关于Nginx 用户认证、SSL证书生成配置的一些笔记

时间：2022-12-27 13:36:40 来源：今日头条作者：山河已无恙i

写在前面

分享一些 Nginx 用户认证、SSL 加密配置的笔记
博文内容涉及 Nginx 用户认证、SSL 加密配置 Demo通过 OpenSSL 生成使用 SSL 证书、私钥和 CSR Demo
理解不足小伙伴帮忙指正

这世界的一面至始至终是表象，正如另一面至始至终是意志 -----《作为意志和表象的世界》(第一篇世界作为表象初论)

用户认证

安装 nginx ,配置 nginx 的用户认证

┌──[root@vms152.liruilongs.Github.io]-[~]
└─$rpm -ql nginx || yum -y install  nginx

安装版本

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$nginx -v
nginx version: nginx/1.20.1

备份修改配置文件

┌──[root@vms.154.liruilongs.github.io]-[~]
└─$cp /etc/nginx/nginx.conf  /etc/nginx/nginx.conf.bak
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$vim /etc/nginx/nginx.conf

认证需要在配置文件 server 模块下面添加对应的配置，auth_basic 为提示信息，auth_basic_user_file 为账密文件位置

server {
        ...........
        auth_basic "auth-liruilong";
        auth_basic_user_file /etc/nginx/pass;

安装压测工具，http-tools 可以创建访问网站的用户名和密码

┌──[root@vms.154.liruilongs.github.io]-[~]
└─$yum -y install  httpd-tools
......
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$htpasswd -c /etc/nginx/pass liruilong
New password:
Re-type new password:
Adding password for user liruilong

启动服务，确认服务启动

┌──[root@vms.154.liruilongs.github.io]-[~]
└─$systemctl start  nginx
┌──[root@vms.154.liruilongs.github.io]-[~]
└─$systemctl is-active nginx
active

访问测试

SSL 虚拟主机配置

修改配置文件，需要把注释的部分放开,然后在配置文件的指定的位置创建 SSL 相关密钥，证书

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$cat /etc/nginx/nginx.conf
# For more information on configuration, see:
#   * Official English Documentation: http://nginx.org/en/docs/
#   * Official Russian Documentation: http://nginx.org/ru/docs/

user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;

# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;

events {
    worker_connections 1024;
}

http {
    log_format  mAIn  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    keepalive_timeout   65;
    types_hash_max_size 4096;

    include             /etc/nginx/mime.types;
    default_type        Application/octet-stream;

    # Load modular configuration files from the /etc/nginx/conf.d directory.
    # See http://nginx.org/en/docs/ngx_core_module.html#include
    # for more information.
    include /etc/nginx/conf.d/*.conf;


 # Settings for a TLS enabled server.

    server {
        listen       443 ssl http2;
        listen       [::]:443 ssl http2;
        server_name  _;
        root         /usr/share/nginx/html;

        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_ciphers HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;

        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;

        error_page 404 /404.html;
            location = /40x.html {
        }

        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
    }

}

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$

创建 ssl 认证相关

┌──[root@vms.154.liruilongs.github.io]-[/etc/nginx/conf.d]
└─$mkdir -p /etc/pki/nginx/
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$mkdir private
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$cd private

生成 RSA 和 ECDSA 密钥

生成生成 RSA 密钥，服务器私钥用于对报文进行解密

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx/private]
└─$openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
......+++
................+++
e is 65537 (0x10001)
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx/private]
└─$cd ..

