Nginx配置SSL
https://coding.net/u/aminglinux/p/nginx/git/blob/master/ssl/nginx.md
成都一家集口碑和實(shí)力的網(wǎng)站建設(shè)服務(wù)商�����,擁有專業(yè)的企業(yè)建站團(tuán)隊(duì)和靠譜的建站技術(shù),十余年企業(yè)及個(gè)人網(wǎng)站建設(shè)經(jīng)驗(yàn) ,為成都上千客戶提供網(wǎng)頁(yè)設(shè)計(jì)制作,網(wǎng)站開發(fā),企業(yè)網(wǎng)站制作建設(shè)等服務(wù),包括成都營(yíng)銷型網(wǎng)站建設(shè)�����,品牌網(wǎng)站制作��,同時(shí)也為不同行業(yè)的客戶提供成都網(wǎng)站設(shè)計(jì)����、做網(wǎng)站的服務(wù),包括成都電商型網(wǎng)站制作建設(shè),裝修行業(yè)網(wǎng)站制作建設(shè),傳統(tǒng)機(jī)械行業(yè)網(wǎng)站建設(shè),傳統(tǒng)農(nóng)業(yè)行業(yè)網(wǎng)站制作建設(shè)��。在成都做網(wǎng)站,選網(wǎng)站制作建設(shè)服務(wù)商就選創(chuàng)新互聯(lián)����。
Nginx配置SSL
Nginx配置示例(單向)
cp /etc/pki/ca_test/server/server.* /usr/local/nginx/conf/
{
listen 443 ssl;
server_name www.aminglinux.com;
index index.html index.php;
root /data/wwwroot/aminglinux.com;
ssl on;
ssl_certificate server.crt;
ssl_certificate_key server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL;
ssl_prefer_server_ciphers on;
...
}
配置說明
- 443端口為ssl監(jiān)聽端口��。
- ssl on表示打開ssl支持��。
- ssl_certificate指定crt文件所在路徑����,如果寫相對(duì)路徑��,必須把該文件和nginx.conf文件放到一個(gè)目錄下�。
- ssl_certificate_key指定key文件所在路徑。
- ssl_protocols指定SSL協(xié)議�。
- ssl_ciphers配置ssl加密算法,多個(gè)算法用:分隔��,ALL表示全部算法����,!表示不啟用該算法,+表示將該算法排到最后面去�����。
- ssl_prefer_server_ciphers 如果不指定默認(rèn)為off���,當(dāng)為on時(shí)�,在使用SSLv3和TLS協(xié)議時(shí),服務(wù)器加密算法將優(yōu)于客戶端加密算法�。
配置完成后出現(xiàn)的問題
.jpg)
.jpg)
經(jīng)查找資料將ssl on注釋掉就可以了 (和新版本的nginx有關(guān))
第二個(gè)報(bào)錯(cuò)如下
.jpg)
發(fā)現(xiàn)是.crt文件問題 重新生成�。crt文件的過程遇到了上節(jié)中出現(xiàn)的如下問題
.jpg)
然后 sed -i 's/unique_subject = yes/unique_subject = no/' /etc/pki/ca_test/index.txt.attr
重新生成.crt文件成功
重啟nginx成功
訪問https成功
.jpg)
Nginx配置雙向認(rèn)證
cp /etc/pki/ca_test/root/ca.crt /usr/local/nginx/conf/
配置示例:
{
listen 443 ssl;
server_name www.aminglinux.com;
index index.html index.php;
root /data/wwwroot/aminglinux.com;
ssl on;
ssl_certificate server.crt;
ssl_certificate_key server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL;
ssl_prefer_server_ciphers on;
ssl_client_certificate ca.crt; //這里的ca.crt是根證書公鑰文件
ssl_verify_client on;
...
}
客戶端(瀏覽器)操作
如果不進(jìn)行以下操作,瀏覽器會(huì)出現(xiàn)400錯(cuò)誤����。400 Bad Request(No required SSL certificate was sent)
首先需要將client.key轉(zhuǎn)換為pfx(p12)格式
cd /etc/pki/ca_test/client
openssl pkcs12 -export -inkey client.key -in client.crt -out client.pfx //這一步需要輸入一個(gè)自定義密碼,一會(huì)在windows上安裝的時(shí)候要用到�,需要記一下。
然后將client.pfx拷貝到windows下��,雙擊即可安裝��。
也可以直接curl測(cè)試:
curl -k --cert /etc/pki/ca_test/client/client.crt --key /etc/pki/ca_test/client/client.key https://www.aminglinux.com/index.html
配置如下
.jpg)
重加載nginx 瀏覽器訪問如下
.jpg)
將客戶端證書導(dǎo)入
.jpg)
.jpg)
.jpg)
.jpg)
雙向配置完成
網(wǎng)站標(biāo)題:nginxssl單向和雙向配置
URL標(biāo)題:
http://weahome.cn/article/gijhsj.html
重慶分公司
重慶分公司
