国密 SM2 SSL 证书 Nginx 安装指南 linux版

news2024/11/16 13:36:45

一、获取国密证书

1、在您完成申请西部GDCA服务器证书的流程后,下载证书将获取一个证书包,有以下

*.***.com_sign.crt:签名证书

*.***.com_sign.key:签名证书私钥

*.***.com_encrypt.crt:加密证书

*.***.com_encryptKeyData.txt:内容为已加密的加密证书私钥片段

image.png

2、加密证书解密

在线解密:私钥加解密

image.png

image.png

创建 *.**.com_encrypt.key 文件,将获取的解密后 解密证书私钥 内容填写进去。

二、部署国密nginx

国密OpenSSL与国密Nginx

gmssl_openssl_1.1_bxx.tar.gz

无缝nginx国密改造,支持nginx1.6+

编译部署(以nginx-1.18.0为例)


1) 下载 wget http://download.myhostadmin.net/gmssl/gmssl_openssl_1.1_b8.tar.gz到/root/下
2) 解压 tar xzfm gmssl_openssl_1.1_b8.tar.gz -C /usr/local
3) 下载wget http://download.myhostadmin.net/gmssl/nginx-1.18.0.zip 到/root/下
4) 解压 unzip nginx-1.18.0.zip

注:可能需要使用yum install pcre-devel需要安装pcre-devel

5) 进入目录 cd /root/nginx-1.18.0

6) 编译配置

./configure \
--without-http_gzip_module \
--with-http_ssl_module \
--with-http_stub_status_module \
--with-http_v2_module \
--with-file-aio \
--with-openssl="/usr/local/gmssl" \
--with-cc-opt="-I/usr/local/gmssl/include" \
--with-ld-opt="-lm"

7) 编译安装
make install
8) /usr/local/nginx即为生成的nginx目录

9)编译安装完成后,cd 进入/usr/local/nginx/sbin 目录,用 ./nginx -t 命令检测是否正常,如下:

image.png



配置示例(国密单向)

*.***.com_sign.crt:签名证书

*.***.com_sign.key:签名证书私钥

*.***.com_encrypt.crt:加密证书

*.***.com_encrypt.key : 加密证书私钥

server
{
  listen 0.0.0.0:443 ssl;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECC-SM4-GCM-SM3;
  ssl_verify_client off;

  ssl_certificate /usr/local/nginx/conf/*.***.com_sign.crt;
  ssl_certificate_key /usr/local/nginx/conf/*.***.com_sign.key;

  ssl_certificate /usr/local/nginx/conf/*.***.com_encrypt.crt;
  ssl_certificate_key /usr/local/nginx/conf/*.***.com_encrypt.key;

  location /
  {
    root html;
    index index.html index.htm;
  }
}


配置示例(国密/RSA单向自适应)

server
{
  listen 0.0.0.0:443 ssl;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECC-SM4-GCM-SM3;
  ssl_verify_client off;

  ssl_certificate /usr/local/nginx/conf/*.***.com.crt;
  ssl_certificate_key /usr/local/nginx/conf/*.***.com.key;

  ssl_certificate /usr/local/nginx/conf/*.***.com_sign.crt;
  ssl_certificate_key /usr/local/nginx/conf/*.***.com_sign.key;

  ssl_certificate /usr/local/nginx/conf/*.***.com_encrypt.crt;
  ssl_certificate_key /usr/local/nginx/conf/*.***.com_encrypt.key;  location /
  {
    root html;
    index index.html index.htm;
  }
}

测试配置是否正确/usr/local/nginx/sbin/nginx -t

image.png

启动/usr/local/nginx/sbin/nginx

image.png

三、访问测试

1、360企业浏览器 设置,打开浏览器点击右上角的

按钮-》“选项”-》“安全设置”,确保“国密通信协议”栏目已勾选

“启用国密SSL协议支持”的复选框,如下: 

image.png

访问效果示例:

image.png

原文链接:https://www.west.cn/faq/list.asp?unid=2513 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1131016.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

弗洛伊德(Floyd)算法求个顶点之间最短路径问题(详解+图解)

弗洛伊德算法,也称为迪科斯彻算法,是一种用于寻找图形中所有最短路径的算法。它的基本思想是通过一定的规则逐步更新每个节点的最短路径估计值,直到每个节点的最短路径估计值收敛为止。 具体来说,弗洛伊德算法通过求解所有点对之…

澳福外汇还不会超短线交易,可以了解一下混沌理论

很多投资者还不会使用超短线交易盈利,澳福外汇认为投资者还没有了解混沌理论的三大原则, 混沌理论有三个原则: 1、能量永远会遵循阻力最小的途径 2、始终存在着通常不可见的根本结构,这个结构决定阻力最小的途径。 3、 这种始终存…

护眼灯有效果吗?五款好用热门的护眼台灯推荐

可以肯定的是,护眼灯一般可以达到护眼的效果。看书和写字时,光线应适度,不宜过强或过暗,护眼灯光线较柔和,通常并不刺眼,眼球容易适应,可以防止光线过强或过暗导致的用眼疲劳。如果平时生活中需…

新生儿蒙古斑:原因、科普和注意事项

引言: 新生儿蒙古斑是一种常见的皮肤状况,通常在新生儿期间出现。尽管它通常是无害的,但许多父母对它感到担忧,不清楚它的原因和如何处理。本文将科普新生儿蒙古斑的原因,提供相关信息,以及为父母和监护人…

