最近的项目中需要安全性控制,而我又懒得改动后台的程序代码,故而想在反向代理层加入SSL证书验证。
一直在用Nginx做反向代理,但是其SSL的配置只用过普通的服务端单向证书。在Google,百度狂搜一通之后,一无所获,依旧是那老三样,只有单向认证的示例。浏览器端双向认证的配置好像从没人写过。
无奈之下,只好从OpenSSL的客户端证书开始学起,一点一点
目前遇到一个项目有安全性要求,要求只有个别用户有权限访问。本着能用配置解决就绝不用代码解决的原则,在Nginx上做一下限制和修改即可。这种需求其实实现方式很多,经过综合评估考虑,觉得SSL双向认证方案对用户使用最简单,遂决定用此方案。
注: 本方案在Ubuntu Server 16.04 LTS实施,其他操作系统请酌情修改
SSL双向认证绝大多数SSL应用都以单向认证为主,即客户端只要信
转载
2024-06-05 13:54:25
73阅读
Nginx的双向认证一、前言参考链接OPENSSL加密DSA,RSA介绍客户端默认是相信权威CA机构的,操作系统内置了CA证书。说白了就是操作系统默认就有了CA证书的公钥,比如我们能访问https://www.baidu.com(百度)就是因为我们本身的操作系统中CA认证机构中有百度。centos操作系统中被信任的证书一般在此文件中
cat /etc/pki/tls/certs/ca-bundle
转载
2024-05-25 12:55:57
259阅读
1. 创建根证书#创建根证书私钥:
openssl genrsa -out root.key 1024
#创建根证书请求文件:
openssl req -new -out root.csr -key root.key
#创建根证书:
openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -da
转载
2024-03-24 20:21:41
178阅读
默认nginx是没有安装ssl模块的,需要编译安装nginx时加入--with-http_ssl_module选项。 提示:nignx到后端服务器由于一般是内网,所以不加密。1. 全站SSL全站做ssl是最常见的一个使用场景,默认端口443,而且一般是单向认证。server {
listen 443;
server_name example.com;
root /apps/www;
in
转载
2024-08-21 14:35:54
27阅读
1.生成双向证书(server服务端,ca客户端)1.1.openss生成所需证书::==================生成服务器私钥================== openssl genrsa -out server.key -passout pass:Abc123 2048 ::生成服务器证书请求文件: openssl req -new -key server.key -passin
原创
2021-04-30 18:21:44
3132阅读
nginx简介nginx是一款轻量级的web服务器和反向代理服务器,不同于传统的通过每进程或每线程处理并发连接请求的web服务器,nginx采用了模块化、事件驱动、异步、单线程及非阻塞的架构,并大量采用了多路复用及事件通知机制,通过单线程进程worker以高效的回环(run-loop)机制并行处理数千个并发连接请求。nginx的工作模式:一个主进程(master)和多个工作进程(worker),m
SSL 的双向认证就是,客户端要获取服务端的证书,检查下服务端是不是我可以信任的主机,否则我就认为那个站点的内容不可信任,不应该去访问你(浏览器会告诉你),同时服务端也要检查客户端的证书,客户端如果不是服务端所信任的,那服务端也会认为,你不是我的合法用户,我拒绝给你提供服务。所以,要让 HTTPS 的双向认证顺利完成,就要在服务端给定一个证书,这个证书是浏览器可信任的,同时客户端(浏览器)也要发送
转载
2024-04-01 22:20:33
96阅读
nginx配置双向认证
原创
2019-01-22 15:18:56
825阅读
Nginx的浏览器/服务器双向SSL证书认证配置
文章分类:操作系统
最近的项目中需要安全性控制,而我又懒得改动后台的程序代码,故而想在反向代理层加入SSL证书验证。
一直在用Nginx做反向代理,但是其SSL的配置只用过普通的服务端单向证书。在Google,百度狂搜一通之后,一无所获,依旧是那老三样,只有单向认证的示例。
转载
精选
2011-04-12 14:21:34
1624阅读
