原部落格連結
本文非原創,系浏覽各部落格後結合自身使用的一個總結,友善回顧。
前情提要
通俗了解SSL/TLS協定差別與原理
數字簽名是什麼
什麼是x509證書鍊
- x509證書一般會用到三類檔案,key,csr,crt。
- key是私用密鑰,openssl格式,通常是rsa算法。
- csr是證書請求檔案,用于申請證書。在制作csr檔案的時候,必須使用自己的私鑰來簽署申請,還可以設定一個密鑰。
- crt是CA認證後的證書檔案(windows下面的csr,其實是crt),簽署人用自己的key給你簽署的憑證。
概念
- 根證書 生成伺服器證書,用戶端證書的基礎。自簽名。
- 伺服器證書 由根證書簽發。配置在伺服器上。
- 用戶端證書 由根證書簽發。配置在伺服器上,并發送給客戶,讓客戶安裝在浏覽器裡。
(把根證書安裝到浏覽器的受信CA中,通路伺服器時就不會出警告了。)
首先要有一個CA根證書,然後用CA根證書來簽發使用者證書。使用者進行證書申請:一般先生成一個私鑰,然後用私鑰生成證書請求(證書請求裡應含有公鑰資訊),再利用證書伺服器的CA根證書來簽發證書。
步驟
自簽名CA根證書
1、/root/ca目錄下建立4個子目錄:
- newcerts:存放CA簽署過的數字證書。
- private:存放CA的私鑰。
- conf:存放一些簡化參數用的配置檔案。
- server:存放伺服器證書檔案。
2、制作ca.key 私鑰
openssl genrsa -out /root/ca/private/ca.key 2048
3、生成pem格式的根證書
openssl req -x509 -new -nodes \
-key /root/ca/private/ca.key \
-sha256 -days 1024 \
-out /root/ca/private/ca.pem
接下來提示将如下顯示:
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GuangDong
Locality Name (eg, city) [Default City]:ShenZhen
Organization Name (eg, company) [Default Company Ltd]:Fatri
Organizational Unit Name (eg, section) []:Test
Common Name (eg, your name or your server’s hostname) []: *.fatri.cn
Email Address []:[email protected]
4、.pem轉化為.crt(用于浏覽器信任)
openssl x509 -outform der -in /root/ca/private/ca.pem -out /root/ca/private/ca.crt
簽發伺服器證書(用戶端證書同理)
1、建立檔案ca.conf
[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn
[dn]
C = CN
ST = GuangDong
L = ShenZhen
O = Fatri
OU = Test
emailAddress = [email protected]
CN = *.fatri.cn
2、建立檔案v3.ext
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = *.fatri.cn
DNS.2 = localhost
IP.1 = 172.28.2.105
IP.2 = 172.28.2.107
3、生成服務端證書簽名請求,同時生成服務端私鑰(nginx用)
openssl req -new -sha256 -nodes \
-out /root/ca/server/server.csr \
-newkey rsa:2048 -keyout /root/ca/server/server.key \
-config /root/ca/conf/ca.cnf
4、用ca私鑰以ca的名義(ca.pem)給網站證書簽名,加上v3.ext中的配置
openssl x509 -req -in /root/ca/server/server.csr \
-CA /root/ca/private/ca.pem \
-CAkey /root/ca/private/ca.key \
-CAcreateserial -out /root/ca/server/server.crt -days 1800 -sha256 -extfile /root/ca/conf/v3.ext
至此證書生成完畢!
接下來是使用流程。
服務端Nginx配置SSL
1、啟動Nginx容器
docker run -d --name nginx-test --restart always\
-p 81:8080 -p 444:443 \
-v /usr/local/nginx/nginx.conf:/etc/nginx/nginx.conf:ro \
-v /root/ca:/root/ca \
nginx:1.17.3
解釋:
-d:背景運作 --name:容器名 --restart:重新開機設定
-p:端口映射(主控端端口:容器内端口)
-v:資料挂載(容器内目錄挂載到主控端, ro将容器内配置檔案設為隻讀模式, 隻能在主控端修改nginx配置)
2、打開防火牆端口81、444
firewall-cmd --add-port 81/tcp --permanent --zone=public
firewall-cmd --add-port 444/tcp --permanent --zone=public
firewal-cmd --reload
3、配置nginx.conf, 為了開發友善同時開啟了http和https的通路,如果區域網路統一配置了域名,不需要更改主機host就可以關閉8080端口或者将其重定向至443。
worker_processes auto;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;
# 請求主機頭字段,否則為伺服器名稱
proxy_set_header Host $host;
# 用戶端ip位址
proxy_set_header X-Real-IP $remote_addr;
# 包含請求參數的原始URI,不包含主機名
proxy_set_header Request-Url $request_uri;
# 配置共享會話緩存大小,視站點通路情況設定
ssl_session_cache shared:SSL:10m;
# 配置會話逾時時間
ssl_session_timeout 10m;
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
upstream shadow {
server 172.20.0.104:8080 weight=1;
}
upstream web {
server 172.20.0.109:8080 weight=1;
}
server {
listen 8080;
listen 443 ssl;
server_name *.fatri.cn;
ssl_certificate /root/ca/server/server.crt;
ssl_certificate_key /root/ca/server/server.key;
# 設定長連接配接
keepalive_timeout 70;
# 以下兩項不建議顯示設定
# ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2;
# 定義算法
# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
# 優先采取伺服器算法
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://web;
}
location /api/v1/ws {
proxy_pass http://shadow;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
}
}
}
nginx重定向http請求配置(未測試)
server {
listen 80;
server_name *.fatri.cn;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
server_name example.org;
root /etc/nginx/wwwroot/;
charset utf-8;
ssl_certificate /etc/nginx/ssl/example.org.bundle.crt;
ssl_certificate_key /etc/nginx/ssl/example.org.key;
# ...
}
4、修改Nginx配置檔案nginx.conf, 修改後重新開機容器使配置生效
docker restart nginx-test
由于不是買的官方CA憑證,是以需要讓浏覽器信任CA。
用戶端添加信任證書
輕按兩下根
ca.crt
導入證書(也可從控制台搜尋管理系統證書導入)
選擇受信任的根證書頒發機構
配置主機映射
# 1、修改host
win10到C:\Windows\System32\drivers\etc目錄下修改host(可先用文本編輯儲存到桌面,在修改字尾名拖回檔案夾覆寫原檔案)
mac直接指令行`sodo vi /etc/hosts`
# 2、添加映射
172.28.2.105 dev.fatri.cn
# 3、重新整理配置
win10還需進入終端輸入`ipconfig/flushdns`重新整理配置
mac應該直接修改後就生效