本地电脑基于nginx的https单向认证和双向认证(自制证书+nginx配置)保姆级

使用nginx进行HTTPS单向和双向认证

在本文中，我们将详细介绍如何使用nginx配置HTTPS单向认证和双向认证。我们将以自制证书为例来进行操作。

一、单向认证

单向认证是指客户端可以向服务器提交请求，并由服务器提供证书以证明其身份。以下是步骤。

1. 安装nginx

首先，确保你的系统上已经安装了nginx。如果没有安装，可以使用以下命令进行安装（以Ubuntu为例）：

sudo apt update
sudo apt install nginx

2. 生成自签名证书

生成一个自签名的SSL证书：

# 创建一个目录用于存放证书
sudo mkdir /etc/nginx/ssl

# 生成私钥
sudo openssl genrsa -out /etc/nginx/ssl/nginx.key 2048

# 生成自签名证书
sudo openssl req -new -x509 -key /etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt -days 365

在生成证书的过程中，系统会提示您输入信息，如国家、城市等信息。

3. 配置nginx

接下来，您需要修改nginx的配置文件，通常在 /etc/nginx/sites-available/default 或 /etc/nginx/nginx.conf中。

打开配置文件：

sudo nano /etc/nginx/sites-available/default

在文件中找到 server 块，添加以下配置：

server {
    listen 443 ssl; # 监听 HTTPS 端口
    server_name your_domain.com; # 替换为您的域名

    ssl_certificate /etc/nginx/ssl/nginx.crt; # SSL证书
    ssl_certificate_key /etc/nginx/ssl/nginx.key; # SSL私钥

    location / {
        root /var/www/html; # 网站根目录
        index index.html index.htm;
    }
}

保存并退出，然后用以下命令检查配置的正确性：

sudo nginx -t

4. 重启nginx

最后，重启nginx以使配置生效：

sudo systemctl restart nginx

到此为止，你的nginx已成功配置单向认证的HTTPS。

二、双向认证

双向认证是指服务器和客户端都需要提供证书进行身份验证。

1. 创建CA（证书颁发机构）

首先，我们先创建一个CA，然后使用它来为客户端生成证书。

# 创建CA私钥
sudo openssl genrsa -out ca.key 2048

# 使用私钥创建CA证书
sudo openssl req -x509 -new -nodes -key ca.key -sha256 -days 1024 -out ca.crt

2. 为客户端生成证书

为客户端生成一个私钥和证书请求：

# 客户端私钥
sudo openssl genrsa -out client.key 2048

# 生成证书请求
sudo openssl req -new -key client.key -out client.csr

使用CA签名客户端证书：

# 使用CA签名并生成客户端证书
sudo openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 500 -sha256

3. 配置nginx进行双向认证

在nginx的配置中，修改server块，添加要求客户端证书的配置：

server {
    listen 443 ssl;
    server_name your_domain.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;

    ssl_client_verify on; # 开启客户端验证
    ssl_client_certificate /etc/nginx/ssl/ca.crt; # 指定CA证书

    location / {
        root /var/www/html;
        index index.html index.htm;
    }
}

4. 重启nginx

同样，检查配置文件的正确性并重启nginx：

sudo nginx -t
sudo systemctl restart nginx

三、测试

测试单向和双向认证可以用curl命令进行：

单向认证测试

curl -v https://your_domain.com

双向认证测试

curl -v -E client.crt --key client.key https://your_domain.com

到此，在nginx上通过自制证书设置HTTPS单向认证和双向认证的流程就完成了。务必确保使用安全的私钥及CA文件并妥善保管！