實(shí)驗(yàn)環(huán)境
我使用的環(huán)境是centos7最小化安裝。
看標(biāo)題就知道需要使用到openssl這個(gè)軟件,可以確認(rèn)一下你的電腦是否進(jìn)行了安裝,如果沒(méi)有安裝廷粒,可以運(yùn)行yum install openssl -y進(jìn)行安裝。
當(dāng)然红且,自制的證書(shū)不——安——全坝茎,其實(shí)并不是不安全,只不過(guò)沒(méi)有花錢購(gòu)買的證書(shū)安全度高暇番,如果是特定用途的話嗤放,還是花錢進(jìn)行購(gòu)買商業(yè)證書(shū)為好。如果你說(shuō)你沒(méi)有那么多錢壁酬,那么你多半也不需要那么高的安全加密程度次酌。
名詞解析
SSL:Secure Socket Layer,安全套接字層舆乔,它位于TCP層與Application層之間岳服。提供對(duì)Application數(shù)據(jù)的加密保護(hù)(密文),完整性保護(hù)(不被篡改)等安全服務(wù)希俩。
TLS:Transport Layer Secure吊宋,提供安全的傳輸服務(wù),十分靈活颜武,可以使用在TCP上璃搜,也可以使用在UDP上,也可以使用在數(shù)據(jù)鏈路層上鳞上。
公鑰:大家公用的这吻,可以被其他人下載,用來(lái)加密和驗(yàn)章因块。
私鑰:自己私有橘原,須小心保存,用來(lái)解密和簽章涡上。
數(shù)字簽名:將報(bào)文按雙方約定的HASH算法計(jì)算得到一個(gè)固定位數(shù)的報(bào)文摘要趾断。在數(shù)學(xué)上保證:只要改動(dòng)報(bào)文中任何一位,重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符吩愧。這樣就保證了報(bào)文的不可更改性芋酌。將該報(bào)文摘要值用發(fā)送者的私人密鑰加密,然后連同原報(bào)文一起發(fā)送給接收者雁佳,而產(chǎn)生的報(bào)文即稱數(shù)字簽名脐帝。
數(shù)字證書(shū):數(shù)字證書(shū)就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù),提供了一種在Internet上驗(yàn)證您身份的方式糖权,其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證堵腹。它是由一個(gè)由權(quán)威機(jī)構(gòu)-----CA機(jī)構(gòu),又稱為證書(shū)授權(quán)(Certificate Authority)中心發(fā)行的星澳,人們可以在網(wǎng)上用它來(lái)識(shí)別對(duì)方的身份疚顷。數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。最簡(jiǎn)單的證書(shū)包含一個(gè)公開(kāi)密鑰禁偎、名稱以及證書(shū)授權(quán)中心的數(shù)字簽名腿堤。
CA:Certificate Authority,證書(shū)授權(quán)中心如暖。是一個(gè)單位笆檀,來(lái)管理發(fā)放數(shù)字證書(shū)的。由它發(fā)放的證書(shū)就叫 CA 證書(shū)盒至,以區(qū)別于個(gè)人使用工具隨意生成的數(shù)字證書(shū)酗洒,查看 CA 證書(shū),里面有兩項(xiàng)重要內(nèi)容枷遂,一個(gè)是頌發(fā)給誰(shuí)寝蹈,另一個(gè)是由誰(shuí)頌發(fā)的。
SSL/TLS協(xié)議的基本思路是采用公鑰加密法登淘,也就是說(shuō)箫老,客戶端先向服務(wù)器端索要公鑰,然后用公鑰加密信息黔州,服務(wù)器收到密文后耍鬓,用自己的私鑰解密。
認(rèn)證過(guò)程
單向認(rèn)證
只需要驗(yàn)證SSL服務(wù)器身份流妻,不需要驗(yàn)證SSL客戶端身份牲蜀。
雙向認(rèn)證
要求服務(wù)器和客戶端雙方都有證書(shū),客戶端需要校驗(yàn)服務(wù)端绅这,服務(wù)端也需要校驗(yàn)客戶端涣达。
自制證書(shū)
CA證書(shū)
創(chuàng)建私鑰
輸入以下命令
openssl genrsa -out ca-key.pem 1024
創(chuàng)建csr證書(shū)請(qǐng)求
輸入以下命令創(chuàng)建csr證書(shū),如果沒(méi)有-subj參數(shù),則需要手動(dòng)輸入需要的參數(shù)度苔,此時(shí)可以看見(jiàn)相應(yīng)的提示匆篓。
-subj 中參數(shù)的含義:
| 參數(shù) | 意義 |
|---|---|
| C | 國(guó)家 |
| ST | 州 |
| L | 本地名稱 |
| O | 組織名稱 |
| OU | 組織單元名稱 |
| CN | 命令名稱 |
- 如果上面的解釋出現(xiàn)錯(cuò)誤我會(huì)進(jìn)行更正
openssl req -new -key ca-key.pem -out ca-req.csr -subj "/C=CN/ST=BJ/L=BJ/O=fish/OU=fish/CN=CA"
除去密碼
在加載SSL支持的Nginx并使用上述私鑰時(shí)必須除去口令,否則會(huì)在啟動(dòng)nginx的時(shí)候輸入密碼寇窑。
去除口令鸦概,在命令行中執(zhí)行此命令: openssl rsa -in ca-key.pem -out ca.key
以上這一段是因?yàn)槿绻伤借€的時(shí)候加入-des3參數(shù)的時(shí)候會(huì)有密碼輸入的過(guò)程,而這個(gè)密碼會(huì)在重啟nginx的時(shí)候需要輸入
生成crt證書(shū)
