nginx配置证书和私钥进行SSL通信验证

在这里插入图片描述

文章目录

  • 一、背景
    • 1.1 秘钥和证书是两个东西吗?
    • 1.2 介绍下nginx配置文件中参数ssl_certificate和ssl_certificate_key
    • 1.3介绍下nginx支持的证书类型
    • 1.4 目前nginx支持哪种证书格式?
    • 1.5 nginx修改配置文件目前方式也会有所不同
    • 1.6 介绍下不通格式的证书哪些可以包含私钥,哪些不能?
    • 1.7 创建私钥、证书请求、证书的命令
    • 1.8 如何区分证书中是否包含私钥信息
    • 1.9 多文件内容合并文件命令操作在windows和linux下不同
    • 1.10 不同格式文件打开查看内容方式
  • 二、具体实施操作
    • 2.1 针对方式一中nginx分别指定私钥和证书地址
    • 2.2 针对方式二中nginx私钥和证书统一指向证书地址
    • 2.3 命令中部分参数介绍
  • 三、重启nginx验证生效

一、背景

正常项目的私钥和服务端证书会放在项目中或者外挂到linux服务器某个路径下,现在的需求是客户手动创建的新的证书,替换后项目证书仍然生效,且功能能正常使用。

目前我司采用nginx配置SSL通信验证,具体配置在nginx安装路径下的nginx.conf文件,最终修改的地方是红框这里。
在这里插入图片描述

1.1 秘钥和证书是两个东西吗?

是的,密钥(Key)和证书(Certificate)是两个不同的概念,但它们在安全通信中通常是相关联的。密钥(Key):
密钥是用于加密和解密数据的一种数学算法。
在SSL/TLS通信中,有两种主要类型的密钥:公钥和私钥。
私钥(Private Key)用于对数据进行加密和对由公钥加密的数据进行解密。私钥必须保密,只有持有私钥的一方才能解密数据。
公钥(Public Key)用于对数据进行解密和对由私钥加密的数据进行加密。公钥通常公开发布,用于与其他人安全地通信。证书(Certificate):
证书是由数字证书颁发机构(CA)签发的一种电子文件,用于验证服务器或客户端的身份。
证书包含了一些重要的信息,如公钥、颁发者、有效期等。
证书可以用来确保通信双方的身份,防止中间人攻击等安全威胁。
在SSL/TLS通信中,密钥和证书通常是配对使用的。服务器会持有私钥,并将其与公钥证书一起使用以向客户端证明其身份。客户端则使用服务器的公钥证书来验证服务器的身份,并用于加密通信。

1.2 介绍下nginx配置文件中参数ssl_certificate和ssl_certificate_key

答案:ssl_certificate指向的是“服务端证书”相对路径,而ssl_certificate_key指向的是“私钥”相对路径。

1.3介绍下nginx支持的证书类型

目前市面上数字证书可以以多种不同的后缀格式保存,常见的包括:

  • PEM(Privacy Enhanced Mail):PEM 格式是一种常见的 ASCII 编码格式,通常用于存储证书、密钥和其他相关数据。PEM 格式的文件通常以 .pem、.cer、.crt 或 .key 结尾。

  • DER(Distinguished Encoding Rules):DER 格式是一种二进制编码格式,通常用于表示 X.509 数字证书。DER 格式的文件通常以 .der 或 .cer 结尾。

  • PKCS#12:PKCS#12 是一种可将证书和私钥打包成单个加密文件的格式。PKCS#12 格式的文件通常以 .p12 或 .pfx 结尾。

  • JKS(Java KeyStore):JKS 格式是 Java 中用于存储密钥和证书的专有格式。JKS 格式的文件通常以 .jks 结尾。

  • PFX(Personal Information Exchange):PFX 格式与 PKCS#12 格式类似,用于将证书和私钥打包成单个文件,通常以 .pfx 结尾。

  • PKCS#7 / P7B:PKCS#7 或 P7B 格式通常用于存储证书链,它们以二进制格式存储,并可以包含多个证书。PKCS#7/P7B 格式的文件通常以 .p7b 或 .p7c 结尾。

这些是常见的数字证书后缀格式,每种格式都有其特定的用途和兼容性。在使用数字证书时,需要根据具体情况选择合适的格式。

1.4 目前nginx支持哪种证书格式?