nginx配置双向认证
原创
2019-01-22 15:18:40
501阅读
前言
首先介绍一下Keepalived,它是一个高性能的服务器高可用或热备解决方案,起初是专为LVS负载均衡软件设计的,Keepalived主要来防止服务器单点故障的发生问题,可以通过其与Nginx的配合实现web服务端的高可用。Keepalived以VRRP协议为实现基础,VRRP是Virtual Router Redundancy Protocol(虚拟路由冗余协议)的缩写,VRRP协议将两台
一、什么是SSL/TLS?传输层安全性协议(Transport Layer Security,缩写作 TLS ),其前身安全套接层(Secure Sockets Layer,缩写作 SSL )是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。根据传输层安全协议的规范,客户端与服务端的连接安全应该具备连接是私密的或连接是可靠的一种以上的特性。SSL/TLS 协议通过 X.509 证书的数字
生成证书及代码中有关密码的操作,请按照你们自己的需要修改成自己的使用keytool生成证书这个命令一般在JDK\jre\lib\security\目录下操作keytool常用命令参数释义-alias证书的别名-keystore证书库的名称-storepass证书库的密码-keypass证书的密码-list显示密钥库中的证书信息-v显示密钥库中的证书详细信息-export显示密钥库中的证书信息-fi
Nginx+keepalived双机热备标签(空格分隔):linux,nginx,keepalivedKeepalived介绍Keepalived 是一种高性能的服务器高可用或热备解决方案,Keepalived可以用来防止服务器单点故障(单点故障是指一旦某一点出现故障就会导致整个系统架构的不可用)的发生,通过配合Nginx可以实现web前端服务的高可用。Keepalived实现的基础是VRRP协议
为了支持高并发,需要引入缓存策略,而大型系统的缓存系统更为复杂。由于技术水平有限,现在将目前掌握的缓存架构中的部分知识做一总结。电商系统缓存系统主要分为三个层级 (下面是自己结合整体系统缓存策略的理解,画的图) 总结一点:第一层是Ngnix缓存,第二层是缓存服务(途中蓝色方框中的部分)中的redis(redis cluster+jedis cluster)缓存,第三层是本地堆缓存(ehc
转载
2024-02-20 13:07:28
165阅读
以下架构拓扑图 双向认证原理:1、客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。 2、服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书 3、客户端使用服务端返回的信息验证服务器的合法性,包括: 证书是否过期发型服务器证书的CA是否可靠返回的公钥是否能正确解开返回证书
转载
2024-05-09 09:24:08
87阅读
文章目录Nginx日志切割shell脚本切割Nginx日志系统日志切割机制nginx监控配置Nginx状态配置Nginx和phpNginx+Tomcat架构 Nginx日志切割如果任由访问日志写下去,日志文件会变得越来越大,甚至是写满磁盘。 所以,我们需要想办法把日志做切割,比如每天生成一个新的日志,旧的日志按规定时间删除即可。实现日志切割可以通过写shell脚本或者系统的日志切割机制实现。sh
转载
2024-10-24 07:59:53
20阅读
目录HTTPS单向认证HTTPS 双向认证HTTPS基本思路总结HTTP(HyperText Transfer Protocol,超文本传输协议)被用于在Web浏览器和网站服务器之间传递信息,在TCP/IP中处于应用层。这里提一下TCP/IP的分层共分为四层:应用层、传输层、网络层、数据链路层; 分层的目的是:分层能够解耦,动态替换层内协议各个层包含的内容:应用层:向用户提供应用服务时的通讯活动(
SSL工作原理 SSL的四次握手的过程 以http+ssl为例! 用户使用个人PC,想上招行的网银,将输入比较重要的卡号,密码信息。此时,肯定要加密方式传输数据(对称加密大量信息),并且要确定对方确定是招行网站。 ClientHTTPS Server 1、首先客户端向服务器发送一个SSL的请求包,要求进行安全的会话,请证明你的身份,并且我们双方来
转载
精选
2013-07-02 16:15:08
3109阅读
