使用 OpenSSL 为 Nginx 创建自签名证书 并开启客户端身份验证

服务器

浏览数:82

2019-10-3

AD:资源代下载服务

本文章默认读者了解Openssl,CA,网站证书相关知识,直接实战!配置完成后,浏览器会显示“安全的HTTPS”连接。不会像其他文章那样,是红色警告的证书提示。

准备环境

笔者使用的是Ubuntu16 ,其实什么系统都无所谓,请不要使用旧版Openssl就好,因为里面的漏洞实在太致命。

#先创建一个文件夹
mkdir openssl.Test
cd openssl.Test
mkdir -p ./demoCA/{private,newcerts} 
touch demoCA/index.txt 
touch demoCA/serial
echo 01 > demoCA/serial
#复制一份配置文件,可能会因系统不一致
cp /etc/ssl/openssl.cnf .

自建CA

1 设置私钥

openssl genrsa -des3 -out ./demoCA/private/cakey.pem 2048

2 申请自签名证书
根据提示一步步填写就好,但要记清楚填了什么,后面会用到

openssl req -new -x509 -days 365 -key ./demoCA/private/cakey.pem -out ./demoCA/cacert.pem

调整openssl.cnf

调整openssl.cnf 用来支持v3扩展,以实现多域名及扩展用途(EKU)

调整原因有二,一是让服务端证书支持多个二级域名,二是符合Chrome的证书检查,否则使用Chrome浏览时会提示不信任此证书

用自己喜欢的编辑器打开openssl.cnf
确保req下存在以下2行(默认第一行是有的,第2行被注释了)

[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req

新增最后一行内容 subjectAltName = @alt_names(前2行默认存在)

[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
#设置扩展用途 (EKU) 可选
#extendedKeyUsage = serverAuth,clientAuth
subjectAltName = @alt_names

新增 alt_names,注意括号前后的空格,DNS.x 的数量可以自己加,别忘了把申请证书时填写的域名(Common Name)加上

[ alt_names ]
DNS.1 = abc.example.com
DNS.2 = dfe.example.org
DNS.3 = ex.abcexpale.net

创建服务端证书

1 设置私钥

openssl genrsa -out userkey.pem 2048

2 创建证书申请
提示 Common Name 时 请填写域名,不要设置密码,否则Nginx部分会有麻烦,国家,省份,城市,公司,部门要和创建CA填写的资料一致,当然在配置文件里调整策略能绕过此检查。本文尽量使用默认的配置来完成~~~,所以请保持一致。

openssl req -new -days 365 -key userkey.pem -out userreq.pem

3 签发

openssl ca -in userreq.pem -out usercert.pem -extensions v3_req -config openssl.cnf

4 查看证书

openssl x509 -in usercert.pem -text -noout

创建客户端证书

与服务端类似

openssl genrsa -out clientkey.pem 2048
# Common name 随意写,设不设置密码随意
openssl req -new -days 365 -key clientkey.pem -out clientreq.pem
openssl ca -in clientreq.pem -out clientcert.pem -extensions v3_req -config openssl.cnf

转换下格式,方便windows下导入

openssl pkcs12 -export -inkey clientkey.pem -in clientcert.pem -out client.pfx

浏览器端导入证书即可,忽略这句话的朋友,通常会遇到400的问题,无法自拔!

Nginx

Nginx 需要使用usercert.pem、userkey.pem、demoCA/cacert.pem,请读者自行拷贝出来。
以下配置文件只是参考,实际情况请读者自行配置。
PS:把证书和配置文件放在一个文件夹是不规范的行为,笔者图方便,仅做测试用

配置文件

server {
    listen       443 ssl;
    server_name  test.com;

    #charset koi8-r;
    #access_log  /var/log/nginx/host.access.log  main;
    
    ssl_certificate /etc/nginx/conf.d/usercert.pem;
    ssl_certificate_key /etc/nginx/conf.d/userkey.pem;
    ssl_client_certificate /etc/nginx/conf.d/cacert.pem;
    ssl_verify_client on;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

    ......

}

Docker 启动

docker run --rm --name nginx01 -p 443:443 -v /home/xxx/www/conf:/etc/nginx/conf.d nginx

Windows打开证书配置管理器

1 当前用户

certmgr.msc

2 本地计算机(win7及以下没有)

certlm.msc

CA证书导入到”本地计算机”->”受信任的根证书颁发机构”中
客户端证书要从浏览器中导入哦!!!

常见问题

1 火狐浏览器 显示 不安全连接

考虑是系统根证书被导入了一个劫持证书,Firefox 49 版本开始添加了一个参数,如果遇到未知的 CA 证书,浏览器可以直接对正在使用的 Windows 系统证书存储机制进行检查对比。
在地址栏键入”about:config” 点击“我了解此风险”
在下方任意位置右键,选择新建布尔值
输入首选项名称为“security.enterprise_roots.enabled”并把值设置为 true
重启浏览器,HTTPS 网站即可正常访问
来源:百度贴吧

2 Chrome 显示 400 状态码

Ctrl + Shift + Del 清除缓存即可

3 IE8.0 如果要求使用 客户端证书 好像会一直出现 400 状态码 ~~~
4 IE11、Edge、Firefox、Chrome 测试通过
5 window导入时可以把*.pem结尾的证书改为*.crt方便识别
6 如果不想使用双向认证,请忽略【创建客户端证书】部分,并调整Nginx配置文件ssl_verify_client off;即可

参考

OpenSSL CA keyUsage extension
openSSL命令、PKI、CA、SSL证书原理
那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)
openssl用法详解
openssl自签名证书生成与单双向验证
还有一些地址想不起来了,如果引用了您的文章笔者却未声明,请联系笔者。

声明

本文采用知识共享署名-非商业性使用-相同方式共享 2.5 中国大陆许可协议进行许可,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接。

作者:ChasingDreams