nginx配置证书和私钥进行SSL通信验证

在这里插入图片描述

文章目录

  • 一、背景
    • 1.1 秘钥和证书是两个东西吗?
    • 1.2 介绍下nginx配置文件中参数ssl_certificate和ssl_certificate_key
    • 1.3介绍下nginx支持的证书类型
    • 1.4 目前nginx支持哪种证书格式?
    • 1.5 nginx修改配置文件目前方式也会有所不同
    • 1.6 介绍下不通格式的证书哪些可以包含私钥,哪些不能?
    • 1.7 创建私钥、证书请求、证书的命令
    • 1.8 如何区分证书中是否包含私钥信息
    • 1.9 多文件内容合并文件命令操作在windows和linux下不同
    • 1.10 不同格式文件打开查看内容方式
  • 二、具体实施操作
    • 2.1 针对方式一中nginx分别指定私钥和证书地址
    • 2.2 针对方式二中nginx私钥和证书统一指向证书地址
    • 2.3 命令中部分参数介绍
  • 三、重启nginx验证生效

一、背景

正常项目的私钥和服务端证书会放在项目中或者外挂到linux服务器某个路径下,现在的需求是客户手动创建的新的证书,替换后项目证书仍然生效,且功能能正常使用。

目前我司采用nginx配置SSL通信验证,具体配置在nginx安装路径下的nginx.conf文件,最终修改的地方是红框这里。
在这里插入图片描述

1.1 秘钥和证书是两个东西吗?

是的,密钥(Key)和证书(Certificate)是两个不同的概念,但它们在安全通信中通常是相关联的。密钥(Key):
密钥是用于加密和解密数据的一种数学算法。
在SSL/TLS通信中,有两种主要类型的密钥:公钥和私钥。
私钥(Private Key)用于对数据进行加密和对由公钥加密的数据进行解密。私钥必须保密,只有持有私钥的一方才能解密数据。
公钥(Public Key)用于对数据进行解密和对由私钥加密的数据进行加密。公钥通常公开发布,用于与其他人安全地通信。证书(Certificate):
证书是由数字证书颁发机构(CA)签发的一种电子文件,用于验证服务器或客户端的身份。
证书包含了一些重要的信息,如公钥、颁发者、有效期等。
证书可以用来确保通信双方的身份,防止中间人攻击等安全威胁。
在SSL/TLS通信中,密钥和证书通常是配对使用的。服务器会持有私钥,并将其与公钥证书一起使用以向客户端证明其身份。客户端则使用服务器的公钥证书来验证服务器的身份,并用于加密通信。

1.2 介绍下nginx配置文件中参数ssl_certificate和ssl_certificate_key

答案:ssl_certificate指向的是“服务端证书”相对路径,而ssl_certificate_key指向的是“私钥”相对路径。

1.3介绍下nginx支持的证书类型

目前市面上数字证书可以以多种不同的后缀格式保存,常见的包括:

  • PEM(Privacy Enhanced Mail):PEM 格式是一种常见的 ASCII 编码格式,通常用于存储证书、密钥和其他相关数据。PEM 格式的文件通常以 .pem、.cer、.crt 或 .key 结尾。

  • DER(Distinguished Encoding Rules):DER 格式是一种二进制编码格式,通常用于表示 X.509 数字证书。DER 格式的文件通常以 .der 或 .cer 结尾。

  • PKCS#12:PKCS#12 是一种可将证书和私钥打包成单个加密文件的格式。PKCS#12 格式的文件通常以 .p12 或 .pfx 结尾。

  • JKS(Java KeyStore):JKS 格式是 Java 中用于存储密钥和证书的专有格式。JKS 格式的文件通常以 .jks 结尾。

  • PFX(Personal Information Exchange):PFX 格式与 PKCS#12 格式类似,用于将证书和私钥打包成单个文件,通常以 .pfx 结尾。

  • PKCS#7 / P7B:PKCS#7 或 P7B 格式通常用于存储证书链,它们以二进制格式存储,并可以包含多个证书。PKCS#7/P7B 格式的文件通常以 .p7b 或 .p7c 结尾。

这些是常见的数字证书后缀格式,每种格式都有其特定的用途和兼容性。在使用数字证书时,需要根据具体情况选择合适的格式。

1.4 目前nginx支持哪种证书格式?

