怎么使用Nginx實現HTTPS雙向驗證

這篇文章主要介紹了怎么使用Nginx實現HTTPS雙向驗證的相關知識，內容詳細易懂，操作簡單快捷，具有一定借鑒價值，相信大家閱讀完這篇怎么使用Nginx實現HTTPS雙向驗證文章都會有所收獲，下面我們一起來看看吧。

單向驗證與雙向驗證的區別：

單向驗證： 指客戶端驗證服務器端證書，服務器并不需要驗證客戶端證書。

雙向驗證：指客戶端驗證服務器端證書，而服務器也需要通過ca的公鑰證書來驗證客戶端證書。

詳細的握手過程：

單向驗證

瀏覽器發送一個連接請求給安全服務器。

1、服務器將自己的證書，以及同證書相關的信息發送給客戶瀏覽器。

2、客戶瀏覽器檢查服務器送過來的證書是否是由自己信賴的ca中心所簽發的。如果是，就繼續執行協議；如果不是，客戶瀏覽器就給客戶一個警告消息：警告客戶這個證書不是可以信賴的詢問客戶是否需要繼續。

3、接著客戶瀏覽器比較證書里的消息，例如域名和公鑰，與服務器剛剛發送的相關消息是否一致，如果是一致的，客戶瀏覽器認可這個服務器的合法身份。

4、瀏覽器隨機產生一個用于后面通訊的“通話密鑰”，然后用服務器的公鑰對其加密，然后將加密后的“預主密碼”傳給服務器。

5、服務器從客戶發送過來的密碼方案中，選擇一種加密程度最高的密碼方案，用服務器的私鑰加密后通知瀏覽器。

6、瀏覽器針對這個密碼方案，接著用服務器的公鑰加過密后發送給服務器。

7、服務器接收到瀏覽器送過來的消息，用自己的私鑰解密，獲得。

8、服務器、瀏覽器接下來的通訊都是用對稱密碼方案，使用相同的對稱密鑰。

雙向驗證

1、瀏覽器發送一個連接請求給安全服務器。

2、服務器將自己的證書，以及同證書相關的信息發送給客戶瀏覽器。

3、客戶瀏覽器檢查服務器送過來的證書是否是由自己信賴的ca中心所簽發的。如果是，就繼續執行協議；如果不是，客戶瀏覽器就給客戶一個警告消息：警告客戶這個證書不是可以信賴的詢問客戶是否需要繼續。

4、接著客戶瀏覽器比較證書里的消息，例如域名和公鑰，與服務器剛剛發送的相關消息是否一致，如果是一致的，客戶瀏覽器認可這個服務器的合法身份。

5、服務器要求客戶的身份認證，用戶可以建立一個隨機數然后對其進行數字簽名，將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”一起傳給服務器。

6、服務器必須檢驗客戶證書和簽名隨機數的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的ca 是否可靠，發行ca 的公鑰能否正確解開客戶證書的發行ca的數字簽名，檢查客戶的證書是否在證書廢止列表（crl）中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，服務器將用自己的私鑰解開加密的“預主密碼”，然后執行一系列步驟來產生主通訊密碼（客戶端也將通過同樣的方法產生相同的主通訊密碼）。

7、客戶瀏覽器告訴服務器自己所能夠支持的通訊對稱密碼方案。

8、服務器從客戶發送過來的密碼方案中，選擇一種加密程度最高的密碼方案，用客戶的公鑰加過密后通知瀏覽器。

9、瀏覽器針對這個密碼方案，選擇一個通話密鑰，接著用服務器的公鑰加過密后發送給服務器。

10、服務器接收到瀏覽器送過來的消息，用自己的私鑰解密，獲得通話密鑰。

11、服務器、瀏覽器接下來的通訊都是用對稱密碼方案，使用相同的對稱密鑰。

一、自建ca，簽署證書

#openssl配置文件路徑
vim/etc/pki/tls/openssl.cnf
#下面只列出配置文件中和自建ca有關的幾個關鍵指令
dir=/etc/pki/ca#ca的工作目錄
database=$dir/index.txt#簽署證書的數據記錄文件
new_certs_dir=$dir/newcerts#存放新簽署證書的目錄
serial=$dir/serial#新證書簽署號記錄文件
certificate=$dir/ca.crt#ca的證書路徑
private_key=$dir/private/cakey.pem#ca的私鑰路徑

使用openssl制作ca的自簽名證書

#切換到ca的工作目錄
cd/etc/pki/ca
#制作ca私鑰
(umask077;opensslgenrsa-outprivate/cakey.pem2048)
#制作自簽名證書
opensslreq-new-x509-keyprivate/cakey.pem-outca.crt
#生成數據記錄文件，生成簽署號記錄文件，給文件一個初始號。
touchindex.txt
touchserial
echo'01'>serial
#自建ca完成

