关于Nginx 用户认证、SSL证书生成配置的一些笔记

news2024/11/17 20:38:20

写在前面


  • 分享一些 Nginx 用户认证、SSL 加密配置的笔记
  • 博文内容涉及
    • Nginx 用户认证、SSL 加密配置 Demo
    • 通过 OpenSSL 生成使用 SSL 证书、私钥和 CSR Demo
  • 理解不足小伙伴帮忙指正

这世界的一面至始至终是表象,正如另一面至始至终是意志 -----《作为意志和表象的世界》(第一篇 世界作为表象初论)


用户认证

安装 nginx ,配置 nginx 的用户认证

┌──[root@vms152.liruilongs.github.io]-[~]
└─$rpm -ql nginx || yum -y install  nginx

安装版本

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$nginx -v
nginx version: nginx/1.20.1

备份修改配置文件

┌──[root@vms.154.liruilongs.github.io]-[~]
└─$cp /etc/nginx/nginx.conf  /etc/nginx/nginx.conf.bak
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$vim /etc/nginx/nginx.conf

认证需要 在配置文件 server 模块下面添加对应的配置,auth_basic 为提示信息,auth_basic_user_file 为账密文件位置

server {
        ...........
        auth_basic "auth-liruilong";
        auth_basic_user_file /etc/nginx/pass;

安装压测工具,http-tools 可以创建访问网站的用户名和密码

┌──[root@vms.154.liruilongs.github.io]-[~]
└─$yum -y install  httpd-tools
......
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$htpasswd -c /etc/nginx/pass liruilong
New password:
Re-type new password:
Adding password for user liruilong

启动服务,确认服务启动

┌──[root@vms.154.liruilongs.github.io]-[~]
└─$systemctl start  nginx
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$systemctl is-active nginx
active

访问测试


SSL 虚拟主机配置

修改配置文件,需要把注释的部分放开,然后在配置文件的指定的位置创建 SSL 相关密钥,证书

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$cat /etc/nginx/nginx.conf
# For more information on configuration, see:
#   * Official English Documentation: http://nginx.org/en/docs/
#   * Official Russian Documentation: http://nginx.org/ru/docs/

user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;

# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;

events {
    worker_connections 1024;
}

http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    keepalive_timeout   65;
    types_hash_max_size 4096;

    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;

    # Load modular configuration files from the /etc/nginx/conf.d directory.
    # See http://nginx.org/en/docs/ngx_core_module.html#include
    # for more information.
    include /etc/nginx/conf.d/*.conf;


 # Settings for a TLS enabled server.

    server {
        listen       443 ssl http2;
        listen       [::]:443 ssl http2;
        server_name  _;
        root         /usr/share/nginx/html;

        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_ciphers HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;

        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;

        error_page 404 /404.html;
            location = /40x.html {
        }

        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
    }

}

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$

创建 ssl 认证相关

┌──[root@vms.154.liruilongs.github.io]-[/etc/nginx/conf.d]
└─$mkdir -p /etc/pki/nginx/
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$mkdir private
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$cd private

生成 RSA 和 ECDSA 密钥

生成生成 RSA 密钥,服务器私钥用于对报文进行解密

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx/private]
└─$openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
......+++
................+++
e is 65537 (0x10001)
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx/private]
└─$cd ..

其他可选项

生成 RSA 密钥:

openssl genrsa -out example.key [bits]

打印 RSA 密钥的文本表示:

openssl rsa -in example.key -text -noout

生成新的 RSA 密钥并使用基于 AES CBC 256 加密的密码短语进行加密:

openssl genrsa -aes256 -out example.key [bits]

检查您的私钥。如果密钥有密码短语,系统会提示您输入密码:

openssl rsa -check -in example.key

从密钥中删除密码:

openssl rsa -in example.key -out example.key

使用密码短语加密现有私钥:

openssl rsa -des3 -in example.key -out example_with_pass.key

生成 ECDSA 密钥。curve 将替换为:prime256v1、secp384r1、secp521r1 或任何其他支持的

openssl ecparam -genkey -name [curve] | openssl ec -out example.ec.key

创建证书签名请求(CRS)

从现有私钥创建 CSR

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$ls
private
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$openssl req -new -key ./private/server.key -out server.csr -subj "/CN=192.168.26.1"

可选项

在单个命令中创建没有密码短语的 CSR私钥

openssl req -nodes -newkey rsa:[bits] -keyout example.key -out example.csr

在命令行上提供 CSR 主题信息,而不是通过交互式提示。

openssl req -nodes -newkey rsa:[bits] -keyout example.key -out example.csr -subj "/C=UA/ST=Kharkov/L=Kharkov/O=Super Secure Company/OU=IT Department/CN=example.com"

