nginx ssl單向和雙向配置

Nginx配置SSL
https://coding.net/u/aminglinux/p/nginx/git/blob/master/ssl/nginx.md

Nginx配置SSL
Nginx配置示例（單向）

cp /etc/pki/ca_test/server/server.* /usr/local/nginx/conf/
{
listen 443 ssl;
server_name www.aminglinux.com;
index index.html index.php;
root /data/wwwroot/aminglinux.com;
ssl on;
ssl_certificate server.crt;
ssl_certificate_key server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL;
ssl_prefer_server_ciphers on;
...
}

配置說明

1. 443端口為ssl監聽端口。
2. ssl on表示打開ssl支持。
3. ssl_certificate指定crt文件所在路徑，如果寫相對路徑，必須把該文件和nginx.conf文件放到一個目錄下。
4. ssl_certificate_key指定key文件所在路徑。
5. ssl_protocols指定SSL協議。
6. ssl_ciphers配置ssl加密算法，多個算法用:分隔，ALL表示全部算法，!表示不啟用該算法，+表示將該算法排到最后面去。
7. ssl_prefer_server_ciphers 如果不指定默認為off，當為on時，在使用SSLv3和TLS協議時，服務器加密算法將優于客戶端加密算法。

配置完成后出現的問題

經查找資料將ssl on注釋掉就可以了 （和新版本的nginx有關）
第二個報錯如下

發現是.crt文件問題 重新生成。crt文件的過程遇到了上節中出現的如下問題

然后 sed -i 's/unique_subject = yes/unique_subject = no/' /etc/pki/ca_test/index.txt.attr
重新生成.crt文件成功
重啟nginx成功
訪問https成功

Nginx配置雙向認證

cp /etc/pki/ca_test/root/ca.crt /usr/local/nginx/conf/
配置示例：
{
listen 443 ssl;
server_name www.aminglinux.com;
index index.html index.php;
root /data/wwwroot/aminglinux.com;
ssl on;
ssl_certificate server.crt;
ssl_certificate_key server.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!eNULL;
ssl_prefer_server_ciphers on;
ssl_client_certificate ca.crt; //這里的ca.crt是根證書公鑰文件
ssl_verify_client on;
...
}

客戶端（瀏覽器）操作

如果不進行以下操作，瀏覽器會出現400錯誤。400 Bad Request（No required SSL certificate was sent）
首先需要將client.key轉換為pfx(p12)格式

cd /etc/pki/ca_test/client

openssl pkcs12 -export -inkey client.key -in client.crt -out client.pfx //這一步需要輸入一個自定義密碼，一會在windows上安裝的時候要用到，需要記一下。

然后將client.pfx拷貝到windows下，雙擊即可安裝。

也可以直接curl測試：
curl -k --cert /etc/pki/ca_test/client/client.crt --key /etc/pki/ca_test/client/client.key https://www.aminglinux.com/index.html

配置如下

重加載nginx 瀏覽器訪問如下

將客戶端證書導入

雙向配置完成