nginx ssl單向和雙向配置

發(fā)布時間：2020-07-20 08:43:24 來源：網(wǎng)絡(luò) 閱讀：336 作者：大屁孩兒欄目：系統(tǒng)運維

Nginx配置SSL
https://coding.net/u/aminglinux/p/nginx/git/blob/master/ssl/nginx.md

Nginx配置SSL
Nginx配置示例（單向）

cp /etc/pki/ca_test/server/server.* /usr/local/nginx/conf/
{
listen 443 ssl;
server_name www.aminglinux.com;
index index.html index.php;
root /data/wwwroot/aminglinux.com;
ssl on;
ssl_certificate server.crt;
ssl_certificate_key server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL;
ssl_prefer_server_ciphers on;
...
}

配置說明

443端口為ssl監(jiān)聽端口。
ssl on表示打開ssl支持。
ssl_certificate指定crt文件所在路徑，如果寫相對路徑，必須把該文件和nginx.conf文件放到一個目錄下。
ssl_certificate_key指定key文件所在路徑。
ssl_protocols指定SSL協(xié)議。
ssl_ciphers配置ssl加密算法，多個算法用:分隔，ALL表示全部算法，!表示不啟用該算法，+表示將該算法排到最后面去。
ssl_prefer_server_ciphers 如果不指定默認(rèn)為off，當(dāng)為on時，在使用SSLv3和TLS協(xié)議時，服務(wù)器加密算法將優(yōu)于客戶端加密算法。

配置完成后出現(xiàn)的問題
nginx ssl單向和雙向配置

nginx ssl單向和雙向配置

經(jīng)查找資料將ssl on注釋掉就可以了（和新版本的nginx有關(guān)）
第二個報錯如下
nginx ssl單向和雙向配置
發(fā)現(xiàn)是.crt文件問題重新生成。crt文件的過程遇到了上節(jié)中出現(xiàn)的如下問題

然后 sed -i 's/unique_subject = yes/unique_subject = no/' /etc/pki/ca_test/index.txt.attr
重新生成.crt文件成功
重啟nginx成功
訪問https成功
nginx ssl單向和雙向配置

Nginx配置雙向認(rèn)證

cp /etc/pki/ca_test/root/ca.crt /usr/local/nginx/conf/
配置示例：
{
listen 443 ssl;
server_name www.aminglinux.com;
index index.html index.php;
root /data/wwwroot/aminglinux.com;
ssl on;
ssl_certificate server.crt;
ssl_certificate_key server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL;
ssl_prefer_server_ciphers on;
ssl_client_certificate ca.crt; //這里的ca.crt是根證書公鑰文件
ssl_verify_client on;
...
}

客戶端（瀏覽器）操作

如果不進行以下操作，瀏覽器會出現(xiàn)400錯誤。400 Bad Request（No required SSL certificate was sent）
首先需要將client.key轉(zhuǎn)換為pfx(p12)格式