目前nginx支持的证书格式是.crt或者.pem格式的证书(也就是ssl_certificate后面配置的证书格式),如果是其他类型证书需要手动转换成.crt或者.pem格式。

1.5 nginx修改配置文件目前方式也会有所不同

  • 方式1(最常见的方式),ssl_certificate服务端配置证书,ssl_certificate_key配置私钥(这里差别在证书,无论证书中是否包含私钥信息都可以这么配置生效)
server_name               10.161.29.209;ssl_certificate				CA/server.crt;ssl_certificate_key	  		CA/server_pkcs8.key;
  • 方式2,ssl_certificate和ssl_certificate_key统一指向服务端配置证书,详情请看nginx官网文档和图片(这里就要求:证书必须包含私钥,否则重启nginx会失败,会报错找不到或加载不到私钥信息)
    nginx官网文档 → https://nginx.org/en/docs/http/configuring_https_servers.html

在这里插入图片描述

1.6 介绍下不通格式的证书哪些可以包含私钥,哪些不能?

网上搜到的图片长这样

在这里插入图片描述

接下来说下我自己测试后的理解,可能会和上面不同,也可能相同,我没做过对比

  • .crt格式:包含公钥、证书信息;可包含或者不包含私钥
  • .pem格式:包含公钥、证书信息;可包含或者不包含私钥
  • .der格式:包含公钥、证书信息;默认不包含私钥
  • .p12或者pfx格式:包含公钥、证书信息、可包含或者不包含私钥
  • 其他格式尚未验证

1.7 创建私钥、证书请求、证书的命令

首先需要安装openSSL,使用它可以快速创建私钥、证书请求、证书。

举例创建自签名证书流程:

1. 要创建自签名证书,你可以使用 OpenSSL 工具。以下是使用 OpenSSL 创建自签名证书的基本步骤:

2. 安装 OpenSSL:首先,确保你的系统上已经安装了 OpenSSL 工具。你可以从 OpenSSL 官方网站或使用包管理器进行安装。

openssl genpkey -algorithm RSA -out private.key

这将生成一个名为 private.key 的私钥文件。

3. 生成证书请求:接下来,使用私钥生成一个证书请求 (CSR) 文件,其中包含了公钥和其他相关信息。执行以下命令生成 CSR 文件:

openssl req -new -key private.key -out csr.csr

在此过程中,你将被要求提供一些相关信息,如国家/地区、组织名称、通用名称 (域名) 等。请根据实际情况填写这些信息。

4. 生成自签名证书:使用以下命令生成自签名证书:

openssl x509 -req -in csr.csr -signkey private.key -out certificate.crt

这将使用私钥和证书请求生成一个自签名证书文件,名为 certificate.crt。

5. 使用证书:现在你已经生成了自签名证书 certificate.crt,可以将其用于服务器或应用程序的 SSL/TLS 配置中。具体步骤取决于你使用的服务器软件或编程语言。
请注意,自签名证书不会被公共信任的根证书颁发机构所信任,因此在使用自签名证书时,浏览器或客户端可能会显示警告。自签名证书更适合用于测试环境或内部使用,而不是用于公共生产环境。

另外,请确保妥善保管私钥文件和证书文件,以防止未经授权的访问和潜在的安全风险。

1.8 如何区分证书中是否包含私钥信息

举例说明:

我拿两个证书文件,用记事本打开看效果,如图1中“-----BEGIN CERTIFICATE-----”这个开头的就是公钥信息,如图2中“-----BEGIN PRIVATE KEY-----”包含的就是私钥信息。最简单的鉴别方式就是用记事本打开看区别,当然有的格式是二进制编码打开乱码,这时候就需要去服务器指定路径下使用命令去打开证书文件才能看到具体内容区别。

在这里插入图片描述

如图1

在这里插入图片描述

如图2

1.9 多文件内容合并文件命令操作在windows和linux下不同

  • 在 Windows 上使用type命令:
type certificate.pem server_pkcs8.key > certificate_with_key.pem

这个命令会将 certificate.pem 文件和 server_pkcs8.key 文件的内容连接到一个新文件 certificate_with_key.pem 中。

