的提示下终于把这个证书搞定，来秀一个。 这需要一下几个步骤： 1) 安装openssl用来做证书认证 2) 创建一个CA根证书 3) 创建一个自签名的服务器证书 4) 设置Nginx 5) 创建客户端证书 6) 安装客户端证书到浏览器 7) Profit. 1) 这一步我是在ubuntu下直接apt-get装的openssl, 配置文件安装在/etc/ssl/f 修改f的以下几段 [ ca ] default_ca = foo Openssl将会寻找名称为foo的配置段 Java代码 ? [?foo?]?? dir?=?/etc/ssl/private?? database?=?$dir/index.txt?? serial?=?$dir/serial?? private_key?=?$dir/ca.key?? certificate?=?$dir/ca.crt?? default_days?=?3650?? default_md?=?md5?? new_certs_dir?=?$dir?? policy?=?policy_match?? [ foo ] dir = /etc/ssl/private database = $dir/index.txt serial = $dir/serial private_key = $dir/ca.key certificate = $dir/ca.crt default_days = 3650 default_md = md5 new_certs_dir = $dir policy = policy_match policy_match 我保持默认值没有改 Java代码 ? [?policy_match?]?? countryName?=?match?? stateOrProvinceName?=?match?? organizationName?=?match?? organizationalUnitName?=?match?? commonName?=?supplied?? emailAddress?=?optional?? [ policy_match ] countryName = match stateOrProvinceName = match organizationName = match organizationalUnitName = match commonName = supplied emailAddress = optional 默认签发有效期为10年，你可以自己设置一个合适的值 2) 创建一个新的CA根证书 下面的几个脚本我都放在/etc/ssl目录下 new_ca.sh: Java代码 ? #!/bin/sh?? #?Generate?the?key.?? openssl?genrsa?-out?private/ca.key?? #?Generate?a?certificate?request.?? openssl?req?-new?-key?private/ca.key?-out?private/ca.csr?? #?Self?signing?key?is?bad...?this?could?work?with?a?third?party?signed?key...?registeryfly?has?them?on?for?$16?