Nginx配置https双向认证

1.      前期的准备工作：

安装openssl和nginx的https模块

[html]  view plain  copy

 print ?

1. cd  ~/  
2. mkdir ssl  
3. cd ssl  
4. mkdir demoCA  
5. cd demoCA  
6. mkdir newcerts  
7. mkdir private  
8. touch index.txt  
9. echo '01' > serial  

2.      制作CA证书（这个是信任的起点，根证书，所有其他的证书都要经过CA的私钥签名）。

生成 CA私钥: ca.key

[html]  view plain  copy

 print ?

1. 命令：openssl genrsa -des3 -out ca.key 2048  

这样是生成rsa私钥，`des3`算法，openssl格式，2048位强度。`ca.key`是密钥文件名。为了生成这样的密钥，需要一个至少四位的密码。

另外可以通过以下方法生成没有密码的key:

[html]  view plain  copy

 print ?

1. openssl rsa -in ca.key -out ca_decrypted.key  

生成 CA根证书的公钥 ca.crt：

[html]  view plain  copy

 print ?

1. openssl req -new -x509 -days 3650 -key ca.key -out ca.crt  

3.      制作网站的https证书，并用CA签名认证。

假设我们需要为 test.com 域名制作证书，先生成 test.com的证书私钥 test.com.pem。

   命令：

[html]  view plain  copy

 print ?

1. openssl genrsa -des3 -out test.com.pem 1024  

   生成无密码的私钥：

[html]  view plain  copy

 print ?

1. openssl rsa -in test.com.pem -out test.com.key  

生成 csr 签名请求：

[html]  view plain  copy

 print ?

1. openssl req -new -key test.com.pem -out test.com.csr  

这里需要输入国家，地区，组织，email等。最重要的是**common name**，可以写你的名字或者域名。如果为了 https 申请，这个必须和域名一样，即，这里要写test.com，否则会引发浏览器警报，这里可以用 *.test.com 来做泛域名证书。

最后要用CA证书进行签名：

[html]  view plain  copy

 print ?

1. openssl ca -policy policy_anything -days 1460 -cert ./demoCA/ca.crt -keyfile ./demoCA/ca.key -in test.com.csr -out test.com.crt  

把 ca.crt 的内容追加到 test.com.crt后面，因为有些浏览似乎不支持：

[html]  view plain  copy

 print ?

1. cat demoCA/ca.crt>> test.com.crt  

4.      制作客户端证书（跟制作网站的证书模式一样）：

准备客户端私钥：

[html]  view plain  copy

 print ?

1. openssl genrsa -des3 -out clent.pem 2048  

生成客户端证书请求：

[html]  view plain  copy

 print ?

1. openssl req -new -key client.pem -out client-req.csr  

CA签名客户端证书请求

[html]  view plain  copy

 print ?

1. openssl ca -policy policy_anything -days 1460 -cert ca.crt  -keyfile ca.key -in client-req.csr -out client.crt  

客户端证书CRT转换为 PKCS #12格式(全称应该叫做 Personal Information Exchange，通常以 p12作为后缀)：

[html]  view plain  copy

 print ?

1. openssl pkcs12 -export -clcerts -in client.crt -inkey client.pem -out client.p12  

点击刚才生成的p12文件输入证书的密码将安装。

5.      nginx配置

[html]  view plain  copy

 print ?

1. server {  
2.   listen 443;  
3.   server_name test.com www.test.com;  
4.    
5.   root html;  
6.   index index.html index.htm;  
7.    
8.   ssl on;                                     #开启ssl  
9.   ssl_certificate  /PATH/TO/test.com.crt;    #服务器证书位置  
10.   ssl_certificate_key /PATH/TO/test.com.key;  #服务器私钥  
11.   ssl_client_certificate /home/zhangyong/key/ca.crt;     #CA证书用于验证客户端证书的合法性  
12.    
13.   ssl_verify_client       on;                      #开启对客户端的验证  
14.    
15.   ssl_session_timeout 5m;                        #session有效期，5分钟  
16.    
17.   ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  
18.   ssl_ciphers 'AES128+EECDH:AES128+EDH:!aNULL';       #加密算法  
19.   ssl_prefer_server_ciphers on;  
20.    
21.   location / {  
22.     try_files $uri $uri/ =404;  
23.   }        
24. }  

6.      测试

当将一切都设置好，将 nginx启动成功后，就可以打开 IE来访问了，第一次访问，浏览器会询问双向认证时使用的证书，类似下图