  • 在类 Unix 系统(如 Linux 或 macOS)上使用 cat 命令:
cat certificate.pem server_pkcs8.key > certificate_with_key.pem

这个命令也会将 certificate.pem 文件和 server_pkcs8.key 文件的内容连接到一个新文件 certificate_with_key.pem 中。

请确保在命令中替换 certificate.pem 和 server_pkcs8.key 为您实际的证书和私钥文件路径和名称。

这样生成的 certificate_with_key.pem 文件将包含证书和私钥信息。如果您还有其他问题或需要进一步的帮助,请告诉我。

1.10 不同格式文件打开查看内容方式

  • server_pkcs8.key私钥,可直接记事本打开
    在这里插入图片描述
  • server.csr证书请求文件,可直接记事本打开
    在这里插入图片描述
  • certificate.crt格式证书,可直接记事本打开
    在这里插入图片描述
  • certificate.pem格式证书,可直接记事本打开
    在这里插入图片描述
  • certificate.der格式证书,无法直接记事本打开会乱码,需要在服务器使用命令打开
命令:
openssl x509 -inform DER -in certificate.der -text

在这里插入图片描述

  • certificate.p12格式证书,无法直接记事本打开会乱码,需要在服务器使用命令打开
命令:
openssl pkcs12 -info -in certificate.p12

在这里插入图片描述

  • certificate.pfx格式证书跟.p12同理,无法直接记事本打开会乱码,需要在服务器使用命令打开
命令:
openssl pkcs12 -info -in certificate.pfx

在这里插入图片描述

二、具体实施操作

2.1 针对方式一中nginx分别指定私钥和证书地址

在这里插入图片描述

创建不带私钥信息的.crt格式的证书名,命令:

openssl x509 -req -in server.csr -signkey server_pkcs8.key -out certificate.crt -days 7200

创建不带私钥信息的.pem格式的证书名,命令:

openssl x509 -req -in server.csr -signkey server_pkcs8.key -out certificate.pem -days 7200 -outform PEM

创建不带私钥信息的.der格式的证书名,命令:

openssl x509 -req -in server.csr -signkey server_pkcs8.key -out certificate.der -days 7200 -outform DER

2.2 针对方式二中nginx私钥和证书统一指向证书地址

在这里插入图片描述

创建带私钥信息的.crt格式的证书名,(思路:将原crt不带私钥的证书文件和私钥合并为一个新文件,其中“certificate.crt”代表你原crt文件,“server_pkcs8.key”代表私钥,“certificate_with_key.crt”代表合并后的文件),命令:

openssl x509 -req -in server.csr -signkey server_pkcs8.key -out certificate.crt -days 7200
cat certificate.crt server_pkcs8.key > certificate_with_key.crt

创建带私钥信息的.pem格式的证书名(思路:crt格式、pem格式、der格式都采用合并文件方式生成新文件),命令:

openssl x509 -req -in server.csr -signkey server_pkcs8.key -out certificate.pem -days 7200 -outform PEM
cat certificate.pem server_pkcs8.key > certificate_with_key.pem

创建带私钥信息的.der格式的证书名(思路:crt格式、pem格式、der格式都采用合并文件方式生成新文件),命令:

openssl x509 -req -in server.csr -signkey server_pkcs8.key -out certificate.der -days 7200 -outform DER
cat certificate.der server_pkcs8.key > certificate_with_key.pem

创建带私钥信息的.p12格式的证书名(思路:它跟crt\pem\der格式不同,他采用生成.p12文件后,再转换成pem或者crt格式),命令:

openssl pkcs12 -export -out certificate.p12 -inkey server_pkcs8.key -in certificate.crt
openssl pkcs12 -in certificate.p12 -out p12TransformPemPri.pem -nodes
或者
openssl pkcs12 -in certificate.p12 -out p12TransformPemPri.crt -nodes

创建带私钥信息的.pfx格式的证书名(思路:跟创建.p12相同),命令:

openssl pkcs12 -export -out certificate.pfx -inkey server_pkcs8.key -in certificate.crt
openssl pkcs12 -in certificate.pfx  -out pfxTransformPem.pem  -nodes
或者
openssl pkcs12 -in certificate.pfx  -out pfxTransformPem.crt  -nodes

