前言
首先介绍一下Keepalived,它是一个高性能的服务器高可用或热备解决方案,起初是专为LVS负载均衡软件设计的,Keepalived主要来防止服务器单点故障的发生问题,可以通过其与Nginx的配合实现web服务端的高可用。Keepalived以VRRP协议为实现基础,VRRP是Virtual Router Redundancy Protocol(虚拟路由冗余协议)的缩写,VRRP协议将两台
目前遇到一个项目有安全性要求,要求只有个别用户有权限访问。本着能用配置解决就绝不用代码解决的原则,在Nginx上做一下限制和修改即可。这种需求其实实现方式很多,经过综合评估考虑,觉得SSL双向认证方案对用户使用最简单,遂决定用此方案。
注: 本方案在Ubuntu Server 16.04 LTS实施,其他操作系统请酌情修改
SSL双向认证绝大多数SSL应用都以单向认证为主,即客户端只要信
转载
2024-06-05 13:54:25
73阅读
Nginx的双向认证一、前言参考链接OPENSSL加密DSA,RSA介绍客户端默认是相信权威CA机构的,操作系统内置了CA证书。说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。centos操作系统中被信任的证书一般在此文件中
cat /etc/pki/tls/certs/ca-bundle
转载
2024-05-25 12:55:57
259阅读
脚本一键完成, 最后会提示输入一个客户端密码#!/bin/bash
# function: 创建 nginx https ,双向认证证书
# create: 2014-11-27
#
# BEGIN
#
# 网站域名
# 在签发服务(客户)端证书的时候
# 这个域名必须跟 subj 中的 CN 对应
# 否则浏览器会报不安全的链接
domain="opt011.9yuonline.com"
#
#
1. 创建根证书#创建根证书私钥:
openssl genrsa -out root.key 1024
#创建根证书请求文件:
openssl req -new -out root.csr -key root.key
#创建根证书:
openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -da
转载
2024-03-24 20:21:41
178阅读
默认nginx是没有安装ssl模块的,需要编译安装nginx时加入--with-http_ssl_module选项。 提示:nignx到后端服务器由于一般是内网,所以不加密。1. 全站SSL全站做ssl是最常见的一个使用场景,默认端口443,而且一般是单向认证。server {
listen 443;
server_name example.com;
root /apps/www;
in
转载
2024-08-21 14:35:54
27阅读
nginx简介nginx是一款轻量级的web服务器和反向代理服务器,不同于传统的通过每进程或每线程处理并发连接请求的web服务器,nginx采用了模块化、事件驱动、异步、单线程及非阻塞的架构,并大量采用了多路复用及事件通知机制,通过单线程进程worker以高效的回环(run-loop)机制并行处理数千个并发连接请求。nginx的工作模式:一个主进程(master)和多个工作进程(worker),m
服务端配置 nginx关键配置例如以下: listen 443; server_name localhost; ssl on; ssl_certificate /usr/local/opt/nginx/certificates/server.cer; ssl_certificate_key /usr
转载
2016-03-05 16:12:00
161阅读
2评论
SSL 的双向认证就是,客户端要获取服务端的证书,检查下服务端是不是我可以信任的主机,否则我就认为那个站点的内容不可信任,不应该去访问你(浏览器会告诉你),同时服务端也要检查客户端的证书,客户端如果不是服务端所信任的,那服务端也会认为,你不是我的合法用户,我拒绝给你提供服务。所以,要让 HTTPS 的双向认证顺利完成,就要在服务端给定一个证书,这个证书是浏览器可信任的,同时客户端(浏览器)也要发送
转载
2024-04-01 22:20:33
96阅读
nginx配置双向认证
原创
2019-01-22 15:18:56
825阅读