執(zhí)行以下命令生成CA證書(shū)
openssl x509 -req -in ca-req.csr -out ca-cert.pem -signkey ca-key.pem -days 3650
服務(wù)器端證書(shū)
創(chuàng)建服務(wù)器端私鑰
輸入以下命令
openssl genrsa -out server-key.pem 1024
創(chuàng)建csr證書(shū)
輸入以下命令創(chuàng)建csr證書(shū)甩骏,其中-subj參數(shù)與CA證書(shū)的csr命令含義相同窗市。
openssl req -new -out server-req.csr -key server-key.pem -subj "/C=CN/ST=BJ/L=BJ/O=fish/OU=fish/CN=*.fish-test.com"
其中輸入的信息中最重要的為 CN,這里輸入的域名即為我們要使用https訪問(wèn)的域名饮笛。同時(shí)也可以使用泛域名如.webkaka.com來(lái)生成所有二級(jí)域名可用的網(wǎng)站證書(shū)咨察。*
生成crt證書(shū)
執(zhí)行以下命令生成服務(wù)器端證書(shū)
openssl x509 -req -in server-req.csr -out server-cert.pem -signkey server-key.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -days 3650
用CA進(jìn)行簽名:
openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in www.webkaka.com.csr -out www.webkaka.com.crt
確認(rèn)證書(shū)
openssl verify -CAfile ca-cert.pem server-cert.pem
有了以上的文件之后就可以配置單向認(rèn)證訪問(wèn)了,如果需要雙向認(rèn)證福青,還需要以下的操作摄狱。
客戶端證書(shū)端證書(shū)
創(chuàng)建客戶端私鑰
輸入以下命令
openssl genrsa -out client-key.pem 1024
創(chuàng)建csr證書(shū)
輸入以下命令創(chuàng)建csr證書(shū),其中-subj參數(shù)與CA證書(shū)的csr命令含義相同素跺。
openssl req -new -out client-req.csr -key client-key.pem -subj "/C=CN/ST=BJ/L=BJ/O=fish/OU=fish/CN=dong"
這里的CN可以是客戶端的IP信息
生成crt證書(shū)
執(zhí)行以下命令生成客戶端證書(shū)
openssl x509 -req -in client-req.csr -out client-cert.pem -signkey client-key.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -days 3650
確認(rèn)證書(shū)
openssl verify -CAfile ca-cert.pem client-cert.pem
Nginx配置
單向訪問(wèn)
打開(kāi)nginx.conf配置文二蓝,修改你需要的地方,將配置文改為以下形式:
server {
listen 443 ssl;
server_name _;
# 剛剛生成的服務(wù)器端公鑰和私鑰文件
ssl_certificate /etc/nginx/ssl/server-cert.pem;
ssl_certificate_key /etc/nginx/ssl/server-key.pem;
# 據(jù)官方文檔所述指厌,cache中的1m可以存放4000個(gè)session刊愚。
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}
然后使用以下命令檢測(cè)配置和重新加載nginx:
nginx -t
nginx -s reload
或者直接重啟服務(wù)器,訪問(wèn)網(wǎng)址https://www.test.com就會(huì)發(fā)現(xiàn)證書(shū)認(rèn)證已經(jīng)起作用了踩验,其中www.test.com就是發(fā)行證書(shū)的時(shí)候填寫(xiě)的域名鸥诽,www.test.com也需要能夠解析才可以。
此時(shí)的https并不被瀏覽器信任箕憾,如果需要信任證書(shū)牡借,則只需要將公鑰文件進(jìn)行導(dǎo)入。
添加重定向
pass
雙向訪問(wèn)
打開(kāi)nginx.conf配置文袭异,修改你需要的地方钠龙,將配置文改為以下形式:
server {
listen 443 ssl;
server_name _;
ssl_certificate /etc/nginx/ssl/server-cert.pem;
ssl_certificate_key /etc/nginx/ssl/server-key.pem;
ssl_verify_client on;
#ssl_verify_depth 2;
ssl_client_certificate /etc/nginx/ssl/ca-cert.pem;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}
然后重啟服務(wù)器,訪問(wèn)網(wǎng)址https://www.test.com就會(huì)發(fā)現(xiàn)依舊沒(méi)有辦法訪問(wèn)御铃,此時(shí)需要導(dǎo)入客戶端的證書(shū)文件碴里,就可以進(jìn)行訪問(wèn)了,實(shí)現(xiàn)了https的雙向訪問(wèn)上真。
