使用 OpenSSL 为 Nginx 创建自签名证书 并开启客户端身份验证
本文章默认读者了解Openssl,CA,网站证书相关知识,直接实战!配置完成后,浏览器会显示“安全的HTTPS”连接。不会像其他文章那样,是红色警告的证书提示。
准备环境
笔者使用的是Ubuntu16 ,其实什么系统都无所谓,请不要使用旧版Openssl就好,因为里面的漏洞实在太致命。
#先创建一个文件夹
mkdir openssl.Test
cd openssl.Test
mkdir -p ./demoCA/{private,newcerts}
touch demoCA/index.txt
touch demoCA/serial
echo 01 > demoCA/serial
#复制一份配置文件,可能会因系统不一致
cp /etc/ssl/openssl.cnf .
自建CA
1 设置私钥
openssl genrsa -des3 -out ./demoCA/private/cakey.pem 2048
2 申请自签名证书
根据提示一步步填写就好,但要记清楚填了什么,后面会用到
openssl req -new -x509 -days 365 -key ./demoCA/private/cakey.pem -out ./demoCA/cacert.pem
调整openssl.cnf
调整openssl.cnf 用来支持v3扩展,以实现多域名及扩展用途(EKU)
调整原因有二,一是让服务端证书支持多个二级域名,二是符合Chrome的证书检查,否则使用Chrome浏览时会提示不信任此证书
用自己喜欢的编辑器打开openssl.cnf
确保req下存在以下2行(默认第一行是有的,第2行被注释了)
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req
新增最后一行内容 subjectAltName = @alt_names(前2行默认存在)
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
#设置扩展用途 (EKU) 可选
#extendedKeyUsage = serverAuth,clientAuth
subjectAltName = @alt_names
新增 alt_names,注意括号前后的空格,DNS.x 的数量可以自己加,别忘了把申请证书时填写的域名(Common Name)加上
[ alt_names ]
DNS.1 = abc.example.com
DNS.2 = dfe.example.org
DNS.3 = ex.abcexpale.net
创建服务端证书
1 设置私钥
openssl genrsa -out userkey.pem 2048
2 创建证书申请
提示 Common Name 时 请填写域名,不要设置密码,否则Nginx部分会有麻烦,国家,省份,城市,公司,部门要和创建CA填写的资料一致,当然在配置文件里调整策略能绕过此检查。本文尽量使用默认的配置来完成~~~,所以请保持一致。
openssl req -new -days 365 -key userkey.pem -out userreq.pem
3 签发
openssl ca -in userreq.pem -out usercert.pem -extensions v3_req -config openssl.cnf
4 查看证书
openssl x509 -in usercert.pem -text -noout
创建客户端证书
与服务端类似
openssl genrsa -out clientkey.pem 2048
# Common name 随意写,设不设置密码随意
openssl req -new -days 365 -key clientkey.pem -out clientreq.pem
openssl ca -in clientreq.pem -out clientcert.pem -extensions v3_req -config openssl.cnf
转换下格式,方便windows下导入
openssl pkcs12 -export -inkey clientkey.pem -in clientcert.pem -out client.pfx
在浏览器端导入证书即可,忽略这句话的朋友,通常会遇到400的问题,无法自拔!
Nginx
Nginx 需要使用usercert.pem、userkey.pem、demoCA/cacert.pem,请读者自行拷贝出来。
以下配置文件只是参考,实际情况请读者自行配置。
PS:把证书和配置文件放在一个文件夹是不规范的行为,笔者图方便,仅做测试用
配置文件
server {
listen 443 ssl;
server_name test.com;
#charset koi8-r;
#access_log /var/log/nginx/host.access.log main;
ssl_certificate /etc/nginx/conf.d/usercert.pem;
ssl_certificate_key /etc/nginx/conf.d/userkey.pem;
ssl_client_certificate /etc/nginx/conf.d/cacert.pem;
ssl_verify_client on;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
......
}
Docker 启动
docker run --rm --name nginx01 -p 443:443 -v /home/xxx/www/conf:/etc/nginx/conf.d nginx
Windows打开证书配置管理器
1 当前用户
certmgr.msc
2 本地计算机(win7及以下没有)
certlm.msc
CA证书导入到"本地计算机"->"受信任的根证书颁发机构"中
客户端证书要从浏览器中导入哦!!!
常见问题
1 火狐浏览器 显示 不安全连接
考虑是系统根证书被导入了一个劫持证书,Firefox 49 版本开始添加了一个参数,如果遇到未知的 CA 证书,浏览器可以直接对正在使用的 Windows 系统证书存储机制进行检查对比。
在地址栏键入"about:config" 点击“我了解此风险”
在下方任意位置右键,选择新建布尔值
输入首选项名称为“security.enterprise_roots.enabled”并把值设置为 true
重启浏览器,HTTPS 网站即可正常访问
来源:百度贴吧
2 Chrome 显示 400 状态码
Ctrl + Shift + Del 清除缓存即可
3 IE8.0 如果要求使用 客户端证书 好像会一直出现 400 状态码 ~~~
4 IE11、Edge、Firefox、Chrome 测试通过
5 window导入时可以把*.pem结尾的证书改为*.crt方便识别
6 如果不想使用双向认证,请忽略【创建客户端证书】部分,并调整Nginx配置文件ssl_verify_client off;即可
参考
OpenSSL CA keyUsage extension
openSSL命令、PKI、CA、SSL证书原理
那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)
openssl用法详解
openssl自签名证书生成与单双向验证
还有一些地址想不起来了,如果引用了您的文章笔者却未声明,请联系笔者。
声明
本文采用知识共享署名-非商业性使用-相同方式共享 2.5 中国大陆许可协议进行许可,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接。