从现有证书和私钥创建 CSR

openssl x509 -x509toreq -in cert.pem -out example.csr -signkey example.key

通过提供 openssl 配置文件为多域 SAN 证书生成 CSR

openssl req -new -key example.key -out example.csr -config req.conf

配置文件 req.conf:

[req]
prompt=no
default_md = sha256
distinguished_name = dn
req_extensions = req_ext
[dn]
CN=example.com
[req_ext]
subjectAltName= @alt_names
[alt_names]
DNS.1=example.com
DNS.2=www.example.com
DNS.3=ftp.example.com

创建 X.509 证书

生成证书,使用现有的 CSR私钥创建自签名证书:

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$openssl x509 -req -days 3650 -in server.csr -signkey ./private/server.key -out server.crt
Signature ok
subject=/CN=192.168.26.1
Getting Private key
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$ls
private  server.crt  server.csr
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$

可选项

这里也可以从头开始创建自签名证书和新私钥:

openssl req -nodes -newkey rsa:2048 -keyout example.key -out example.crt -x509 -days 365

使用您自己的“CA”证书及其私钥签署子证书。如果您是一家 CA 公司,这将显示一个关于如何颁发新证书的非常简单的示例。

openssl x509 -req -in child.csr -days 365 -CA ca.crt -CAkey ca.key -set_serial 01 -out child.crt

打印证书的文本表示

openssl  x509 -in server.crt -text -noout

将证书的指纹打印为 md5、sha1、sha256 摘要:

openssl x509 -in cert.pem -fingerprint -sha256 -noout

验证 CSR 或证书

验证 CSR 签名:

openssl req -in example.csr -verify

验证私钥是否与证书和 CSR 匹配:

openssl rsa -noout -modulus -in example.key | openssl sha256
openssl x509 -noout -modulus -in example.crt | openssl sha256
openssl req -noout -modulus -in example.csr | openssl sha256

验证证书,前提是您在计算机上将根证书和任何中间证书配置为受信任:

openssl verify example.crt

当您有中间证书链时,验证证书。根证书不是捆绑包的一部分,应该在您的机器上配置为受信任的。

openssl verify -untrusted intermediate-ca-chain.pem example.crt

验证证书,当您有中间证书链和根证书时,未配置为受信任的证书。

openssl verify -CAFile root.crt -untrusted intermediate-ca-chain.pem child.crt

验证远程服务器提供的证书是否涵盖给定的主机名。有助于检查您的多域证书是否正确涵盖了所有主机名。

openssl s_client -verify_hostname www.example.com -connect example.com:443

启动 nginx 服务测试

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$systemctl start nginx

访问测试,自签名的证书

博文参考


https://dynacont.net/documentation/linux/openssl/

https://medium.com/free-code-camp/openssl-command-cheatsheet-b441be1e8c4a

https://www.sslshopper.com/article-most-common-openssl-commands.html

https://www.digitalocean.com/community/tutorials/openssl-essentials-working-with-ssl-certificates-private-keys-and-csrs

https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/certificates/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/125535.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

涨价都涨疯了

大家好,我是校长。给大家推荐个好东西,可能大家能用得着。最近新冠肺炎闹得人心惶惶,噢,不对,改名了,叫:新冠感染了。只要专家建议个什么东西,什么东西绝对准脱销,而且是…

计算机软考高级好考吗?需要备考多久?

不简单,整体的通过率只有15%左右。 软考高级一共有五个科目。 信息系统项目管理师:零基础,有考证需求的或者从事管理的人员,项目经理可以考这个。 系统分析师:适合在项目开发过程中定制需求规格说明书,和编…

[内网渗透]—CS生成office宏钓鱼

简介 ​ 宏是一个批量处理程序命令,正确地运用它可以提高工作效率。微软的office软件允许用户自己编写,叫VBA的脚本来增加其灵活性,进一步扩充它的能力。如完打开word文件同时要打开某个文件的功能,必须要自己编写一段称之为宏的脚本。具体做法是在“工具”菜单“宏”-“…

图的简要介绍

1、图的基本概念 (1)定义 图是一种较为复杂的非线性结构。 图就是由顶点的有穷非空集合和顶点之间的边组成的集合。通常表示为G(V,E),其中,G表示一个图,V表示顶点的集合,E表示边的集合。 (2&…

Cookie和Session的区别

💟💟前言 ​ 友友们大家好,我是你们的小王同学😗😗 今天给大家打来的是 Cookie和Session的区别 希望能给大家带来有用的知识 觉得小王写的不错的话麻烦动动小手 点赞👍 收藏⭐ 评论📄 小王的主页…

