怎么在Nginx中利用SSL實現雙向認證

怎么在Nginx中利用SSL實現雙向認證？針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

首先創建一個目錄

cd /etc/nginx
mkdir ssl
cd ssl

CA與自簽名

制作CA私鑰

openssl genrsa -out ca.key 2048

制作 CA 根證書（公鑰）

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

注意：

1、Common Name 可以隨意填寫
2、其他需要填寫的信息為了避免有誤，都填寫 . 吧

服務器端證書

制作服務器端私鑰：

openssl genrsa -out server.pem 1024
openssl rsa -in server.pem -out server.key

生成簽發請求：

openssl req -new -key server.pem -out server.csr

注意:

1、Common Name 得填寫為訪問服務時的域名，這里我們用 usb.dev 下面 NGINX 配置會用到
2、其他需要填寫的信息為了避免有誤，都填寫 . 吧（為了和 CA 根證書匹配）

用CA簽發

openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt

客戶端證書

與服務端證書類似

注意:

1、Common Name可以隨意填寫
2、其他需要填寫的信息為了避免有誤，都填寫 . 吧（為了和 CA 根證書匹配）

至此需要的證書都弄好了，我們可以開始配置 NGINX 了。

Nginx配置

server {
    listen 443;
    server_name usb.dev;

    index index.html;

    root /data/test/;

    ssl on;
    ssl_certificate /etc/nginx/ssl/server.crt;
    ssl_certificate_key /etc/nginx/ssl/server.key;
    ssl_client_certificate /etc/nginx/ssl/ca.crt;
    ssl_verify_client on;
}

請求驗證

驗證過程可以選擇在其他機器或是本機，為了能夠解析 usb.dev，還需要配置一下 /etc/hosts：

ip地址 usb.dev

如果用瀏覽器驗證，需要把客戶端證書導出成 p12 格式的

openssl pkcs12 -export -clcerts -in client.crt -inkey client.pem -out client.p12

關于怎么在Nginx中利用SSL實現雙向認證問題的解答就分享到這里了，希望以上內容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注億速云行業資訊頻道了解更多相關知識。