firefox+linux+nginx搭建server与client通过证书双向认证环境

  项目中需要搭建一个server和client基于证书的双向认证环境。由我来做,我也不会。

  经过一晚上的研究,基本摸清了(知其然不知其所以然)。做下笔记。

基本环境:

  1.安装nginx。

  2.安装openssl。

生成证书:

  首先建立一个工作目录,这里以我的工作目录为例。(/home/myca/),然后执行如下命令。建立生成证书的路径文件结构,这是由openssl的默认配置文件决定的。你可以修改配置。

mkdir demoCA
cd demoCA
touch ./{serial,index.txt}
echo '01'  > serial
mkdir ./newcerts
cd ..

 

  拷贝配置文件到工作目录。当然前缀路径要换成你自己的。

cp /usr/local/ssl/openssl.cnf   ./

  

  修改配置文件。编辑openssl.cnf中的一些选项。

  unique_subject  = no   (这样一个CA可以同时签多张证书)

  countryName = optional(把这些参数的匹配规则改为可选)

  stateOrProvinceName = optional

  organizationName  = optional

  organizationalUnitName  = optional

 

  现在我们来生成自己的CA。

openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf

  生成会话会让你填入一些参数,红线标出的是要输入的,根据实际情况填写。执行完会发现工作目录下会有ca.crt  ca.key两个文件。截图如下:

  firefox+linux+nginx搭建server与client通过证书双向认证环境

  接下来生成server端证书。

  首先生成server端私钥。执行后会要求输入解析私钥文件的密码,根据个人喜好设置。生成server.key。

openssl genrsa -des3 -out server.key 1024

  生成证书请求。生成会话会提示输入一些请求信息,成功后生成server.csr。

openssl req -new -key server.key -out server.csr -config openssl.cnf

  firefox+linux+nginx搭建server与client通过证书双向认证环境

  注意紫色线条标出的一行,这行输入server端的域名(https://192.168.68.173:8080是我的服务器地址)。否则签发的证书会被浏览器视为不是本站点的证书。其他根据情况。

  

  现在用生成的CA给证书请求(server.csr)签发证书。根据提示输入相关密码(之前设置好的)和y(yes),成功后生成证书server.crt

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

  

  到这里,我们已经可以做单项认证了,来试试。

  配置nginx:vi /usr/local/nginx/conf/nginx.conf修改配置如下图(注意证书和CA的路径是我的工程路径):

  firefox+linux+nginx搭建server与client通过证书双向认证环境

  保存后启动nginx,会要求输入server端私钥文件解析密码,输入生成时设置的密码。

  在windows下打开firefox输入https://192.168.68.173:8080回车。

  firefox+linux+nginx搭建server与client通过证书双向认证环境

  这说明nginx已经向浏览器发送了自己的证书,但是这个证书不受信任。别急,现在我们把之前自己的CA导入浏览器。

  打开 选项->高级->查看证书->证书机构->导入。先择CA后根据提示导入证书。成功后如下:

  firefox+linux+nginx搭建server与client通过证书双向认证环境

  再次输入https://192.168.68.173:8080回车。

  firefox+linux+nginx搭建server与client通过证书双向认证环境

  看见中间那行提示了吗?中式英语翻译过来就是-->没有要求的ssl证书来发送。也就是说,client已经成功认证了server端的证书,但是我们配置nginx为双向认证,所以nginx要求浏览器出示证书,而浏览器没有证书。

  说明单项认证已经OK,现在为client生成证书。

  首先生成client端私钥,执行后会要求输入解析私钥文件的密码,根据个人喜好设置。生成client.key。

openssl genrsa -des3 -out client.key 1024

 

  生成证书请求。生成会话会提示输入一些请求信息,成功后生成client.csr。

openssl req -new -key client.key -out client.csr -config openssl.cnf

  firefox+linux+nginx搭建server与client通过证书双向认证环境

  现在用之前生成的CA给证书请求(client.csr)签发证书。根据提示输入相关密码(之前设置好的)和y(yes),成功后生成证书client.crt

openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

 

  firefox要求客户端的证书格式是p12格式,所以我们把client.crt转化为client.p12格式

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

 

  最后一步,把client.p12导入浏览器。

  打开 选项->高级->查看证书->您的证书->导入。根据提示导入,导入成功后如图:

  firefox+linux+nginx搭建server与client通过证书双向认证环境

  输入https://192.168.68.173:8080回车。

  firefox+linux+nginx搭建server与client通过证书双向认证环境

   OK!!!

