快捷導(dǎo)航

https如何通過nginx完成雙向認(rèn)證轉(zhuǎn)發(fā)

更新時(shí)間：2024年11月19日 09:18:05 作者：darkeering

文章詳細(xì)介紹了HTTPS單向認(rèn)證和雙向認(rèn)證的概念,并提供了生成自簽證書、配置Nginx進(jìn)行雙向認(rèn)證的具體步驟,通過雙向認(rèn)證,服務(wù)端和客戶端可以互相驗(yàn)證身份,提升安全性,在測(cè)試過程中,使用瀏覽器訪問HTTPS接口時(shí),需要安裝客戶端證書才能成功獲取數(shù)據(jù)

https 單向認(rèn)證和雙向認(rèn)證

具體可以看看這篇文章 https雙向認(rèn)證，寫的很詳細(xì)和形象

單向認(rèn)證

雙向認(rèn)證

生成自簽證書、服務(wù)端證書和客戶端證書

具體可以看這篇文章 Nginx配置ssl雙向認(rèn)證

1.CA 與自簽名

# 生成CA私鑰，會(huì)讓你輸自定義密碼（例：000000）
openssl genrsa -aes256 -out ca.key 2048

# 制作CA公鑰/根證書
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
# 輸入CA密碼：000000
# Common Name 隨意填寫（test.com）；其它隨意

2.服務(wù)端證書（server.client server.key）

# 生成服務(wù)器私鑰（.pem文件），會(huì)讓你輸自定義密碼（例：111111）
openssl genrsa -aes256 -out server.pem 1024
# .pem文件轉(zhuǎn)換.key文件
openssl rsa -in server.pem -out server.key
# 輸入Server密碼：111111

# 生成簽發(fā)請(qǐng)求
openssl req -new -key server.pem -out server.csr
# 輸入Server密碼：111111
# Common Name填寫自己的ip地址即可，其他隨意

# 用CA簽發(fā)證書
openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt
# 輸入CA密碼：000000

3.客戶端證書（client.client client.key）

# 生成客戶端私鑰（.pem文件），會(huì)讓你輸自定義密碼（例：222222）
openssl genrsa -aes256 -out client.pem 1024
# .pem文件轉(zhuǎn)換.key文件
openssl rsa -in client.pem -out client.key
# 222222

# 生成簽發(fā)請(qǐng)求
openssl req -new -key client.pem -out client.csr
# 輸入Client密碼：222222
# Common Name填寫自己的ip地址即可，其他隨意

# 用CA簽發(fā)證書
openssl x509 -req -sha256 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out client.crt
# 輸入CA密碼：000000

# 使用瀏覽器訪問時(shí)，需要生成p12格式的客戶端證書，會(huì)讓你輸入自定義密碼（例：123456）
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

服務(wù)端使用 https 進(jìn)行通信，并使用雙向認(rèn)證

const express = require("express");
const https = require("https");
const fs = require("fs");
const app = express();
const PORT = 7000;
const options = {
  key: fs.readFileSync("./ssl/server.key"),
  cert: fs.readFileSync("./ssl/server.crt"),
  ca: [fs.readFileSync("./ssl/ca.crt")],
  requestCert: true,
  rejectUnauthorized: true,
};

https
  .createServer(options, app)
  .listen(PORT, () => console.log(`App listening on port ${PORT}!`));

app.get("/v1", (req, res) => res.send("Hello World!"));

配置 nginx，進(jìn)行轉(zhuǎn)發(fā)

server {
    listen       8080;
    server_name  localhost;

    location /api {
        proxy_ssl_certificate ssl/client.crt;
        proxy_ssl_certificate_key ssl/client.key;
        # client-pw.txt 里面是Client密碼：222222
        proxy_ssl_password_file ssl/client-pw.txt;
        proxy_pass https://localhost:7000/v1;

    }
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   html;
    }
}

測(cè)試

直接使用瀏覽器訪問 https://loalhost:7000/v1 是獲取不到數(shù)據(jù)的
使用 http://loalhost:8080/api 是可以獲取到數(shù)據(jù)的
或者瀏覽器安裝 client.p12 證書（安裝時(shí)輸入的密碼是 p12 密碼：123456）也是可以通過 https://loalhost:7000/v1 獲取數(shù)據(jù)