Nginx中如何實現SSL快速雙向認證配置

這篇文章給大家分享的是有關Nginx中如何實現SSL快速雙向認證配置的內容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

目前遇到一個項目有安全性要求，要求只有個別用戶有權限訪問。本著能用配置解決就絕不用代碼解決的原則，在Nginx上做一下限制和修改即可。

這種需求其實實現方式很多，經過綜合評估考慮，覺得SSL雙向認證方案對用戶使用最簡單，遂決定用此方案。

注: 本方案在Ubuntu Server 16.04 LTS實施，其他操作系統請酌情修改

SSL雙向認證

絕大多數SSL應用都以單向認證為主，即客戶端只要信任服務端，就可以使用服務端的公鑰加密后向服務端發起請求，由服務端的私鑰解密之后獲得請求數據。

如果這個過程反過來，讓服務端信任客戶端，服務端使用客戶端的公鑰加密之后將數據返回給客戶端，其實也是可以做到的，原理和實現跟單向認證都差不多。

服務端信任客戶端的操作往往也會伴隨著客戶端認證服務端的過程，所以讓服務端信任客戶端的SSL認證方式往往也被稱為SSL雙向認證，并且要配置SSL雙向認證必須先開啟服務端SSL，先配置客戶端信任服務端。

Nginx的SSL雙向認證配置

第一步 開啟https訪問

根據理論知識，我們必須先開啟Nginx的SSL配置，即啟用https。這個過程較為簡單，目前有let's encrypt這種免費的證書方案，再也不用發愁自己搭建CA自簽了。申請免費證書的過程略過，直接貼啟用https的配置:

server {
 listen 80;
 listen 443 ssl http2;
 server_name example.com;

 ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
 # 只有Nginx >= 1.13.0 版本才支持TLSv1.3協議
 # ssl_protocols TLSv1.3;
 # Nginx低于1.13.0版本用這個配置
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 ssl_prefer_server_ciphers on; 
 ssl_dhparam dhparam.pem; # openssl dhparam -out /etc/nginx/dhparam.pem 4096
 ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
 ssl_ecdh_curve secp384r1; # Requires nginx >= 1.1.0
 ssl_session_timeout 10m;
 ssl_session_cache shared:SSL:10m;
 ssl_session_tickets off; # Requires nginx >= 1.5.9
 ssl_stapling on; # Requires nginx >= 1.3.7
 ssl_stapling_verify on; # Requires nginx => 1.3.7
 resolver 223.5.5.5 114.114.114.114 valid=300s;
 resolver_timeout 5s; 
 # 啟用HSTS的配置，如果你的域名下還有非標準端口訪問的http應用，請勿啟用HSTS
 # add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
 # 下面這個配置會拒絕Frame標簽內容，請確認你的網站沒有frame / iframe
 add_header X-Frame-Options DENY;
 add_header X-Content-Type-Options nosniff;
 add_header X-XSS-Protection "1; mode=block";

 # 為了let's encrypt續期用，不用let's encrypt不需要這個location
 location /.well-known {
  root /usr/share/nginx/html;
 }

  ... SNIP ...

 # 強制http跳轉為https
 if ($scheme != "https") {
  return 301 https://$http_host$request_uri;
 }
}

以上那一大堆ssl的配置參考來自于: https://cipherli.st/ 加強SSL的安全性配置

特別注意最后的強制https跳轉，我們的目的是SSL雙向認證，不走https無任何意義，所以必須強制跳轉https。

第二步 生成客戶端證書并簽證(腳本)

這個過程詳細描述的文章太多了，這里就不啰嗦介紹openssl和簽證過程了，本篇內容是快速生成雙向認證配置的證書，所以直接貼腳本就行了，命令都是參考互聯網上各種openssl雙向配置文檔，在此基礎之上進行了命令上的簡化與非交互式的支持。

整個目錄結構如圖:

# tree /etc/nginx/ssl_certs/
/etc/nginx/ssl_certs/
├── create_ca_cert.sh
├── create_client_cert.sh
├── revoke_cert.sh

0 directories, 3 files

自行創建/etc/nginx/ssl_certs/，放入三個腳本，分別用于生成CA證書以及CA目錄(create_ca_cert.sh腳本的作用，只有第一次需要運行)，創建客戶端證書，并用CA證書簽證(create_client_cert.sh腳本的作用，必須先生成CA證書)，revoke_cert.sh腳本用于吊銷證書，需要收回權限的時候可以使用。

