https如何通过nginx完成双向认证转发

更新时间：2024年11月19日 09:18:05 作者：darkeering

文章详细介绍了HTTPS单向认证和双向认证的概念,并提供了生成自签证书、配置Nginx进行双向认证的具体步骤,通过双向认证,服务端和客户端可以互相验证身份,提升安全性,在测试过程中,使用浏览器访问HTTPS接口时,需要安装客户端证书才能成功获取数据

https 单向认证和双向认证

具体可以看看这篇文章 https双向认证，写的很详细和形象

单向认证

双向认证

生成自签证书、服务端证书和客户端证书

具体可以看这篇文章 Nginx配置ssl双向认证

1.CA 与自签名

# 生成CA私钥，会让你输自定义密码（例：000000）
openssl genrsa -aes256 -out ca.key 2048

# 制作CA公钥/根证书
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
# 输入CA密码：000000
# Common Name 随意填写（test.com）；其它随意

2.服务端证书（server.client server.key）

# 生成服务器私钥（.pem文件），会让你输自定义密码（例：111111）
openssl genrsa -aes256 -out server.pem 1024
# .pem文件转换.key文件
openssl rsa -in server.pem -out server.key
# 输入Server密码：111111

# 生成签发请求
openssl req -new -key server.pem -out server.csr
# 输入Server密码：111111
# Common Name填写自己的ip地址即可，其他随意

# 用CA签发证书
openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt
# 输入CA密码：000000

3.客户端证书（client.client client.key）

# 生成客户端私钥（.pem文件），会让你输自定义密码（例：222222）
openssl genrsa -aes256 -out client.pem 1024
# .pem文件转换.key文件
openssl rsa -in client.pem -out client.key
# 222222

# 生成签发请求
openssl req -new -key client.pem -out client.csr
# 输入Client密码：222222
# Common Name填写自己的ip地址即可，其他随意

# 用CA签发证书
openssl x509 -req -sha256 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out client.crt
# 输入CA密码：000000

# 使用浏览器访问时，需要生成p12格式的客户端证书，会让你输入自定义密码（例：123456）
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

服务端使用 https 进行通信，并使用双向认证

const express = require("express");
const https = require("https");
const fs = require("fs");
const app = express();
const PORT = 7000;
const options = {
  key: fs.readFileSync("./ssl/server.key"),
  cert: fs.readFileSync("./ssl/server.crt"),
  ca: [fs.readFileSync("./ssl/ca.crt")],
  requestCert: true,
  rejectUnauthorized: true,
};

https
  .createServer(options, app)
  .listen(PORT, () => console.log(`App listening on port ${PORT}!`));

app.get("/v1", (req, res) => res.send("Hello World!"));

配置 nginx，进行转发

server {
    listen       8080;
    server_name  localhost;

    location /api {
        proxy_ssl_certificate ssl/client.crt;
        proxy_ssl_certificate_key ssl/client.key;
        # client-pw.txt 里面是Client密码：222222
        proxy_ssl_password_file ssl/client-pw.txt;
        proxy_pass https://localhost:7000/v1;

    }
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   html;
    }
}

测试

直接使用浏览器访问 https://loalhost:7000/v1 是获取不到数据的
使用 http://loalhost:8080/api 是可以获取到数据的
或者浏览器安装 client.p12 证书（安装时输入的密码是 p12 密码：123456）也是可以通过 https://loalhost:7000/v1 获取数据

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

Nginx中使用gzip_http_version解决CDN只支持http 1.0问题
这篇文章主要介绍了Nginx中使用gzip_http_version解决CDN只支持http 1.0问题,问题原因是在Header信息中看到Transfer-Encoding: chunked,使用本文方法就可以解决这个问题,需要的朋友可以参考下
2014-09-09
Nginx反向代理入门实战指南
反向代理：反向代理也叫reverse proxy,指的是代理外网用户的请求到内部的指定web服务器,并将数据返回给用户的一种方式,这是用的比较多的一种方式,下面这篇文章主要给大家介绍了关于Nginx反向代理的相关资料,需要的朋友可以参考下
2021-08-08
Nginx 反向代理缓存(proxy_cache)的实现
Nginx的缓存加速功能是由proxy_cache和fastcgi_cache两个功能模块完成,本文主要介绍了Nginx 反向代理缓存(proxy_cache)的实现,具有一定的参考价值,感兴趣的可以了解一下
2024-05-05
nginx平滑重启和平滑升级的图文教程
如果改变了Nginx的配置文件（nginx.conf）,想重启Nginx,可以发送系统信号给Nginx主进程的方式来进行,下面这篇文章主要给大家介绍了关于nginx平滑重启和平滑升级的相关资料,需要的朋友可以参考下
2022-01-01
配置Nginx出现403(Forbidden)静态文件加载不出来的解决方法
本文主要介绍了配置Nginx出现403(Forbidden)静态文件加载不出来的解决方法,文中通过图文介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
2023-12-12
CentOS6使用nginx搭建web网站服务的方法
这篇文章主要介绍了CentOS6使用nginx搭建web网站服务的方法，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2018-07-07
nginx高可用集群的实现过程
这篇文章主要介绍了nginx高可用集群的实现过程,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2019-10-10
详解Nginx + Tomcat 反向代理如何在高效的在一台服务器部署多个站点
本篇文章主要介绍了详解Nginx + Tomcat 反向代理如何在高效的在一台服务器部署多个站点,具有一定的参考价值，有兴趣的可以了解一下。
2016-12-12
基于Nginx搭建WebDAV服务的详细过程
在搭建 Joplin 笔记服务的时候，发现了可以通过 WebDAV 服务来实现云笔记的功能，所以本篇就来介绍一下，怎么快速搭建 WebDAV 服务，需要的朋友可以参考下
2022-12-12
使用google-perftools优化nginx在高并发时的性能的教程(完整版)
如果使用googler开发的google-perftools优化Nginx和MySQL的内存管理，性能将会有一定程度的提升。特别是对高并发下的服务器，效果更明显
2013-02-02