由于公司需求需要实现对nginx和iis服务的SSL双向认证,于是记录一下过程,我这边就没有去使用各大平台生成的SSL证书,而是自己生成证书。
其实不管是linux环境下的nginx,还是windows环境下的iis,都只需要使用openssl就可以生成对应的证书,从而完成SSL双向认证。
接下来的步骤我是在linux环境下生成的,其实windows下也是这样生成,只是需要先安装openssl。
1. 制作CA证书
1.1 制作CA私钥
openssl genrsa -out ca.key 2048
1.2 制作 CA 根证书(公钥)
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
//注意:具体信息都可以随意填写,Common Name这里不需要填写对应的域名或ip,我一般都是写个方便看的名字
2. 制作服务端证书
2.1 生成服务端私钥
openssl genrsa -out server.pem 1024
openssl rsa -in server.pem -out server.key
2.2 生成签发请求
openssl req -new -key server.pem -out server.csr
//注意:Common Name需要填写对应的域名或ip。
//1.如果你通过域名访问,就填域名,例如:www.xxx.com
//2.如果你通过IP访问,就填IP,例如:192.168.100.101(不需要填写协议头和端口号)
2.3 用ca证书签发服务端证书(含公钥)
openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt
这一步生成的服务端证书是给nginx服务使用的,如果想给windows下的iis使用,需要执行下方语句,将.crt转成.pfx格式。
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
3. 制作客户端证书(流程跟制作服务端证书一样)
3.1 生成客户端私钥
openssl genrsa -out client.pem 1024
openssl rsa -in client.pem -out client.key
3.2 生成签发请求
openssl req -new -key client.pem -out client.csr
//注意:Common Name需要填写对应的域名或ip。
//1.如果你通过域名访问,就填域名,例如:www.xxx.com
//2.如果你通过IP访问,就填IP,例如:192.168.100.101(不需要填写协议头和端口号)
3.3 用ca证书签发客户端证书(含公钥)
openssl x509 -req -sha256 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out client.crt
如果需要用浏览器来访问,需要执行下方语句,将客户端证书格式转成.p12格式,然后发给对应的电脑客户端,双击安装证书即可
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
4. 配置服务器
nginx
server {
listen 443 ssl; #自己要用到的端口,不一定是443
index index.html;
root /data/abc/;
ssl_certificate /etc/nginx/ssl/server.crt; #上面证书生成的所在目录
ssl_certificate_key /etc/nginx/ssl/server.key; #上面证书生成的所在目录
ssl_client_certificate /etc/nginx/ssl/ca.crt; #上面证书生成的所在目录
ssl_verify_client on; #开启验证客户端
}
IIS
导入证书
开启验证客户端
这时配置好后,个人浏览器端还是不能访问,或者标记为不安全连接,需要上面步骤生成的ca.crt导入到个人电脑里。
5. 配置客户端
如果个人电脑没有导入客户端的证书,用浏览器访问可能会返回403,说没有SSL 客户证书。那我们只需要将上面步骤生成的client.p12导入到个人电脑中(密码就是生成证书时的密码),双击安装后,重启浏览器后进行访问,选择对应的证书就可以了。
如果想通过curl访问,可以执行下方语句
//url地址、 client.key、client.crt换成你自己的
curl --insecure --key client.key --cert client.crt 'https://192.168.100.101:1234'