Nginx开启TLS双向认证流程及配置

原创 已于 2024-05-28 17:42:28 修改 · 置顶 · 4.1k 阅读 · 27
标签
#nginx #网络 #linux #运维 #服务器
于 2024-05-28 17:22:23 首次发布

1. 认证流程

双向认证流程图
双向认证流程说明:

  1. 客户端发起连接
    客户端首先向服务器发送ClientHello消息,其中包含以下信息:
    • 支持的协议版本和加密套件列表
    • 客户端随机数
  2. 服务器响应
    服务器响应客户端的ClientHello消息,并发送ServerHello消息,其中包含以下信息:
    • 服务器选择的协议版本和加密套件
    • 服务器随机数
    • 服务器证书链
  3. 客户端验证服务器证书
    客户端验证服务器证书链的有效性,包括检查证书是否由受信任的CA签发、证书是否有效以及证书中的主机名是否与服务器的主机名匹配。
  4. 客户端发送客户端证书(如果需要)
    如果服务器要求客户端进行身份验证,客户端会将自己的证书和客户端KeyProof消息发送给服务器。客户端KeyProof消息包含客户端使用服务器公钥加密的预主密钥。
  5. 服务器验证客户端证书(如果需要)
    服务器验证客户端证书的有效性,类似于客户端验证服务器证书的过程。服务器还会使用客户端公钥解密客户端KeyProof消息中的预主密钥。
  6. 双方计算共享会话密钥
    客户端和服务器使用各自的预主密钥、客户端随机数和服务器随机数来计算共享的会话密钥。
  7. 客户端发送ChangeCipherSpec消息
    客户端向服务器发送ChangeCipherSpec消息,指示服务器开始使用共享会话密钥加密通信。
  8. 服务器发送ChangeCipherSpec消息
    服务器向客户端发送ChangeCipherSpec消息,指示客户端开始使
最低0.47元/天 解锁文章
介绍Nginx的SSL/TLS加密支持功能,并学习怎么使用
LJH_java10086的博客
10-09 794
在本文中,我们将介绍如何使用Nginx的SSL / TLS加密支持功能,同时使用Java编写一个简单的Web应用程序来测试SSL / TLS加密。例如,如果你的Nginx服务器的IP地址是`192.168.0.1`,则可以通过访问`https://192.168.0.1`来获取Java生成的SSL / TLS加密的内容。2. 配置Nginx的SSL / TLS支持:在Nginx配置文件(通常是nginx.conf)中,你需要添加SSL / TLS支持的配置项。你需要将它们保存在安全的地方。
基于SSL/TLS双向安全连接设备CA证书认证
编程识堂的博客
12-05 5633
SSL/TLS 安全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中很常见的一种身份检查方式是检查对方持有的 X.509 数字证书。这样的数字证书通常是由一个受信机构颁发的,不可伪造。 **保证机密性。**TLS 通讯的每次会话都会由会话密钥加密,会话密钥由通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露,并不影响其他会话的安全性。 完整性。 加密通讯中的数据很难被篡改而不被发现。 SSL/TLS 协议 TLS/SSL 协议下的通讯过程分为两部
TLS双向认证(mTLS) 小白零基础完整文档
最新发布
qq_45847528的博客
04-28 369
TLS双向认证(mTLS) 小白零基础完整文档
SSL/TLS认证握手过程
团长的专栏
05-23 3715
client读取证书中的相关的明文信息,采用相同的散列函数计算得到信息摘要,然后,利用对应 CA的公钥解密签名数据,对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法。客户端会内置信任CA的证书信息(包含公钥),如果CA不被信任,则找不到对应 CA的证书,证书也会被判定非法。哈,有人的地方就有江湖,有江湖的地方就没有绝对的安全。但SSL/TLS确实可以极大程度保证信息安全。签名的产生算法:首先,使用散列函数计算公开的明文信息的信息摘要,然后,采用 CA的私钥对信息摘要进行加密,密文即签名。
nginx实现双向认证
qq_41937509的博客
09-20 5251
如果手里面只有通过正规途径申请下来的证书(而不是上面自签证做法), 得到的证书如下面所示, 这里只有服务端证书而没有服务端和根证书, 所以仍需要我们以自签证的方式生成根证书以及客户端证书。配置的主要内容是配置服务器端证书的公钥私钥以及根证书的公钥, 并且ssl_verify_client 参数设置为 on。如果客户端证书不是由根证书直接颁发的,配置中还需要加一个配置:ssl_verify_depth 1;server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成。
Nginx实现tcp代理并支持TLS加密实验
向往天空的鱼
11-08 4225
nginx代理tcp服务,实现客户端与服务器之间的TLS加密。
详解Nginx SSL快速双向认证配置(脚本)
sakura379的博客
05-05 671
这篇文章主要介绍了详解Nginx SSL快速双向认证配置(脚本),现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧 目前遇到一个项目有安全性要求,要求只有个别用户有权限访问。本着能用配置解决就绝不用代码解决的原则,在Nginx上做一下限制和修改即可。 这种需求其实实现方式很多,经过综合评估考虑,觉得SSL双向认证方案对用户使用最简单,遂决定用此方案。 注: 本方案在Ubuntu Serve...
使用自签 CA 证书配置 Nginx 双向认证
u010674101的专栏
09-05 891
本文介绍了如何在Nginx配置双向TLS认证。首先需要准备好自签名的CA根证书、服务器证书和客户端证书。配置步骤包括将CA证书导入客户端信任区,在Nginx配置文件中指定服务器证书、私钥及客户端验证CA证书,并开启客户端验证功能。测试时,未携带证书的客户端会被拒绝访问,而携带正确证书的客户端可以正常访问。文章还提供了可选优化建议,如设置证书为可选验证或限制特定客户端访问。通过这种配置,可以确保只有拥有合法客户端证书的用户才能访问服务,实现安全可靠的双向认证体系。
Nginx配置https双向认证
