nginx和iis下的SSL双向认证教程【ca 自签 ssl证书

2021-03-23  本文已影响0人  马京拓普

由于公司需求需要实现对nginx和iis服务的SSL双向认证,于是记录一下过程,我这边就没有去使用各大平台生成的SSL证书,而是自己生成证书。
其实不管是linux环境下的nginx,还是windows环境下的iis,都只需要使用openssl就可以生成对应的证书,从而完成SSL双向认证。

接下来的步骤我是在linux环境下生成的,其实windows下也是这样生成,只是需要先安装openssl。

1. 制作CA证书

1.1 制作CA私钥

openssl genrsa -out ca.key 2048

1.2 制作 CA 根证书(公钥)

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
//注意:具体信息都可以随意填写,Common Name这里不需要填写对应的域名或ip,我一般都是写个方便看的名字

2. 制作服务端证书

2.1 生成服务端私钥

openssl genrsa -out server.pem 1024
openssl rsa -in server.pem -out server.key

2.2 生成签发请求

openssl req -new -key server.pem -out server.csr
//注意:Common Name需要填写对应的域名或ip。
//1.如果你通过域名访问,就填域名,例如:www.xxx.com
//2.如果你通过IP访问,就填IP,例如:192.168.100.101(不需要填写协议头和端口号)

2.3 用ca证书签发服务端证书(含公钥)

openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt

这一步生成的服务端证书是给nginx服务使用的,如果想给windows下的iis使用,需要执行下方语句,将.crt转成.pfx格式。

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

3. 制作客户端证书(流程跟制作服务端证书一样)

3.1 生成客户端私钥

openssl genrsa -out client.pem 1024
openssl rsa -in client.pem -out client.key

3.2 生成签发请求

openssl req -new -key client.pem -out client.csr
//注意:Common Name需要填写对应的域名或ip。
//1.如果你通过域名访问,就填域名,例如:www.xxx.com
//2.如果你通过IP访问,就填IP,例如:192.168.100.101(不需要填写协议头和端口号)

3.3 用ca证书签发客户端证书(含公钥)

openssl x509 -req -sha256 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out client.crt

如果需要用浏览器来访问,需要执行下方语句,将客户端证书格式转成.p12格式,然后发给对应的电脑客户端,双击安装证书即可

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

4. 配置服务器

nginx

server {
        listen 443 ssl;                        #自己要用到的端口,不一定是443
        index index.html;

        root /data/abc/;

        ssl_certificate /etc/nginx/ssl/server.crt;   #上面证书生成的所在目录
        ssl_certificate_key /etc/nginx/ssl/server.key;  #上面证书生成的所在目录
        ssl_client_certificate /etc/nginx/ssl/ca.crt;  #上面证书生成的所在目录
        ssl_verify_client on;  #开启验证客户端
}

IIS

导入证书


image.png

开启验证客户端


image.png

这时配置好后,个人浏览器端还是不能访问,或者标记为不安全连接,需要上面步骤生成的ca.crt导入到个人电脑里。

5. 配置客户端

如果个人电脑没有导入客户端的证书,用浏览器访问可能会返回403,说没有SSL 客户证书。那我们只需要将上面步骤生成的client.p12导入到个人电脑中(密码就是生成证书时的密码),双击安装后,重启浏览器后进行访问,选择对应的证书就可以了。
如果想通过curl访问,可以执行下方语句

//url地址、 client.key、client.crt换成你自己的
curl --insecure --key client.key --cert client.crt 'https://192.168.100.101:1234'
上一篇下一篇

猜你喜欢

热点阅读