nginx中怎么實現雙向認證

nginx中怎么實現雙向認證，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

客戶端證書生成：

1)創建根證私鑰

openssl genrsa -out root-key.key 2048

2)創建根證書請求文件

openssl req -new -out root-req.csr -key root-key.key

具體如下

[root@localhost sslKey]# openssl req -new -out root-req.csr -key root-key.key

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:cn

State or Province Name (full name) []:bj

Locality Name (eg, city) [Default City]:bj

Organization Name (eg, company) [Default Company Ltd]:dc

Organizational Unit Name (eg, section) []:dc

Common Name (eg, your name or your server's hostname) []:root

Email Address []:



Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

其中國家,省市,公司等需要和后面的證書保持一致.后面challenge password的地方直接回車就好

3)自簽根證書

openssl x509 -req -in root-req.csr -out root-cert.cer -signkey root-key.key -CAcreateserial -days 3650

4)生成p12格式根證書,密碼填寫123456

openssl pkcs12 -export -clcerts -in root-cert.cer -inkey root-key.key -out root.p12

至此客戶端證書生成完畢。

我們得到root-cert.cer 和 root.p12，將root.p12導入至瀏覽器，在nignx中開啟客戶端認證

server {
    listen 443;
    server_name abc.com;
    ssl on;
    ssl_certificate   cert/server.pem; 
    ssl_certificate_key  cert/server.key;
    ssl_client_certificate cert/root.cer;  #本文生成cer文件
    ssl_verify_client on;                  #開啟校驗
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    
    client_max_body_size 10m;
    location / {
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto https;
            proxy_pass http://192.168.0.138:8081;

    }
}

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。