其他可选项

生成 RSA 密钥：

openssl genrsa -out example.key [bits]

打印 RSA 密钥的文本表示：

openssl rsa -in example.key -text -noout

生成新的 RSA 密钥并使用基于 AES CBC 256 加密的密码短语进行加密：

openssl genrsa -aes256 -out example.key [bits]

检查您的私钥。如果密钥有密码短语，系统会提示您输入密码：

openssl rsa -check -in example.key

从密钥中删除密码：

openssl rsa -in example.key -out example.key

使用密码短语加密现有私钥：

openssl rsa -des3 -in example.key -out example_with_pass.key

生成 ECDSA 密钥。curve 将替换为：prime256v1、secp384r1、secp521r1 或任何其他支持的

openssl ecparam -genkey -name [curve] | openssl ec -out example.ec.key

创建证书签名请求(CRS)

从现有私钥创建 CSR

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$ls
private
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$openssl req -new -key ./private/server.key -out server.csr -subj "/CN=192.168.26.1"

可选项

在单个命令中创建没有密码短语的 CSR 和私钥：

openssl req -nodes -newkey rsa:[bits] -keyout example.key -out example.csr

在命令行上提供 CSR 主题信息，而不是通过交互式提示。

openssl req -nodes -newkey rsa:[bits] -keyout example.key -out example.csr -subj "/C=UA/ST=Kharkov/L=Kharkov/O=Super Secure Company/OU=IT Department/CN=example.com"

从现有证书和私钥创建 CSR：

openssl x509 -x509toreq -in cert.pem -out example.csr -signkey example.key

通过提供 openssl 配置文件为多域 SAN 证书生成 CSR：

openssl req -new -key example.key -out example.csr -config req.conf

配置文件 req.conf：

[req]
prompt=no
default_md = sha256
distinguished_name = dn
req_extensions = req_ext
[dn]
CN=example.com
[req_ext]
subjectAltName= @alt_names
[alt_names]
DNS.1=example.com
DNS.2=www.example.com
DNS.3=ftp.example.com

创建 X.509 证书

生成证书，使用现有的 CSR 和私钥创建自签名证书：

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$openssl x509 -req -days 3650 -in server.csr -signkey ./private/server.key -out server.crt
Signature ok
subject=/CN=192.168.26.1
Getting Private key
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$ls
private  server.crt  server.csr
┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$

可选项

这里也可以从头开始创建自签名证书和新私钥：

openssl req -nodes -newkey rsa:2048 -keyout example.key -out example.crt -x509 -days 365

使用您自己的“CA”证书及其私钥签署子证书。如果您是一家 CA 公司，这将显示一个关于如何颁发新证书的非常简单的示例。

openssl x509 -req -in child.csr -days 365 -CA ca.crt -CAkey ca.key -set_serial 01 -out child.crt

打印证书的文本表示

openssl  x509 -in server.crt -text -noout

将证书的指纹打印为 md5、sha1、sha256 摘要：

openssl x509 -in cert.pem -fingerprint -sha256 -noout

验证 CSR 或证书

验证 CSR 签名：

openssl req -in example.csr -verify

验证私钥是否与证书和 CSR 匹配：

openssl rsa -noout -modulus -in example.key | openssl sha256
openssl x509 -noout -modulus -in example.crt | openssl sha256
openssl req -noout -modulus -in example.csr | openssl sha256

验证证书，前提是您在计算机上将根证书和任何中间证书配置为受信任：

openssl verify example.crt

当您有中间证书链时，验证证书。根证书不是捆绑包的一部分，应该在您的机器上配置为受信任的。

openssl verify -untRusted intermediate-ca-chain.pem example.crt

验证证书，当您有中间证书链和根证书时，未配置为受信任的证书。

openssl verify -CAFile root.crt -untrusted intermediate-ca-chain.pem child.crt

验证远程服务器提供的证书是否涵盖给定的主机名。有助于检查您的多域证书是否正确涵盖了所有主机名。

openssl s_client -verify_hostname www.example.com -connect example.com:443

启动 nginx 服务测试

┌──[root@vms.154.liruilongs.github.io]-[/etc/pki/nginx]
└─$systemctl start nginx

访问测试，自签名的证书

博文参考

https://dynacont.NET/documentation/linux/openssl/

https://medium.com/free-code-camp/openssl-command-cheatsheet-b441be1e8c4a

https://www.sslshopper.com/article-most-common-openssl-commands.html

https://www.digitalocean.com/community/tutorials/openssl-essentials-working-with-ssl-certificates-private-keys-and-csrs

https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/certificates/

Tags：Nginx 点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作，风险自担。如有任何标注错误或版权侵犯请与我们联系，我们将及时更正、删除。