2.3 命令中部分参数介绍

  • -req:生成证书请求(CSR)。
  • -in:指定输入文件或数据。
  • -signkey:使用指定的私钥进行签名。
  • -out:指定输出文件。
  • -outform:指定输出格式。
  • -inform:指定输入格式。
  • pkcs12 -export:将证书和私钥打包成 PKCS #12 格式。
  • -nokeys:在输出中不包括私钥。
  • -CAcreateserial:在生成自签名证书时创建一个序列号文件。
  • -text:显示证书或 CSR 文件的文本信息。

三、重启nginx验证生效

  1. 进入nginx目录
cd /home/ems/3rdparty/nginx/
  1. 验证nginx.conf 修改是否正确
sbin/nginx -t
  1. 如果出现 以下内容,nginx.conf即是修改正确
nginx: the configuration file /home/ems/3rdparty/nginx/nginx.conf syntax is ok 
nginx: configuration file /home/ems/3rdparty/nginx/nginx.conf test is successful
  1. 重启nginx ,等候30s 访问新加的域名即可。
sbin/nginx -s reload

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/806798.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

[opencv]VideoWriter写出fourcc格式

fourcc支持的格式 fourcc全名Four-Character Codes,四字符代码,该编码由四个字符组成 cv2.VideoWriter_fourcc(O,O,O,O) cv2.VideoWriter_fourcc(*OOOO) 通常写法有上述两种形式,O代表一个字符,通常有 支持avi格式的有&#…

【leetcode面试经典150题】42. 有效的字母异位词(C++)

【leetcode面试经典150题】专栏系列将为准备暑期实习生以及秋招的同学们提高在面试时的经典面试算法题的思路和想法。本专栏将以一题多解和精简算法思路为主,题解使用C语言。(若有使用其他语言的同学也可了解题解思路,本质上语法内容一致&…

使数组连续的最少操作数(Lc2009)——排序+去重+二分查找、排序+去重+双指针

给你一个整数数组 nums 。每一次操作中,你可以将 nums 中 任意 一个元素替换成 任意 整数。 如果 nums 满足以下条件,那么它是 连续的 : nums 中所有元素都是 互不相同 的。nums 中 最大 元素与 最小 元素的差等于 nums.length - 1 。 比方…

力扣爆刷第116天之CodeTop100五连刷66-70

力扣爆刷第116天之CodeTop100五连刷66-70 文章目录 力扣爆刷第116天之CodeTop100五连刷66-70一、144. 二叉树的前序遍历二、543. 二叉树的直径三、98. 验证二叉搜索树四、470. 用 Rand7() 实现 Rand10()五、64. 最小路径和 一、144. 二叉树的前序遍历 题目链接:htt…

输入输出系统的组成以及i/o设备与主机的联系

输入输出系统的组成 1.i/o软件: i/o指令是机器指令的一类,包含操作码,命令码,设备码,操作码可作为i/o指令与其他指令的判别代码,命令码体现i/o设备的具体操作,设备码是多台i/o设备的选择码。 通…

Objective-C学习笔记(NString,匿名对象,self,继承,super,description)4.8

1.NSString:是一个类,存储OC字符串。 2.stringWithUTF8String:类方法,将C语言字符串转为OC字符串。 3.stringWithFormat:类方法,拼接字符串。 4.length:求字符串长度。 5.characterAtIndex(n)&#xff…

花样鼠标悬停特效

代码&#xff1a; <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><title>Document</title><style&…

【WEEK7】学习目标及总结【MySQL】【中文版】

学习目标&#xff1a; 两周 三周完成MySQL的学习——第三周 学习内容&#xff1a; 参考视频教程【狂神说Java】MySQL最新教程通俗易懂事务及索引&#xff1a;索引权限管理MySQL备份规范数据库设计JDBC 数据库驱动statement对象 学习时间及产出&#xff1a; 第七周MON~FRI 2…

SAM功能改进VRP-SAM论文解读VRP-SAM: SAM with Visual Reference Prompt

现已总结SAM多方面相关的论文解读&#xff0c;具体请参考该专栏的置顶目录篇 一、总结 1. 简介 发表时间&#xff1a;2024年3月30日 论文&#xff1a; 2402.17726.pdf (arxiv.org)https://arxiv.org/pdf/2402.17726.pdf代码&#xff1a; syp2ysy/VRP-SAM (github.com)htt…

