Rumah > Artikel > Operasi dan penyelenggaraan > Bagaimana untuk mengkonfigurasi pengesahan dua hala nginx ssl
Bagaimana untuk mengkonfigurasi pengesahan dua hala nginx ssl
- 王林ke hadapan
- 2023-05-15 11:58:052269semak imbas
1. Pasang nginx secara ringkas
2. Gunakan openssl untuk melaksanakan pusat sijil
Kerana openssl digunakan untuk menetapkan. naik pusat sijil persendirian , jadi pastikan medan berikut adalah sama dalam sijil pusat sijil, sijil pelayan dan sijil pelanggan
nama negara
nama negeri atau wilayah
nama kawasan
nama organisasi
nama unit organisasi
Edit fail konfigurasi Pusat Sijil
vim /etc/pki/tls/openssl.cnf
[ ca_default ]
dir = /etc /pki/ca
certs = $dir/certs # tempat sijil yang dikeluarkan disimpan
crl_dir = $dir/crl # tempat crl yang dikeluarkan disimpan
pangkalan data = $dir/index.txt # indeks pangkalan data fail.
# unique_subject = tidak #-beberapa ctificates dengan subjek yang sama # tempat lalai untuk sijil baharu.
sijil = $dir/cacert.pem # the. sijil ca
siri diulas untuk meninggalkan crl v1
crl = $dir/ crl.pem
nama negara stateorprovincename = nama negeri atau wilayah (nama penuh)
stateorprovincename_default = fj
localityname = nama lokaliti (cth, bandar)
localityname_default = fz
0.organizationname = nama organisasi (cth, syarikat)
organizationalunitname = nama unit organisasi (cth, bahagian)
organizationalunitname_default = zdz
Buat kunci peribadi sijil
cd /etc/pki/ca/private
(umask 077;openssl genrsa -out cakey.pem 2048)
Jana Diri sijil yang ditandatangani
cd /etc/pki/ca/
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days=3655
3 sijil pelayan
cd /usr/local/nginx/ssl
(umask 077;openssl genrsa -out nginx.key 1024)
openssl req -new -key nginx.key -out nginx.csr
openssl ca -in nginx.csr -out nginx.crt -days=3650
(umask 077;openssl genrsa -out client.key 1024)openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -out client.crt -days =3650Tukar sijil format teks kepada sijil yang boleh diimport ke dalam penyemak imbas
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
5. Konfigurasikan pengesahan pelayan nginx
vim /usr/local/nginx/conf/nginx.conf
ssl on;
ssl_certificate /usr/local/nginx/ssl/ nginx.crt;
ssl_certificate_key /usr/local/nginx/ssl/nginx.key;
ssl_client_certificate /usr/local/nginx/ssl/cacert.pem;
sl_mession_time pada ; Pelayan sahkan klien, tidak dibuka buat masa ini, supaya pelanggan tanpa sijil boleh diakses terlebih dahulu pengesahan sehala
SSL_PROTOCOLS SSLV2 SSLV3 TLSV1 " ”
Klik “Tambah Pengecualian”
Klik “Sahkan Pengecualian Keselamatan”
6 Konfigurasikan pengesahan dua hala 
Akses apabila penyemak imbas pelanggan tidak mempunyai sijil yang dipasang
Import sijil dalam penyemak imbas klien
Muat turun sijil klien yang dijana pada pelayan linux ke tingkap 
Buka tab Lanjutan Firefox 
dalam pengurus sijil Dalam sijil anda, klik Import
Pilih sijil dan import
Muat semula halaman web sekali lagi, "Pengesahan Penggunaan" muncul dan klik OK untuk mencapai pengesahan dua hala
Atas ialah kandungan terperinci Bagaimana untuk mengkonfigurasi pengesahan dua hala nginx ssl. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!