最近的项目中需要安全性控制,而我又懒得改动后台的程序代码,故而想在反向代理层加入SSL证书验证。
一直在用Nginx做反向代理,但是其SSL的配置只用过普通的服务端单向证书。在Google,百度狂搜一通之后,一无所获,依旧是那老三样,只有单向认证的示例。浏览器端双向认证的配置好像从没人写过。
无奈之下,只好从OpenSSL的客户端证书开始学起,一点一点
Nginx的浏览器/服务器双向SSL证书认证配置
文章分类:操作系统
最近的项目中需要安全性控制,而我又懒得改动后台的程序代码,故而想在反向代理层加入SSL证书验证。
一直在用Nginx做反向代理,但是其SSL的配置只用过普通的服务端单向证书。在Google,百度狂搜一通之后,一无所获,依旧是那老三样,只有单向认证的示例。
转载
精选
2011-04-12 14:21:34
1624阅读
nginx配置双向认证
原创
2019-01-22 15:18:40
501阅读
一、什么是SSL/TLS?传输层安全性协议(Transport Layer Security,缩写作 TLS ),其前身安全套接层(Secure Sockets Layer,缩写作 SSL )是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。根据传输层安全协议的规范,客户端与服务端的连接安全应该具备连接是私密的或连接是可靠的一种以上的特性。SSL/TLS 协议通过 X.509 证书的数字
转载
2024-10-28 10:47:03
58阅读
生成证书及代码中有关密码的操作,请按照你们自己的需要修改成自己的使用keytool生成证书这个命令一般在JDK\jre\lib\security\目录下操作keytool常用命令参数释义-alias证书的别名-keystore证书库的名称-storepass证书库的密码-keypass证书的密码-list显示密钥库中的证书信息-v显示密钥库中的证书详细信息-export显示密钥库中的证书信息-fi
Nginx+keepalived双机热备标签(空格分隔):linux,nginx,keepalivedKeepalived介绍Keepalived 是一种高性能的服务器高可用或热备解决方案,Keepalived可以用来防止服务器单点故障(单点故障是指一旦某一点出现故障就会导致整个系统架构的不可用)的发生,通过配合Nginx可以实现web前端服务的高可用。Keepalived实现的基础是VRRP协议
为了支持高并发,需要引入缓存策略,而大型系统的缓存系统更为复杂。由于技术水平有限,现在将目前掌握的缓存架构中的部分知识做一总结。电商系统缓存系统主要分为三个层级 (下面是自己结合整体系统缓存策略的理解,画的图) 总结一点:第一层是Ngnix缓存,第二层是缓存服务(途中蓝色方框中的部分)中的redis(redis cluster+jedis cluster)缓存,第三层是本地堆缓存(ehc
转载
2024-02-20 13:07:28
165阅读
以下架构拓扑图 双向认证原理:1、客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。 2、服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书 3、客户端使用服务端返回的信息验证服务器的合法性,包括: 证书是否过期发型服务器证书的CA是否可靠返回的公钥是否能正确解开返回证书
转载
2024-05-09 09:24:08
87阅读
SSL Socket双向认证的实现
一、 SSL概述
SSL协议采用数字证书及数字签名进行双端实体认证,用非对称加密算法进行密钥协商,用对称加密算法将数据加密后进行传输以保证数据的保密性,并且通过计算数字摘要来验证数据在传输过程中是否被篡改和伪造,从而为敏感数据的传输提供了一种安全保障手段。
SSL协议提供的服务主要有:
1)认证用户和服务器,确保
转载
2024-01-26 23:18:14
36阅读
文章目录一、最终效果二、步骤2.1 单向认证2.1.1 创建SpringBoot项目2.1.2 利用keytool生成密钥库(keystore)2.1.3 对SpringBoot进行配置2.1.4 测试2.2 双向认证2.2.1 利用keytool生成用户端密钥库并安装2.2.2 导出用户端数字证书2.2.3 服务器端信任用户端数字证书2.2.4 配置Spring Boot2.2.5 测试三、思
转载
2023-12-07 21:29:28
287阅读