▌相关推荐

为什么Nginx被称为“反向”代理呢？

Nginx（发音为"engine-x"）是一款高性能、轻量级的开源Web服务器软件，也可用作反向代理服务器、负载均衡器和HTTP缓存。Nginx之所以有被称为“反向”代理，是因为它充当客户端设备...【详细内容】

2024-02-01　　Search: Nginx 点击:(60)　　评论:(0)　　加入收藏

如何在Java环境中安装Nginx？

1. 下载Nginx：首先，前往Nginx官方网站（https://nginx.org/en/download.html）下载新版本的Nginx。选择适合您操作系统的版本，通常有Windows、Linux和Mac等不同操作系统的版本可供...【详细内容】

2024-01-22　　Search: Nginx 点击:(61)　　评论:(0)　　加入收藏

一文教你学会使用Nginx

前段时间，了不起给大家说过如果使用 Docker 发布自己的后端项目，也就不再使用 Jar 包进行项目的发版操作，但是这其中就又涉及到了前端如何发版，为什么这么说，因为资深前端开发，可...【详细内容】

2023-12-27　　Search: Nginx 点击:(88)　　评论:(0)　　加入收藏

Nginx 反向代理为什么叫做“反向”？

今天我们来聊聊正向代理和反向代理。01 正向代理（Forward Proxy）正向代理是位于用户设备和互联网之间的服务器。它代理的是客户端，是站在用户一方的。其真实客户端对于服务器不...【详细内容】

2023-12-06　　Search: Nginx 点击:(90)　　评论:(0)　　加入收藏

Nginx的负载均衡实现，你学会了吗？

环境主机 ip 用途软件 web1 192.168.50.60 nginx-1 httpd web2 192.168.50.61 nginx-2 httpd proxy 192.168.50.62 负载...【详细内容】

2023-12-06　　Search: Nginx 点击:(145)　　评论:(0)　　加入收藏

Nginx如何开启GZIP文件压缩，你学会了吗？

简介GZip 是一种改进web应用程序性能的技术，文件压缩后再传输可以减少传输数据，提升传输速度。在Nginx服务器上开启Gzip压缩可以有效减少网络传输流量，提升网站的访问速度和性...【详细内容】

2023-11-30　　Search: Nginx 点击:(122)　　评论:(0)　　加入收藏

Nginx配置文件中的关键字是什么？

Nginx 是一款高性能的 Web 服务器软件，同时也是一款反向代理服务器软件。Nginx 的配置文件通常是 /etc/nginx/nginx.conf，以下是一个典型的配置文件，并对其中的关键字进行详细...【详细内容】

2023-11-22　　Search: Nginx 点击:(148)　　评论:(0)　　加入收藏

Nginx 大揭秘：读写分离助力您轻松征服高并发

引言在构建高性能、高可用的 Web 应用时，如何有效地处理数据库的读写负担已成为一个十分重要的考虑因素。Nginx 作为一款强大的反向代理服务器，提供了简单而灵活的负载均衡配...【详细内容】

2023-11-14　　Search: Nginx 点击:(53)　　评论:(0)　　加入收藏

Kubernetes 部署应用(Nginx)的两种方式，你更喜欢哪一种？

k8s发布应用的两种方式： kubernetes-dashboard kubectl命令行一、Dashboard方式配置部署：包含应用名称、容器镒、pod数量、Service非常的方便，不想设置配置yaml的可以很方便的...【详细内容】

2023-11-06　　Search: Nginx 点击:(370)　　评论:(0)　　加入收藏

掌握Nginx的高级用法，构建高性能Web应用

Nginx是一款高性能的Web服务器和反向代理服务器，它广泛用于构建高性能、可靠和安全的Web应用程序。除了基本的用法外，Nginx还提供了一些高级功能和配置选项，可以进一步优化性能...【详细内容】