每個腳本內容如下:

create_ca_cert.sh

#!/bin/bash -e

# 創建CA根證書
# 非交互式方式創建以下內容:
# 國家名(2個字母的代號)
C=CN
# 省
ST=Shannxi
# 市
L=Xian
# 公司名
O=My Company
# 組織或部門名
OU=技術部
# 服務器FQDN或頒發者名
CN=www.example.com
# 郵箱地址
emailAddress=admin@example.com

mkdir -p ./demoCA/{private,newcerts}
touch ./demoCA/index.txt
[ ! -f ./demoCA/seria ] && echo 01 > ./demoCA/serial
[ ! -f ./demoCA/crlnumber ] && echo 01 > ./demoCA/crlnumber
[ ! -f ./demoCA/cacert.pem ] && openssl req -utf8 -new -x509 -days 36500 -newkey rsa:2048 -nodes -keyout ./demoCA/private/cakey.pem -out ./demoCA/cacert.pem -subj "/C=${C}/ST=${ST}/L=${L}/O=${O}/OU=${OU}/CN=${CN}/emailAddress=${emailAddress}"
[ ! -f ./demoCA/private/ca.crl ] && openssl ca -crldays 36500 -gencrl -out "./demoCA/private/ca.crl"

create_client_cert.sh

#!/bin/bash -e

show_help() {
  echo "$0 [-h|-?|--help] [--ou ou] [--cn cn] [--email email]"
  echo "-h|-?|--help  顯示幫助"
  echo "--ou      設置組織或部門名，如: 技術部"
  echo "--cn      設置FQDN或所有者名，如: 馮宇"
  echo "--email     設置FQDN或所有者郵件，如: fengyu@example.com"
}

while [[ $# -gt 0 ]]
do
  case $1 in
    -h|-\?|--help)
      show_help
      exit 0
      ;;
    --ou)
      OU="${2}"
      shift
      ;;    
    --cn)
      CN="${2}"      
      shift
      ;;
    --email)
      emailAddress="${2}"      
      shift
      ;;
    --)
      shift
      break
    ;;
    *)
      echo -e "Error: $0 invalid option '$1'\nTry '$0 --help' for more information.\n" >&2
      exit 1
    ;;
  esac
shift
done

# 創建客戶端證書
# 非交互式方式創建以下內容:
# 國家名(2個字母的代號)
C=CN
# 省
ST=Shannxi
# 市
L=Xian
# 公司名
O=My Company
# 組織或部門名
OU=${OU:-測試部門}
# 服務器FQDN或授予者名
CN=${CN:-demo}
# 郵箱地址
emailAddress=${emailAddress:-demo@example.com}

mkdir -p "${CN}"

[ ! -f "${CN}/${CN}.key" ] && openssl req -utf8 -nodes -newkey rsa:2048 -keyout "${CN}/${CN}.key" -new -days 36500 -out "${CN}/${CN}.csr" -subj "/C=${C}/ST=${ST}/L=${L}/O=${O}/OU=${OU}/CN=${CN}/emailAddress=${emailAddress}"
[ ! -f "${CN}/${CN}.crt" ] && openssl ca -utf8 -batch -days 36500 -in "${CN}/${CN}.csr" -out "${CN}/${CN}.crt"
[ ! -f "${CN}/${CN}.p12" ] && openssl pkcs12 -export -clcerts -CApath ./demoCA/ -inkey "${CN}/${CN}.key" -in "${CN}/${CN}.crt" -certfile "./demoCA/cacert.pem" -passout pass: -out "${CN}/${CN}.p12"

revoke_cert.sh

#!/bin/bash -e

# 吊銷一個簽證過的證書

openssl ca -revoke "${1}/${1}.crt"
openssl ca -gencrl -out "./demoCA/private/ca.crl"

簡單分析一波腳本，首先是創建CA，對于Ubuntu系統來說，/etc/ssl/openssl.cnf配置中默認的CA路徑就是./demoCA，為了不改動默認配置，直接按照默認配置的內容創建這些目錄和文件即可。還有就是openssl子命令非常多，但是也和git一樣，可以合并命令，比如用一條命令同時生成私鑰和簽證請求openssl req -nodes -newkey rsa:2048 -keyout client.key -new -out client.csr，在req的同時就做了genrsa。由于創建CA腳本只是第一次運行需要，因此把證書配置直接寫死在腳本中就完事了。

接下來是創建客戶端證書，為了簡化用戶的使用，在服務端幫助用戶生成證書并簽證，把簽證過的證書下發給用戶就可以了。由于用戶可能是不同部門，不同姓名，不同郵件地址，因此將這三個參數外部化，做一下參數解析，加上友好的命令行提示防止遺忘。這個腳本特別注意最后一行，會生成一個PKCS12格式的證書。openssl默認產生的證書格式都是PEM的，會將公鑰和私鑰分開，但是瀏覽器導入的時候需要將這些內容合并起來形成證書鏈，所以需要將簽證過的證書和私鑰文件合并成一個PKCS12格式的證書，直接將這個.p12格式的證書交給用戶就可以了。