 

更多相关文章
  • 一些第三方jar包我们需要手动进行安装部署,另外如果使用nexus时索引未更新下来急于使用时也可以进行安装或部署.安装(install)仅将相应jar包安装到了本地仓库,而部署(deploy)则将jar包部署到了私有仓库中.如下两段代码分别是命令行形式下安装oracle 的jdbc驱动包,和部署su ...
  • 51CTO开发频道推出<开发月刊>电子杂志,每月一期.“我们只谈开发”是<开发月刊>的口号,本杂志面向广大程序员.项目经理以及架构师.查看往期杂志,请点击这里. 2012年07月刊下载地址 51CTO下载频道:http://down.51cto.com/data/454913 ...
  • rtV6.0.14.07.07 UTF8详细说明:看了大牛们提交的 WooYun: ESPCMS最新 V5.8.14.03.03 UTF8 正式版暴力注入 下了最新版来看看,发现 加密函数 还是老样子啊- -不过 ,查询换成 了 id 而不是 username了,但是 id 是 intval的.fu ...
  • 怎么快速判断哪些进程是系统进程?之前打开任务管理器的进程,因为那些英文进程看不懂,不知道哪些是系统进程,一个个上网去查,有些也没有详细的解释,今天终于发现一个很简单的办法,不知道有没人写过类似的,下面说一下这个方法吧 之前打开任务管理器的进程,因为那些英文进程看不懂,不知道哪些是系统进程,一个个上网 ...
  • 一步两步似魔鬼的步伐 缺陷文件: /core/function/global.func.php 如下:   /** * 显示页面 * @param string $cache_file 缓存路径 * @param bool $is_session 是否更新session * @param bool ...
  • Tiling Time Limit: 1000MS   Memory Limit: 65536K Total Submissions: 8205   Accepted: 3974 Description In how many ways can you tile a 2xn rectangle by ...
一周排行
  • 即便没有国庆节."光棍节"--电子商务零售也已经成为最容易冠以"狂欢"名号的互联网行为.波士顿(BCG)公司的一份调研报告指出,中国电子商务零售额将在2015年超越美国更似一剂 ...
  • 新款iPad升级并不重要,用户购买新款iPad时并不是看上创新功能,而是看上其生态系统.因此,也就不会有人在意对新款iPad没有革命性升级的抱怨了.苹果新款iPad只提供了少量关键升级功能,如采用改进后的显示屏.处理 ...
  • 利用远程保存,Getshell思路整理.ewebeditor拿SHELL相当的简单,但有的时候发现上传修改cer,cdx,asa,php等类型都不行,可能站长处理了一些存在安全隐患的因素,修改不当也是有的.或者删除了 ...
  • oracle_用户只有访问其他用户视图的权限   --创建用户 CREATE USER lf IDENTIFIED BY lf     PROFILE DEFAULT     DEFAULT TABLESPACE u ...
  • 有一天,小明无聊,对宿舍玩CS的舍友进行统计,结果刚记下四行,被舍友认为影响发挥,给踢到床下去了,让我们看看可怜的小明的记录:--武器  子弹数量  血  行为--机枪     多     少  战斗机枪     少 ...
  •   应用程序通过socket系统调用和远程主机进行通讯,每一个socket都有一个读写缓冲区.读缓冲区保存了远程主机发送过来的数据,如果缓冲区已满,则数据会被丢弃,写缓冲期保存了要发送到远程主机的数据,如果写缓冲区已 ...
  • I’m confused about unaligned memory accesses on ARM. My understanding was that they’re not allowed — that is ...
  • 成熟伤感个性签名,不是只有年少的人.不成熟的人才会伤感,成熟的人也会伤感,而且伤感起来根本不会那么快就好起来,一旦伤感,会产生非常郁闷的心里.消极的心态,很多事不想做,很多人不想理--下面是关于成熟之人伤感的个性签名 ...
  • U盘是由主控板+FLASH+外壳组成的,当主控板焊接上空白FLASH后插入电脑,因为没有相应的数据,    量产工具 电脑只能识别到主控板,而无法识别到FLASH,所以这时候电脑上显示出U盘盘符,但是双击盘符却显示没 ...
  • 反正任由总理怎么强调,在中国的当前的网络环境下,中央库的访问速度总是令人心碎.建一个nexus内部库可以建立缓存,只要有人通过它下载了相关的maven依赖,那么别人需要时可以马上从本地网络的服务器上返回而不需要在从中 ...