2023-10-26　　Search: Nginx 点击:(220)　　评论:(0)　　加入收藏

▌简易百科推荐

为什么Nginx被称为“反向”代理呢？

2024-02-01　　coderidea　　微信公众号　　Tags:Nginx 　点击:(60)　　评论:(0)　　加入收藏

哪种服务器操作系统更好呢？

在当今的IT世界中，服务器操作系统扮演着至关重要的角色。它们是确保服务器能够高效、安全地运行的关键因素。然而，对于许多人来说，服务器操作系统的种类和特点可能是一个复杂的...【详细内容】

2024-01-30　　　　简易百科　　Tags:操作系统　点击:(76)　　评论:(0)　　加入收藏

什么是VPS服务器

VPS服务器是一种虚拟化技术，它将一台物理服务器划分为多个虚拟的独立服务器，每个虚拟服务器都可以拥有自己的操作系统、运行环境、应用程序等。这种技术使得每个虚拟服务器可...【详细内容】

2024-01-30　　　　简易百科　　Tags:VPS服务器　点击:(70)　　评论:(0)　　加入收藏

VPS服务器下载速度慢?这五招帮你提速

VPS服务器下载速度慢可能会让用户感到沮丧，尤其是对于需要大量下载和上传数据的用户。幸运的是，有一些方法可以帮助您提高VPS服务器的下载速度，使您的在线体验更加顺畅。在本文...【详细内容】

2024-01-30　　IDC行业观察者　　　　Tags:VPS服务器　点击:(57)　　评论:(0)　　加入收藏

美国VPS和英国VPS：地理位置对服务器性能的影响

在今天的数字时代，VPS已成为在线业务和网站托管的关键组成部分。然而，选择合适的VPS主机服务时，地理位置通常被忽视，尽管它对服务器性能有着重要的影响。本文将探讨美国VPS和英...【详细内容】

2024-01-26　　IDC行业观察者　　　　Tags:服务器　点击:(55)　　评论:(0)　　加入收藏

如何判断服务器所需带宽：基于业务需求和流量模式的关键考量

在选择服务器时，带宽是一个重要的考虑因素。带宽的大小直接影响到网站的加载速度和用户的访问体验。那么，如何判断服务器需要多大的带宽呢?本文将为你揭示这一关键问题的答案...【详细内容】

2024-01-26　　源库科技　　　　Tags:服务器　点击:(75)　　评论:(0)　　加入收藏

服务器内存空间及IO操作原理解析

服务器的内存空间分为内核空间和用户空间，而我们编写的程序通常在用户空间中运行。在进行读写操作时，我们直接操作的是用户缓冲区，而用户缓冲区的内容来自于内核缓冲区。这种内...【详细内容】

2024-01-23　　王建立　　　　Tags:服务器　点击:(44)　　评论:(0)　　加入收藏

如何在Java环境中安装Nginx？

2024-01-22　　敲代码的小动　　　　Tags:Nginx 　点击:(61)　　评论:(0)　　加入收藏

服务器证书和SSL证书有啥区别？

在互联网经济时代，随着越来越多的信息以及合作都是从企业官网开始的，因此绝大多数企业都会为自己的网站配置SSL证书，以提高安全性。在接触SSL证书时，也有很多人称之为服务器证书...【详细内容】

2024-01-10　　安信SSL证书　　　　Tags:服务器证书　点击:(65)　　评论:(0)　　加入收藏

宝塔面板怎样部署java项目？

宝塔面板怎样部署java项目？在使用宝塔面板部署Java项目之前，需要确保已经安装了Java Development Kit (JDK)。接下来，将介绍如何使用宝塔面板来部署Java项目的步骤。步骤一：安装...【详细内容】

2024-01-09　　西部数码　　　　Tags:宝塔面板　点击:(113)　　评论:(0)　　加入收藏

推荐资讯

新增融券再启动暂停键	16个Redis常见使用场
一篇文章教会你使用Py	聊聊Rust里面的数据类
C++中的外部模板及其	一篇文章带你了解Pyth
网络安全行业的春天何	Linux获取Redis 性能