目前nginx支持的证书格式是.crt或者.pem格式的证书(也就是ssl_certificate后面配置的证书格式),如果是其他类型证书需要手动转换成.crt或者.pem格式。

1.5 nginx修改配置文件目前方式也会有所不同

  • 方式1(最常见的方式),ssl_certificate服务端配置证书,ssl_certificate_key配置私钥(这里差别在证书,无论证书中是否包含私钥信息都可以这么配置生效)
server_name               10.161.29.209;ssl_certificate				CA/server.crt;ssl_certificate_key	  		CA/server_pkcs8.key;
  • 方式2,ssl_certificate和ssl_certificate_key统一指向服务端配置证书,详情请看nginx官网文档和图片(这里就要求:证书必须包含私钥,否则重启nginx会失败,会报错找不到或加载不到私钥信息)
    nginx官网文档 → https://nginx.org/en/docs/http/configuring_https_servers.html

在这里插入图片描述

1.6 介绍下不通格式的证书哪些可以包含私钥,哪些不能?

网上搜到的图片长这样

在这里插入图片描述

接下来说下我自己测试后的理解,可能会和上面不同,也可能相同,我没做过对比

  • .crt格式:包含公钥、证书信息;可包含或者不包含私钥
  • .pem格式:包含公钥、证书信息;可包含或者不包含私钥
  • .der格式:包含公钥、证书信息;默认不包含私钥
  • .p12或者pfx格式:包含公钥、证书信息、可包含或者不包含私钥
  • 其他格式尚未验证

1.7 创建私钥、证书请求、证书的命令

首先需要安装openSSL,使用它可以快速创建私钥、证书请求、证书。

举例创建自签名证书流程:

1. 要创建自签名证书,你可以使用 OpenSSL 工具。以下是使用 OpenSSL 创建自签名证书的基本步骤:

2. 安装 OpenSSL:首先,确保你的系统上已经安装了 OpenSSL 工具。你可以从 OpenSSL 官方网站或使用包管理器进行安装。

openssl genpkey -algorithm RSA -out private.key

这将生成一个名为 private.key 的私钥文件。

3. 生成证书请求:接下来,使用私钥生成一个证书请求 (CSR) 文件,其中包含了公钥和其他相关信息。执行以下命令生成 CSR 文件:

openssl req -new -key private.key -out csr.csr

在此过程中,你将被要求提供一些相关信息,如国家/地区、组织名称、通用名称 (域名) 等。请根据实际情况填写这些信息。

4. 生成自签名证书:使用以下命令生成自签名证书:

openssl x509 -req -in csr.csr -signkey private.key -out certificate.crt

这将使用私钥和证书请求生成一个自签名证书文件,名为 certificate.crt。

5. 使用证书:现在你已经生成了自签名证书 certificate.crt,可以将其用于服务器或应用程序的 SSL/TLS 配置中。具体步骤取决于你使用的服务器软件或编程语言。
请注意,自签名证书不会被公共信任的根证书颁发机构所信任,因此在使用自签名证书时,浏览器或客户端可能会显示警告。自签名证书更适合用于测试环境或内部使用,而不是用于公共生产环境。

另外,请确保妥善保管私钥文件和证书文件,以防止未经授权的访问和潜在的安全风险。

1.8 如何区分证书中是否包含私钥信息

举例说明:

我拿两个证书文件,用记事本打开看效果,如图1中“-----BEGIN CERTIFICATE-----”这个开头的就是公钥信息,如图2中“-----BEGIN PRIVATE KEY-----”包含的就是私钥信息。最简单的鉴别方式就是用记事本打开看区别,当然有的格式是二进制编码打开乱码,这时候就需要去服务器指定路径下使用命令去打开证书文件才能看到具体内容区别。

在这里插入图片描述

如图1

在这里插入图片描述

如图2

1.9 多文件内容合并文件命令操作在windows和linux下不同

  • 在 Windows 上使用type命令:
type certificate.pem server_pkcs8.key > certificate_with_key.pem

这个命令会将 certificate.pem 文件和 server_pkcs8.key 文件的内容连接到一个新文件 certificate_with_key.pem 中。

  • 在类 Unix 系统(如 Linux 或 macOS)上使用 cat 命令:
cat certificate.pem server_pkcs8.key > certificate_with_key.pem