如何在极狐GitLab 使用Docker 仓库功能

本文作者&#xff1a;徐晓伟 GitLab 是一个全球知名的一体化 DevOps 平台&#xff0c;很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab 是 GitLab 在中国的发行版&#xff0c;专门为中国程序员服务。可以一键式部署极狐GitLab。 本文主要讲述了如何在[极狐GitLab…

Docker - 镜像加速

博文目录 文章目录 镜像加速&#xff1f; No&#xff01; save:scp:load Yes&#xff01;Play with Docker (PWD)操作流程 镜像加速&#xff1f; No&#xff01; save:scp:load Yes&#xff01; 20240410: 现在国内不用梯子不配镜像加速可直接拉取官网镜像, 速度非常快, 所以此…

月亮和Pandas - Wes Mckinney的传奇故事

正如死亡和税收不可避免&#xff0c;Pandas对量化人而言&#xff0c;也具有同样的地位 – 每个人都不可避免地要与之打交道。而Wes Mckinney正是Pandas的创建者。Pandas是有史以来&#xff0c;最成功的Python库之一&#xff0c;以一已之力&#xff0c;开拓了Python的生存空间。…

Python结合spy++

导入必要的库 import win32con from win32 import win32gui from win32 import win32clipboard as w import pyautogui import sys1.获取窗口全部属性 def show_window_attr(hwnd):"""显示窗口的属性:param hwnd: 窗口句柄&#xff08;十进制&#xff09;:ret…

国内如何使用Suno-v3-AI音乐生成大模型?SparkAi创作系统搭建部署教程分享

一、文章前言 SparkAi创作系统是基于ChatGPT进行开发的Ai智能问答系统和Midjourney绘画系统&#xff0c;支持OpenAI-GPT全模型国内AI全模型。本期针对源码系统整体测试下来非常完美&#xff0c;那么如何搭建部署AI创作ChatGPT&#xff1f;小编这里写一个详细图文教程吧。已支持…

亚信安慧AntDB-T数据库重分布的实现原理

摘要&#xff1a; 亚信安慧AntDB-T是一款通用企业级、高可用、高性能的原生分布式关系型数据库&#xff0c;具有多种分片方式。在数据库的使用过程中&#xff0c;随着数据的变更和增长&#xff0c;需要重新修改表的分片方式。 AntDB-T数据库支持重分布命令&#xff0c;在内核…

使用docker制作Android镜像(实操可用)

一、安装包准备 1、准备jdk 下载地址&#xff1a;Java Downloads | Oracle 注意版本&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;&#xff01; 我下载的jdk17&#xff0c;不然后面构建镜像报错&#xff0c;就是版本不对 2、准备安装的工具包 ttps://dev…

迭代器模式【行为模式C++】

1.简介 迭代器模式是一种行为设计模式&#xff0c; 让你能在不暴露集合&#xff08;聚合对象&#xff09;底层表现形式 &#xff08;列表、 栈和树等&#xff09; 的情况下遍历集合&#xff08;聚合对象&#xff09;中所有的元素。 迭代器的意义就是将这个行为抽离封装起来&a…

C语言中的数据结构--链表的应用1(2)

前言 上一节我们学习了链表的概念以及链表的实现&#xff0c;那么本节我们就来了解一下链表具体有什么用&#xff0c;可以解决哪些实质性的问题&#xff0c;我们借用习题来加强对链表的理解&#xff0c;那么废话不多说&#xff0c;我们正式进入今天的学习 单链表相关经典算法O…

题目:画图,综合例子。

题目&#xff1a;画图&#xff0c;综合例子。 There is no nutrition in the blog content. After reading it, you will not only suffer from malnutrition, but also impotence. The blog content is all parallel goods. Those who are worried about being cheated should…

【CSS】利用Vue实现数字翻滚动画效果

利用Vue实现数字翻滚动画效果 在很多数据可视化的需求中&#xff0c;动态呈现数据变化是一个常见且具有较强视觉冲击力的手段&#xff0c;尤其是数字的实时变化。今天我们将探讨如何使用 Vue.js 和 CSS3 来实现数字的翻滚动画效果&#xff0c;即模拟真实物体在Z轴上翻动的效果…