编译nginx支持国密SSL协议

1 背景
Nginx自身支持标准的SSL协议,但并不支持国密SSL协议。本文描述了Nginx配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用。
Nginx无需修改源码、支持任意版本Nginx。
2 环境
服务器OS是CentOS7.7的64位版本,IP位192.168.0.98,客户端OS是WindowsXP。
Nginx是Nginx-1.18.0。
浏览器是360安全浏览器(支持国密)。
3 安装方法一:源码编译
GMSSL.cn提供一个OpenSSL的国密版库,可与nginx编译,生成的nginx即支持国密SSL协议。
1) 准备gmssl_openssl
下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown
下载其中的gmssl_openssl_1.1_b1.tar.gz
下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown
拷贝到/root/目录
解压
tar xzfm gmssl_openssl_1.1_bxx.tar.gz -C /usr/local
则/usr/local/gmssl为国密版openssl目录
2) 准备nginx
下载页面http://nginx.org/download/nginx-1.18.0.tar.gz
拷贝到/root/目录
解压
tar xzfm nginx-1.18.0.tar.gz
则/root/nginx-1.18.0为nginx目录
cd /root/nginx-1.18.0
vi auto/lib/openssl/conf,将全部 O P E N S S L / . o p e n s s l / 修 改 为 OPENSSL/.openssl/修改为 OPENSSL/.openssl/OPENSSL/并保存
3) 编译
./configure
–without-http_gzip_module
–with-http_ssl_module
–with-http_stub_status_module
–with-http_v2_module
–with-file-aio
–with-openssl="/usr/local/gmssl"
–with-cc-opt="-I/usr/local/gmssl/include"
–with-ld-opt="-lm"
make install
则/usr/local/nginx为生成的国密版nginx目录
注:可能需要安装需要的pcre-devel包。
4 安装方法二:直接安装
GMSSL.cn已经提供了一个按方法一编译好的国密版nginx,可以直接下载安装使用。
下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown
下载其中的gmssl_nginx_1.8.0_b7.tar.gz
拷贝到/root/目录
解压
tar zxfm gmssl_nginx_1.8.0_bxxx.tar.gz -C /usr/local
则/usr/local/nginx为国密版nginx目录
5 国密双证书
1) 生成国密双证书
访问https://www.gmssl.cn/gmssl/index.jsp?go=ca,可生成免费的测试国密双证书。

提交后保存sm2.demo1.gmssl.cn.zip
传到服务器/root/下解压
unzip sm2.demo1.gmssl.cn.zip -d /root/sm2.demo1/
6 Nginx部署国密SSL
1)配置Nginx
vi /usr/local/nginx/conf/nginx.conf
http下加入
server
{
listen 0.0.0.0:443 ssl;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-SM3:ECDHE-SM4-SM3;
ssl_verify_client off;

ssl_certificate /root/sm2.demo1/sm2.demo1.gmssl.cn.sig.crt.pem;
ssl_certificate_key /root/sm2.demo1/sm2.demo1.gmssl.cn.sig.key.pem;

ssl_certificate /root/sm2.demo1/sm2.demo1.gmssl.cn.enc.crt.pem;
ssl_certificate_key /root/sm2.demo1/sm2.demo1.gmssl.cn.enc.key.pem;

location /
{
root html;
index index.html index.htm;
}
}

2) 测试
/usr/local/nginx/sbin/nginx -t
OpenSSL(GM version) by www.gmssl.cn. Test Only!!!
OpenSSL(GM version) by www.gmssl.cn. Test Only!!!
OpenSSL(GM version) by www.gmssl.cn. Test Only!!!
OpenSSL(GM version) by www.gmssl.cn. Test Only!!!
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
注:Test Only等信息是国密版OpenSSL输出的提示信息,不影响测试和使用。
3) 运行
/usr/local/nginx/sbin/nginx
7 访问验证
1)下载360安全浏览器
https://se.360.cn
2)开启国密SSL支持

2)启用极速模式
访问https://192.168.0.98,出现错误页面,开启极速模式

3)访问国密SSL成功

8 小结
通过使用国密SSL组件,使得Nginx自身不做任何编译修改,即可比较简单的支持国密SSL协议,满足等保等政策合规,确实是一个简单可操作的方法。www.gmssl.cn提供了全部免费的测试组件,并且支持双向国密SSL,支持国密SSL/标准 SSL自适应,也支持Tomcat和Apache,值得推荐和试用。

你可能感兴趣的:(国密SSL,系列,nginx,linux,centos)