【图解 LeetCode 房屋染色 动态规划思想 + 代码实现】

LeetCode 房屋染色 动态规划 问题描述: 假如有一排房子,共 n 个,每个房子可以被粉刷成 k 种颜色中的一种,你需要粉刷所有的房子并且使其相邻的两个房子颜色不能相同。 当然,因为市场上不同颜色油漆的价格不同&#x…

视频特效制作软件 After Effects 2024 mac中文版新增功能

After Effects 2024 mac是一款专业的视频特效和动态图形设计软件,它可以帮助用户创建各种令人惊叹的视觉效果,例如粒子系统、合成特效、绿屏抠像等。AE2024软件支持动画制作,包括关键帧动画、形状动画、运动跟踪等工具,可以创建复…

IBM展示非冯·诺依曼架构AI芯片NorthPole

我们正处于人工智能的“寒武纪大爆发”时期。在过去的十年中,人工智能已经从理论和小型测试发展到企业规模的使用案例。但是,用于运行人工智能系统的硬件虽然越来越强大,但在设计时却没有考虑到当今的人工智能。随着人工智能系统规模的扩大&a…

使用C# RDLC环境搭建

搭建C# RDLC环境 在vs环境中,菜单扩展>管理扩展 用来打开报表文件的 用来新建报表文件的 搜索Microsoft Reporting Services Projects 选择第一个进行下载 安装完以上两个即可进行报表文件的创建和预览 reportview组件 推荐nuget安装:Install-…

RabbitMQ 笔记

一、win10安装erlang 1.1 安装erLang语言,配置环境变量 erLang官网地址 1.2 配置环境变量 (1)添加系统变量ERLANG_HOME (2)path路径,指向bin目录 1.3 配置完成后再cmd命令窗口erl -version可以查看…

ubuntu安装golang

看版本:https://go.dev/dl/ 下载: wget https://go.dev/dl/go1.21.3.linux-amd64.tar.gz卸载已有的go,可以apt remove go,也可以which go之后删除那个go文件,然后: rm -rf /usr/local/go && tar…

苹果手机怎么设置壁纸?解锁设置壁纸的2种方法!

手机壁纸便是我们常说的屏幕背景图,一张好看的手机壁纸能使我们的心情变得愉悦。这个壁纸可以是风景、美食、喜欢的偶像、自己养的宠物,或者是你的家人、朋友。 拥有特殊含义的照片会更让人想要设置成壁纸。苹果手机怎么设置壁纸?本文将给大…

18.1 Socket 原生套接字抓包

原生套接字抓包的实现原理依赖于Windows系统中提供的ioctlsocket函数,该函数可将指定的网卡设置为混杂模式,网卡混杂模式(Promiscuous Mode)是常用于计算机网络抓包的一种模式,也称为监听模式。在混杂模式下&#xff0…

从github下载文件时遇到报错(Unable to render code block)解决办法

1、报错情况 2、解决办法 https://ghproxy.com/ (GitHub 文件 , Releases , archive , gist , raw.githubusercontent.com 文件代理加速下载服务)

提高生产力,开启高效办公——ConceptDraw Office办公软件套件

在当今快节奏的工作环境中,一款强大的办公软件套件对于提高工作效率和生产力至关重要。ConceptDraw Office,作为一款专业的办公软件套件,凭借其强大的功能和易用性,成为了市场上备受瞩目的办公利器。本文将带您深入了解ConceptDra…

Qt扫盲-QPixmap理论总结

QPixmap 理论总结 一、概述二、读写 Image 文件三、Pixmap 像素图信息四、Pixmap 格式转换五、Pixmap 像素转换 一、概述 QPixmap 也是一个用得很多的描述图像的类,也是界面显示相关的时候用得很多的。 QPixmap类是一个可以用作绘画设备的屏幕外图像表示。Qt提供了…

文生图——DALL-E 3 —论文解读——第一版

概述 本文主要是DALLE 3官方第一版技术报告(论文)的解读,原文《Improving Image Generation with Better Captions》论文解读。该文要提升文生图的效果,将技术点放到了,提升指令跟随能力上,然后顺藤摸瓜分为…

Linux下挂载大于2T的硬盘

fdisk和gdisk命令的区别 fdisk和gdisk命令都可以给磁盘分区,但是在公司里,如果磁盘大于2T,不能用fdisk分区,只能用gdisk命令分区。 gdisk可以分128个主分区,用gdisk分区没有逻辑分区和扩展分区之说,只有主…

【FPGA零基础学习之旅#17】搭建串口收发与储存双口RAM系统

🎉欢迎来到FPGA专栏~搭建串口收发与储存双口RAM系统 ☆* o(≧▽≦)o *☆嗨~我是小夏与酒🍹 ✨博客主页:小夏与酒的博客 🎈该系列文章专栏:FPGA学习之旅 文章作者技术和水平有限,如果文中出现错误&#xff0…

超声波清洗机品牌哪些好用?好评不断的超声波清洗机推荐

超声波清洗机目前的使用范围逐渐变广,一开始超声波清洗机只出现在大型的工业领域中的零件清洗,逐渐衍生到现在,出现了小型的超声波清洗机,可以让大家可以在家也使用上超声波清洗机。眼镜是现在大部分都离不开视线辅助的一个工具&a…

越流行的大语言模型越不安全

源自:GoUpSec “人工智能技术与咨询” 发布 安全研究人员用OpenSSF记分卡对GitHub上50个最流行的生成式AI大语言模型项目的安全性进行了评估,结果发现越流行的大语言模型越危险。 近日,安全研究人员用OpenSSF记分卡对GitHub上50个最流…