这个命令也会将 certificate.pem 文件和 server_pkcs8.key 文件的内容连接到一个新文件 certificate_with_key.pem 中。

请确保在命令中替换 certificate.pem 和 server_pkcs8.key 为您实际的证书和私钥文件路径和名称。

这样生成的 certificate_with_key.pem 文件将包含证书和私钥信息。如果您还有其他问题或需要进一步的帮助,请告诉我。

1.10 不同格式文件打开查看内容方式

  • server_pkcs8.key私钥,可直接记事本打开
    在这里插入图片描述
  • server.csr证书请求文件,可直接记事本打开
    在这里插入图片描述
  • certificate.crt格式证书,可直接记事本打开
    在这里插入图片描述
  • certificate.pem格式证书,可直接记事本打开
    在这里插入图片描述
  • certificate.der格式证书,无法直接记事本打开会乱码,需要在服务器使用命令打开
命令:
openssl x509 -inform DER -in certificate.der -text

在这里插入图片描述

  • certificate.p12格式证书,无法直接记事本打开会乱码,需要在服务器使用命令打开
命令:
openssl pkcs12 -info -in certificate.p12

在这里插入图片描述

  • certificate.pfx格式证书跟.p12同理,无法直接记事本打开会乱码,需要在服务器使用命令打开
命令:
openssl pkcs12 -info -in certificate.pfx

在这里插入图片描述

二、具体实施操作

2.1 针对方式一中nginx分别指定私钥和证书地址

在这里插入图片描述

创建不带私钥信息的.crt格式的证书名,命令:

openssl x509 -req -in server.csr -signkey server_pkcs8.key -out certificate.crt -days 7200

创建不带私钥信息的.pem格式的证书名,命令:

openssl x509 -req -in server.csr -signkey server_pkcs8.key -out certificate.pem -days 7200 -outform PEM

创建不带私钥信息的.der格式的证书名,命令:

openssl x509 -req -in server.csr -signkey server_pkcs8.key -out certificate.der -days 7200 -outform DER

2.2 针对方式二中nginx私钥和证书统一指向证书地址

在这里插入图片描述

创建带私钥信息的.crt格式的证书名,(思路:将原crt不带私钥的证书文件和私钥合并为一个新文件,其中“certificate.crt”代表你原crt文件,“server_pkcs8.key”代表私钥,“certificate_with_key.crt”代表合并后的文件),命令:

openssl x509 -req -in server.csr -signkey server_pkcs8.key -out certificate.crt -days 7200
cat certificate.crt server_pkcs8.key > certificate_with_key.crt

创建带私钥信息的.pem格式的证书名(思路:crt格式、pem格式、der格式都采用合并文件方式生成新文件),命令:

openssl x509 -req -in server.csr -signkey server_pkcs8.key -out certificate.pem -days 7200 -outform PEM
cat certificate.pem server_pkcs8.key > certificate_with_key.pem

创建带私钥信息的.der格式的证书名(思路:crt格式、pem格式、der格式都采用合并文件方式生成新文件),命令:

openssl x509 -req -in server.csr -signkey server_pkcs8.key -out certificate.der -days 7200 -outform DER
cat certificate.der server_pkcs8.key > certificate_with_key.pem

创建带私钥信息的.p12格式的证书名(思路:它跟crt\pem\der格式不同,他采用生成.p12文件后,再转换成pem或者crt格式),命令:

openssl pkcs12 -export -out certificate.p12 -inkey server_pkcs8.key -in certificate.crt
openssl pkcs12 -in certificate.p12 -out p12TransformPemPri.pem -nodes
或者
openssl pkcs12 -in certificate.p12 -out p12TransformPemPri.crt -nodes

创建带私钥信息的.pfx格式的证书名(思路:跟创建.p12相同),命令:

openssl pkcs12 -export -out certificate.pfx -inkey server_pkcs8.key -in certificate.crt
openssl pkcs12 -in certificate.pfx  -out pfxTransformPem.pem  -nodes
或者
openssl pkcs12 -in certificate.pfx  -out pfxTransformPem.crt  -nodes