最后是吊銷證書了，當希望收回某個用戶的訪問權限時，直接運行這個腳本跟上目錄名就可以了。

接下來運行創建CA的腳本:

./create_ca_cert.sh

Generating a 2048 bit RSA private key
.......................+++
........................................................................................................+++
writing new private key to './demoCA/private/cakey.pem'
-----
Using configuration from /usr/ssl/openssl.cnf

此時產生的./demoCA目錄結構如下:

demoCA/
├── cacert.pem
├── crlnumber
├── crlnumber.old
├── index.txt
├── newcerts
├── private
│  ├── ca.crl
│  └── cakey.pem
└── serial

2 directories, 7 files

此時就可以配置nginx了，在上面單向ssl的配置中，追加以下配置:

 ssl_client_certificate ssl_certs/demoCA/cacert.pem;
 ssl_crl ssl_certs/demoCA/private/ca.crl;
 ssl_verify_client on;

ssl_client_certificate就是客戶端證書的CA證書了，代表此CA簽發的證書都是可信的，ssl_verify_client on;代表強制啟用客戶端認證，非法客戶端(無證書，證書不可信)都會返回400錯。

特別注意ssl_crl這個配置，代表Nginx會讀取一個CRL(Certificate Revoke List)文件，之前說過，可能會有收回用戶權限的需求，因此我們必須有吊銷證書的功能，產生一個CRL文件讓Nginx知道哪些證書被吊銷了即可。

注意: Nginx配置都是靜態的，讀取配置文件之后都會加載到內存中，即使文件內容變化也不會重新讀取。因此當CRL文件發生變更之后，Nginx并不能意識到有新的證書被吊銷了，所以必須使用reload指令讓Nginx重新讀取配置文件: service nginx reload或nginx -s reload

此時重啟Nginx服務，就可以完成SSL雙向認證配置了。

我們簽發一個證書看看:

 ./create_client_cert.sh --ou 財務部 --cn 財務經理 --email cy@example.com
Generating a 2048 bit RSA private key
................................+++
.............................................................................+++
writing new private key to '財務經理/財務經理.key'
-----
Using configuration from /usr/ssl/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
    Serial Number: 1 (0x1)
    Validity
      Not Before: Jun 14 16:03:46 2018 GMT
      Not After : May 21 16:03:46 2118 GMT
    Subject:
      countryName        = CN
      stateOrProvinceName    = Shannxi
      organizationName     = My Company
      organizationalUnitName  = \U8D22\U52A1\U90E8
      commonName        = \U8D22\U52A1\U7ECF\U7406
      emailAddress       = cy@example.com
    X509v3 extensions:
      X509v3 Basic Constraints:
        CA:FALSE
      Netscape Comment:
        OpenSSL Generated Certificate
      X509v3 Subject Key Identifier:
        B5:91:0B:1F:FC:25:3B:2A:F9:EF:39:39:51:E3:1F:64:78:8A:C3:75
      X509v3 Authority Key Identifier:
        keyid:86:55:76:15:A3:F5:58:CB:8F:39:A3:56:8E:FF:18:97:AE:27:60:0F

Certificate is to be certified until May 21 16:03:46 2118 GMT (36500 days)

Write out database with 1 new entries
Data Base Updated

tree 財務經理/
財務經理/
├── 財務經理.crt
├── 財務經理.csr
├── 財務經理.key
└── 財務經理.p12

0 directories, 4 files

這個腳本生成了私鑰文件key，簽證請求文件csr，經過CA簽證后的證書文件crt(里面沒有私鑰)，以及將crt文件和key進行bundle之后的PKCS12格式的證書文件p12，將p12文件下載到本地，雙擊一路Next導入證書即可。

注: 由于CA的證書文件不會發生變化，因此簽證新的客戶端證書不需要restart或reload nginx

這次打開我們的網站https://www.example.com，瀏覽器就會提示我們選擇一個已有的客戶端證書進行認證了，沒問題就可以看到網站內容了

注: 每次導入新的證書之后，必須重啟瀏覽器才能提示使用新的證書文件

按照這種方式，有多少人需要授權，就可以用這個腳本簽發多少個這樣的證書，用戶將p12證書導入本地就可以正常訪問網站了。

當我們需要收回某人的權限的時候(比如離職了)，我們需要吊銷他的證書:

 ./revoke_cert.sh 財務經理

Using configuration from /usr/ssl/openssl.cnf
Revoking Certificate 01.
Data Base Updated
Using configuration from /usr/ssl/openssl.cnf

service nginx reload

這個腳本會自動吊銷他的簽證文件crt，并且自動更新CRL文件。特別注意需要reload或restart nginx才能讓nginx重新加載CRL。這樣被吊銷的證書將無法訪問網站了。

感謝各位的閱讀！關于“Nginx中如何實現SSL快速雙向認證配置”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，讓大家可以學到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！