CA根證書制作

# 創建CA私鑰 openssl genrsa -out ca.key 2048#制作CA根證書(公鑰) openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

注意:
CA證書中的Common Name不能與server和client證書中的Common Name相同

制作證書

# 創建私鑰
openssl genrsa -out server.pem 1024
openssl rsa -in server.pem -out server.key

# 生成簽發請求
openssl req -new -key server.pem -out server.csr

# 使用CA證書進行簽發
openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt

# 驗證簽發證書是否正確
openssl verify -CAfile ca.crt server.crt

# 制作p12證書(導入瀏覽器)
openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -out server.p12

客戶端證書創建方式與服務器證書創建方式相同

nginx配置

ssl on;
ssl_certificate ssl/server.crt;
ssl_certificate_key ssl/server.key;
ssl_client_certificate ssl/ca.crt;
ssl_verify_client on;

使用

curl --key client.key --cert client.crt -XGET "https://localhost:11443" -k -v

github實例地址

HTTPS證書生成原理和部署細節

nginx、Apache、Lighttpd啟用HSTS，減少302跳轉

轉載于:https://www.cnblogs.com/276815076/p/8304253.html

總結

以上是生活随笔為你收集整理的nginx配置ssl双向证书的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。