2.3 命令中部分参数介绍

  • -req:生成证书请求(CSR)。
  • -in:指定输入文件或数据。
  • -signkey:使用指定的私钥进行签名。
  • -out:指定输出文件。
  • -outform:指定输出格式。
  • -inform:指定输入格式。
  • pkcs12 -export:将证书和私钥打包成 PKCS #12 格式。
  • -nokeys:在输出中不包括私钥。
  • -CAcreateserial:在生成自签名证书时创建一个序列号文件。
  • -text:显示证书或 CSR 文件的文本信息。

三、重启nginx验证生效

  1. 进入nginx目录
cd /home/ems/3rdparty/nginx/
  1. 验证nginx.conf 修改是否正确
sbin/nginx -t
  1. 如果出现 以下内容,nginx.conf即是修改正确
nginx: the configuration file /home/ems/3rdparty/nginx/nginx.conf syntax is ok 
nginx: configuration file /home/ems/3rdparty/nginx/nginx.conf test is successful
  1. 重启nginx ,等候30s 访问新加的域名即可。
sbin/nginx -s reload

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/304417.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

微服务-4 Nacos

目录 一、注册中心 二、配置管理 1. 添加配置 2. 配置自动刷新 3. 多环境配置共享​编辑 一、注册中心 服务列表: 服务详情: 二、配置管理 1. 添加配置 (1). 在 nacos 界面中添加配置文件: 配置列表: 配置详情:…

Qt之QSS样式表

QSS简介 QSS(Qt Style Sheet)样式表是一种用于描述图形用户界面(GUI)样式的语言。它允许开发者为应用程序的控件定义视觉外观,例如颜色、字体、尺寸和布局等。 QSS 样式表的主要目的是提供一种简洁而灵活的方式来美化…

【优选算法专栏】专题四:前缀和(一)

本专栏内容为:算法学习专栏,分为优选算法专栏,贪心算法专栏,动态规划专栏以及递归,搜索与回溯算法专栏四部分。 通过本专栏的深入学习,你可以了解并掌握算法。 💓博主csdn个人主页:小…

DRF 常用功能

文章目录 一、主流认证方式Session认证Token认证JWT认证 二、DRF认证与权限Session认证所有视图(全局)启用认证视图级别启用认证 Token认证[推荐]安装APP启用Token认证生成数据库表(因为token要存储到数据库)配置Token认证接口URL获取token使…

迭代器模式【行为模式C++】

1.简介 迭代器模式是一种行为设计模式, 让你能在不暴露集合(聚合对象)底层表现形式 (列表、 栈和树等) 的情况下遍历集合(聚合对象)中所有的元素。 迭代器的意义就是将这个行为抽离封装起来&a…

STM32F4 IAP跳转APP问题及STM32基于Ymodem协议IAP升级笔记

STM32F4 IAP 跳转 APP问题 ST官网IAP例程Chapter1 STM32F4 IAP 跳转 APP问题1. 概念2. 程序2.1 Bootloader 程序 问题现象2.2. APP程序 3. 代码4. 其他问题 Chapter2 STM32-IAP基本原理及应用 | ICP、IAP程序下载流程 | 程序执行流程 | 配置IAP到STM32F4xxxChapter3 STM32基于Y…

SQLite数据库在Linux系统上的使用

SQLite是一个轻量级的数据库解决方案,它是一个嵌入式的数据库管理系统。SQLite的特点是无需独立的服务器进程,可以直接嵌入到使用它的应用程序中。由于其配置简单、支持跨平台、服务器零管理,以及不需要复杂的设置和操作,SQLite非…

python如何输入多行

Python中的Input()函数在输入时,遇到回车符,那么一次输入就结束了。这不能满足输入多行文本并且行数也不确定的情形,当然输入空行也是允许的。 方法1:利用异常处理机制实现 lines[] while True:try:lines.append(input())except:…

达梦数据库清理归档日志的方法

达梦数据库清理归档日志的方法 在达梦数据库(DM数据库)中,归档日志文件是数据库运行过程中产生的,用于记录所有对数据库修改的详细信息。这些日志对于数据库的恢复非常关键,尤其是在进行灾难恢复或数据恢复时。然而&a…

关于Linux下的进程等待(进程篇)