北京智和信通:IT资产全生命周期运维监控管理方案

IT资产是企业开展正常业务运营和拓展不可或缺的资源,也是企业财产的重要载体。随着信息科技的快速发展,各企业对IT资产的依赖逐渐增强,IT资产的可靠性和有效性面临着愈来愈大的挑战。例如IT资产管理混乱,通过维护手工台账的方式进…

vue入门(一)搭建vue项目,基础显示,指令

之前接触过vue,但是一直不是十分清晰,学的云里雾里,最近打算再次系统的整理一下,重新入门。还是根据vue官方文档一步一步的来,但是是属于简化的那种,会把我的学习过程都记录下来。 1.vue项目的搭建&#xf…

linux、window跨平台的用vs编程

跨平台的用vs编程 准备 创建linux的console程序 工具 – 选项,找到跨平台 连接linux的服务 注意,需要在linux系统那边配置以下的命令 sudo apt install build-essential 验证编译器是否被成功安装 gcc --versionsudo apt install openssh-server …

基于stm32 的简单的智慧农业系统, 有上位机,有下位机

1. 实现的功能 1. 下位机(stm32) (keil 5 ) 1. 按键key1 中断控制 LED 3 的亮灭 2. 按键key2 中断控制 温湿度的获取, (数据通过串口发送给 上位机) 3. 智能检测温湿度是否超标, (超标 开启警…

el-dialog实现拖拽功能示例代码

element UI中dialog组件经常会用到,如果能让其任意拖拽放到不同的位置就更好了,实现方法如下: dialogDraggable.js代码: import Vue from vue // v-dialogDrag: 弹窗拖拽 Vue.directive(dialogDrag, { bind(el, binding, vno…

【再学Tensorflow2】TensorFlow2的层次结构

TensorFlow2的层次结构Tensorflow的层次结构Tensorflow的低阶API示例线性回归模型准备数据定义模型训练模型DNN二分类模型准备数据定义模型训练模型Tensorflow的中阶API示例线性回归模型DNN二分类模型Tensorflow的高阶API示例线性回归模型定义模型训练模型DNN二分类模型定义模型…

微信小程序开发实战10_1 小程序支付业务介绍

移动支付已成大多数消费者日常使用的支付方式之一。移动支付拥有操作简单方便、无需带现金或银行卡,不用找零,目前超过四分之三的用户都在使用移动支付。小程序应用作为一个广泛使用的移动应用,自然也不会放弃移动支付这个大的蛋糕。本章将介…

opencv文件介绍

build:存放.h.hpp.lib文件 bin .dll etc:存放训练好的分类器,用于人脸识别 include:所有的头文件 opencv2 • calib3d:相机校准、姿态估计和三维重建 • core:核心功能模块 • dnn:深度学习模块…

docker(6):Docker网络

目录docker网络介绍docker网络模式常用命令docker网络原理自定义网络实战:redis主从部署docker网络介绍 实际只要我们启动docker,那么主机上就会产生一个名字为docker0的虚拟网桥。它在内核层连通了其他的物理或虚拟网卡,这就将所有容器和本…

【Apifox】Apifox导入knife4j文档

文章目录手动导入自动导入手动导入 在浏览器中打开knife4j文档地址,并按F12打开控制台: 复制api-docs这个接口的请求地址。打开Apifox >> 项目设置 >> 导入数据(手动导入) >> URL导入 >> 把接口的请求地…

蔚来汽车李斌与黑客的数据战争!

‍‍数据智能产业创新服务媒体——聚焦数智 改变商业全面拥抱数字化的浪潮早已袭来,但数据的安全性也成为各行各业关注的焦点。近日,蔚来汽车用户数据遭泄露引发热议。针对此次事件,蔚来先后由其官方、创始人李斌及相关负责人卢龙三次致歉&a…

从数据分析,看公司员工流失率分析报告

一、概述: 1、员工离职和员工流失率的概念: 员工离职:员工被辞退及辞职、不续签的情况 员工流失率(离职率):公司离职的员工人数/(入职人数最初原有人数)*100% 例如:月…

Spring Cloud 介绍及负载均衡Ribbon、服务容错Hystrix 组件使用详解

Spring Cloud 概述 官网 简介 Spring Cloud是一个基于 Spring Boot实现的微服务架构开发框架。它为微服务架构中涉及的配置管理、服务治理、断路器、智能路由、微代理、控制总线、全局锁、决策竞选、分布式会话和集群状态管理等操作提供了一种简单的开发方式。 Spring Clou…

linux 生成火焰图

1. 火焰图简介 火焰图(flame graph)是性能分析的利器,通过它可以快速定位性能瓶颈点。 perf 命令(performance 的缩写)是 Linux 系统原生提供的性能分析工具,会返回 CPU 正在执行的函数名以及调用栈&#…

前瞻 2023年加密行业会更难吗?欧科云链研究院“七大趋势预测”

回望2022,加密行业遭遇了种种不可控因素而导致的艰难险阻,也在变革与发展中孕育着生机与活力。 这一年,我们亲眼目睹了Luna暴雷,三箭资本、FTX这些曾经被认为“大而不倒”的机构接连倒下,市场信心严重受挫;…