So konfigurieren Sie die bidirektionale Nginx-SSL-Überprüfung

1. Installieren Sie Nginx kurz

2 Verwenden Sie OpenSSL, um das Zertifikatscenter zu implementieren. 🎜 🎜#Da OpenSSL zum Einrichten eines privaten Zertifikatszentrums verwendet wird, muss sichergestellt werden, dass die folgenden Felder im Zertifikat, Serverzertifikat und Clientzertifikat des Zertifikatszentrums identisch sind
LändernameStaat oder Provinzname
Ortsname
Name der Organisation
Name der Organisationseinheit


Zertifikatcenter-Konfigurationsdatei bearbeiten

vim /etc/pki/tls /openssl.cnf#🎜🎜 #

[ ca_default ]
dir = /etc/pki/ca

certs = $dir/certs # wo die ausgestellten Zertifikate aufbewahrt werden

crl_dir = $ dir/crl#wobei die ausgegebene CRL aufbewahrt wird
Datenbank = $ DIR/INDEX. $dir/newcerts # Standardspeicherort für neue Zertifikate.
certificate = $dir/cacert.pem # das CA-Zertifikat
serial # die aktuelle Seriennummer#🎜 🎜#crlnumber = $dir/crlnumber # die aktuelle CRL-Nummer                                      ​ ​ ​ # die aktuelle CRL
private_key ​ = $dir/private/ cakey.pem# der private Schlüssel
randfile = $dir/private/.rand # private Zufallszahlendatei

[ req_distinguished_name ]
countryname = Ländername (2-Buchstaben-Code)# 🎜🎜#countryname_default = cn
countryname_min = 2
countryname_max = 2
stateorprovincename = Bundesstaat oder Provinz Name (vollständiger Name)
stateorprovincename_default = fj
localityname = Ortsname (z. B. Stadt)

localityname_default = fz

0.organizationname = Name der Organisation (z. B. Firma)#🎜🎜 #0.organizationname_default = zdz
organizationalunitname = Name der Organisationseinheit (z. B. Abschnitt)# 🎜🎜#organizationalunitname_default = zdz

Privaten Zertifikatsschlüssel erstellen
cd /etc/pki/ca /private
(umask 077;openssl genrsa -out cakey.pem 2048)#🎜 🎜#Selbstsigniertes Zertifikat generieren
cd /etc/pki/ca/
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days=3655
#🎜 🎜#
3. Serverzertifikat erstellen

mkdir /usr/local/nginx/ssl
cd /usr/local/nginx/ssl

(umask 077;openssl genrsa -out nginx.key 1024)

openssl req -new -key nginx.key -out nginx.csr#🎜 🎜#openssl ca -in nginx.csr -out nginx.crt -days=3650


4. Client-Browser-Zertifikat erstellen

(umask 077;openssl genrsa -out client.key 1024)

openssl req -new -key client.key -out client.csr

openssl ca -in client.csr -out client.crt -days=3650Convert das Zertifikat im Textformat in ein Zertifikat umwandeln, das in den Browser importiert werden kann
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12 5. Nginx-Serverüberprüfung konfigurieren /ssl/nginx.key;

ssl_client_certificate /usr/local/nginx/ssl/cacert.pem;ssl_session_timeout 5m;
#ssl_verify_client on; Deaktivieren Sie es vorübergehend, damit Clients ohne Zertifikate darauf zugreifen können. ssl_protocols sslv2 sslv3 tlsv1;


Klicken Sie auf „Ich habe die möglichen Risiken vollständig verstanden“.
nginx Die Konfiguration aktiviert ssl_verify_client.
Zugriff, wenn im Client-Browser kein Zertifikat installiert ist.


Importieren Sie das Zertifikat im Client-Browser von Firefox

Klicken Sie im Zertifikatsmanager auf „Importieren“ in Ihrem Zertifikat

Wählen Sie das Zertifikat aus und importieren Sie

Aktualisieren Sie die Webseite erneut, eine „Bestätigung der Verwendung“ wird angezeigt, klicken Sie auf „OK“ und fertig ist die bidirektionale Überprüfung

Das obige ist der detaillierte Inhalt vonSo konfigurieren Sie die bidirektionale Nginx-SSL-Überprüfung. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!