目录 为什么存在进程等待&#xff1f;进程等待是在做什么&#xff1f; 怎样去执行进程等待&#xff1f; status options 为什么存在进程等待&#xff1f;进程等待是在做什么&#xff1f; 代码示例&#xff1a;模仿僵尸进程 #include <stdio.h> #include <unistd.…

xss跨站脚本攻击笔记

1 XSS跨站脚本攻击 1.1 xss跨站脚本攻击介绍 跨站脚本攻击英文全称为(Cross site Script)缩写为CSS&#xff0c;但是为了和层叠样式表(CascadingStyle Sheet)CSS区分开来&#xff0c;所以在安全领域跨站脚本攻击叫做XSS 1.2 xss跨战脚本攻击分类 第一种类型:反射型XSS 反射…

java数据结构与算法刷题-----LeetCode684. 冗余连接

java数据结构与算法刷题目录&#xff08;剑指Offer、LeetCode、ACM&#xff09;-----主目录-----持续更新(进不去说明我没写完)&#xff1a;https://blog.csdn.net/grd_java/article/details/123063846 文章目录 并查集 并查集 解题思路&#xff1a;时间复杂度O( n ∗ l o g 2…

ThinkPHP审计(2) Thinkphp反序列化链5.1.X原理分析从0编写POC

ThinkPHP审计(2) Thinkphp反序列化链子5.1.X原理分析&从0编写POC 文章目录 ThinkPHP审计(2) Thinkphp反序列化链子5.1.X原理分析&从0编写POC动态调试环境配置Thinkphp反序列化链5.1.X原理分析一.实现任意文件删除二.实现任意命令执行真正的难点 Thinkphp反序列化链5.1.…

JVM规范中的运行时数据区

✅作者简介&#xff1a;大家好&#xff0c;我是Leo&#xff0c;热爱Java后端开发者&#xff0c;一个想要与大家共同进步的男人&#x1f609;&#x1f609; &#x1f34e;个人主页&#xff1a;Leo的博客 &#x1f49e;当前专栏&#xff1a;每天一个知识点 ✨特色专栏&#xff1a…

SpringBoot 集成H2数据库,启动执行sql, 中文乱码

目录 H2数据库介绍 SpringBoot版本&#xff1a;SpringBoot 2.1.12.RELEASE 快速集成H2&#xff0c;maven依赖 快速集成H2&#xff0c;数据源及关键参数配置 spring.datasource.schema参数&#xff08;建表SQL脚本&#xff09; spring.datasource.data参数&#xff08;更新、…

Qt5 编译 Qt Creator 源码中的 linguist 模块

文章目录 下载 Qt Creator 源码手动翻译多语言自动翻译多语言 下载 Qt Creator 源码 Github: https://github.com/qt/qttools 笔记打算用 Qt 5.12.12 来编译 qt creator-linguist 所以笔者下载的是 tag - 5.12.12 &#xff0c;解压后如下&#xff0c;先删除多余的文件&#xf…

【Vue】Vue3中的OptionsAPI与CompositionAPI

文章目录 OptionsAPICompositionAPI对比总结 OptionsAPI 中文名:选项式API通过定义methods,computed,watch,data等属性方法&#xff0c;处理页面逻辑。以下是OptionsAPI代码结构 实例代码: <script lang"ts">// js或者tsimport { defineComponent } from vu…

【学习】软件测试需求分析要从哪些方面入手

软件测试需求分析是软件测试过程中非常重要的一个环节&#xff0c;它是为了明确软件测试的目标、范围、资源和时间等要素&#xff0c;以确保软件测试的有效性和全面性。本文将从以下几个方面对软件测试需求分析进行详细的阐述&#xff1a; 一、软件测试目标 软件测试目标是指…

读所罗门的密码笔记16_直通心智

1. 直通心智 1.1. 如今&#xff0c;科学家已经可以诱发触觉、压觉、痛觉和大约250种其他感觉 1.1.1. DARPA支持的触觉技术第一次让一位受伤的人能够用假肢和手指感知到被触碰的物体 1.1.2. 可以建立人工系统&#xff0c;来替换和弥补受损大脑的部分区域 1.1.3. 神经科学家能…

Nginx日志格式化和追踪

背景 Nginx是一款功能强大的Web服务器&#xff0c;对于网络环境中的日志记录和配置至关重要。定制化Nginx日志格式可以帮助管理员更好地监控服务器性能、分析用户行为并做出相应优化。在本文中&#xff0c;我们将深入探讨Nginx日志格式的高级定制化策略&#xff0c;包括理解基…