b129266314387022的博客
03-15 96
1.前期的准备工作: 安装openssl和nginx的https模块 cd ~/ mkdir ssl cd ssl mkdir demoCA cd demoCA mkdir newcerts mkdir private touch index.txt echo '01' > serial 2.制作CA证书(这个...
nginx篇08-添加客户端证书认证
tinychen
03-01 3419
本文主要介绍如何使用给nginx服务添加客户端证书认证从而实现双向加密。 对于一般的https网站来说,实际上https所使用的证书是属于单向验证,即客户端单向验证服务器的安全性,而服务器端是没有对客户端的身份进行验证的。关于https的原理,可以查看这篇文章:《SSL/TLS、对称加密和非对称加密和TLSv1.3》 如果自己部署了一些安全性较高的网站不希望被其他人随意访问,就可以尝试部署https的双向认证,对客户端也添加证书认证。本文将会使用openssl自签证书来完成最简单的一个https双向认证
学习Nginx(十四):配置SSL/TLS支持HTTPS
Linux技术宅
05-25 1875
学习Nginx(十四):配置SSL/TLS支持HTTPS。
Nginx SSL/TLS 配置
Flying_Fish_roe的博客
12-18 2343
SSL(Secure Sockets Layer)和 TLS(Transport Layer Security)都是加密协议,主要用于保护网络通信的安全。SSL 是最早的版本,而 TLS 是其后续版本。尽管 TLS 更为安全和高效,但由于历史原因,人们通常习惯性地称其为 SSL。SSL/TLS 协议通过对称加密和非对称加密相结合的方式,在客户端和服务器之间建立一个安全的加密通道,防止数据在传输过程中被窃取或篡改。
nginx 配置 https的双向认证
CheerTan is here
10-11 2355
注意事项 配置双向认证,这里的common name需要都配置成不同 nginx 配置 https的双向认证 1.准备工作 linux环境安装openssl 2.生成证书步骤 1.新建一个文件夹 mkdir /root/keys 2.生成CA私钥 ca.key openssl genrsa -out ca.key 4096 3.生成ca的数字证书 ca.crt openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Co
Nginx双向认证
weixin_44480960的博客
01-25 7318
Nginx双向认证 一、前言 参考链接 OPENSSL加密DSA,RSA介绍 客户端默认是相信权威CA机构的,操作系统内置了CA证书。 说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。 centos操作系统中被信任的证书一般在此文件中 cat /etc/pki/tls/certs/ca-bundle.crt 我们可以查看一下访问百度的一个通信过程 curl -v https://www.b
SSL/TLS深度解析--在 Nginx 上部署 TLS
weixin_33770878的博客
11-26 5126
利用 openssl 源代码安装 Nginx [root@localhost software]# tar xf nginx-1.15.5.tar.gz [root@localhost software]# cd nginx-1.15.5/ [root@localhost nginx-1.15.5]# groupadd nginx [root@localhost nginx-1.15.5]# u...
Nginx禁用TLS 1.0和TLS 1.1
热门推荐
zyy247796143的博客
07-01 1万+
传输层安全性协议(英语:Transport Layer Security,缩写:TLS)及其前身安全套接层(英语:Secure Sockets Layer,缩写:SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器-网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。IETF将SSL进行标准化,1999年公布TLS 1.0标准文件(RFC 2246)。随后又公布TLS 1.1(RFC 4346,2006年)、TLS
nginxTLS1.3配置
enjoy.day
11-29 9437
配置TLS1.3 环境: nginx 1.20 openssl 1.1.1l 如果查看openssl支持的ciphers 使用命令openssl ciphers 如何查看openssl支持的所有TLS/SSL版本: penssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/{print $1}' 配置tls1.3 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; #增加 TLSv1.3 ssl_cipher
TLS认证流程及报文解析
qq_42288975的博客
08-23 5035
介绍了TLS单向认证双向认证、会话恢复流程,根据报文解析深入理解上述流程
TLS1.2握手过程(双方都进行身份认证
sweet_Mary的博客
07-31 3049
该证书为Server端向Client端提供的Server证书,mtlstls主要的区别即为“m(mutual)”,mtls需要双方都提供证书,而tls只需要server证书提供给client(Server证书中含有Server的公钥,tls:将Server证书交给Client,Client将自己想好的会话秘钥用Server的公钥进行加密,再传给Server,Server再用公钥进行解密,这样双方都得到了会话秘钥)Server端让Client端发来Client的证书。根据更改的协议发送示例进行测试。
SSL双向认证-Nginx配置
localhost
09-14 1173
3.浏览器添加证书,在浏览器设置里找到SSL证书,导入client.p12证书,再次访问后选择证书即可访问。Nginx配置适用于前端项目或前后端都通过Nginx转发的时候(此时可不配置后端启用双向认证)SSL双向认证需要CA证书,开发过程可以利用自签CA证书进行调试验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值