準備服務器端證書

#制作服務器端私鑰
(umask077;opensslgenrsa-outserver.key1024)
#制作服務器端證書申請指定使用sha512算法簽名（默認使用sha1算法）
opensslreq-new-keyserver.key-sha512-outserver.csr
#簽署證書
opensslca-inserver.csr-outserver.crt-days3650

準備客戶端證書

#制作客戶端私鑰
(umask077;opensslgenrsa-outkehuduan.key1024)
#制作客戶端證書申請
opensslreq-new-keykehuduan.key-outkehuduan.csr
#簽署證書
opensslca-inkehuduan.csr-outkehuduan.crt-days3650

注意事項:

1、制作證書時會提示輸入密碼，設置密碼可選，服務器證書和客戶端證書密碼可以不相同。

2、服務器證書和客戶端證書制作時提示輸入省份、城市、域名信息等，需保持一致。

3、以下信息根證書需要和客戶端證書匹配，否則可能出現簽署問題。

countryname = match stateorprovincename = match organizationname = match organizationalunitname = match

如何指定簽署證書的簽名算法

<strong>opensslreqxx
-[digest]digesttosignwith(seeopenssldgst-hforlist)</strong>

查看使用的簽名算法:

<strong>#使用-sha256指定算法
opensslreq-new-keyserver.key-sha256-outserver.csr</strong>

二、提供nginx配置文件

<strong>server{
listen443;
server_namepro.server.com;
ssion;
ssi_silent_errorson;
ssi_typestext/shtml;
sslon;
ssl_certificate/data/server/nginx/ssl/self/server.crt;
ssl_certificate_key/data/server/nginx/ssl/self/server.key;
ssl_client_certificate/data/server/nginx/ssl/self/ca/ca.crt;
ssl_verify_clienton;
ssl_protocolstlsv1tlsv1.1tlsv1.2;
ssl_ciphersecdhe-ecdsa-aes256-gcm-sha384:ecdhe-rsa-aes256-gcm-sha384:ecdhe-ecdsa-aes256-sha384:ecdhe-rsa-aes256-sha384:ecdhe-ecdsa-aes128-gcm-sha256:ecdhe-rsa-aes128-gcm-sha256:ecdhe-ecdsa-aes128-sha256:ecdhe-rsa-aes128-sha256:ecdhe-ecdsa-rc4-sha:!ecdhe-rsa-rc4-sha:ecdh-ecdsa-rc4-sha:ecdh-rsa-rc4-sha:ecdhe-rsa-aes256-sha:!rc4-sha:high:!anull:!enull:!low:!3des:!md5:!exp:!cbc:!edh:!kedh:!psk:!srp:!kecdh;
ssl_prefer_server_cipherson;
indexindex.htmlindex.htmindex.php;
root/data/www;
location~.*\.(php|php5)?$
{
#fastcgi_passunix:/tmp/php-cgi.sock;
fastcgi_pass127.0.0.1:9000;
fastcgi_indexindex.php;
includefastcgi.conf;
}
location~.*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires30d;
}
location~.*\.(js|css)?$
{
expires1h;
}
###thisistouseopenwebsitelianjielikeonapache##
location/{
if(!-e$request_filename){
rewrite^(.*)$/index.php?s=$1last;
break;
}
keepalive_timeout0;
}
location~/.svn/{
denyall;
}
###end##
include/data/server/nginx/conf/rewrite/test.conf;
access_log/log/nginx/access/access.log;
}</strong>

客戶端證書格式轉換

<strong>#將文本格式的證書轉換成可以導入瀏覽器的證書
opensslpkcs12-export-clcerts-inclient.crt-inkeyclient.key-outclient.p12</strong>

三、將證書導入瀏覽器，這里以chrome為例

1、在瀏覽器窗口右上角找到設置

2、在設置窗口中找到高級設置

3、找到管理證書

4、點擊導入證書，然后選擇證書路徑就可以了

5、在導入證書之后就可以正常訪問到服務器數據了

6、如果沒有成功導入客戶端證書就訪問服務器的話，那么服務器驗證客戶端證書這步就會失敗，然后返回如下錯誤

由于用的是自簽證書不被公有ca信任，所以https那里會有紅叉。

關于“怎么使用Nginx實現HTTPS雙向驗證”這篇文章的內容就介紹到這里，感謝各位的閱讀！相信大家對“怎么使用Nginx實現HTTPS雙向驗證”知識都有一定的了解，大家如果還想學習更多知識，歡迎關注億速云行業資訊頻道。