首先創(chuàng)建一個目錄
cd /etc/nginx
mkdir ssl
cd ssl
CA與自簽名
制作CA私鑰
openssl genrsa -out ca.key 2048
制作 CA 根證書(公鑰)
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
注意:
1���、Common Name 可以隨意填寫
2�����、其他需要填寫的信息為了避免有誤����,都填寫 . 吧
服務器端證書
制作服務器端私鑰:
openssl genrsa -out server.pem 1024
openssl rsa -in server.pem -out server.key
生成簽發(fā)請求:
openssl req -new -key server.pem -out server.csr
注意:
1、Common Name 得填寫為訪問服務時的域名�,這里我們用 usb.dev 下面 NGINX 配置會用到
2、其他需要填寫的信息為了避免有誤�,都填寫 . 吧(為了和 CA 根證書匹配)
用CA簽發(fā)
openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt
客戶端證書
與服務端證書類似
注意:
1、Common Name可以隨意填寫
2����、其他需要填寫的信息為了避免有誤,都填寫 . 吧(為了和 CA 根證書匹配)
至此需要的證書都弄好了����,我們可以開始配置 NGINX 了。
Nginx配置
server {
listen 443;
server_name usb.dev;
index index.html;
root /data/test/;
ssl on;
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
ssl_client_certificate /etc/nginx/ssl/ca.crt;
ssl_verify_client on;
}
請求驗證
驗證過程可以選擇在其他機器或是本機����,為了能夠解析 usb.dev,還需要配置一下 /etc/hosts:
如果用瀏覽器驗證�,需要把客戶端證書導出成 p12 格式的
openssl pkcs12 -export -clcerts -in client.crt -inkey client.pem -out client.p12
從服務器上將幾個證書下載下來,然后安裝到可信的證書列表�����,點擊剛才生成的p12文件輸入證書的密碼將安裝至個人列表。
然后關閉瀏覽器���,重新輸入域名�,會出現ssl雙向驗證的證書提示�。選擇證書即可。
以上就是本文的全部內容�����,希望對大家的學習有所幫助���,也希望大家多多支持腳本之家���。
