国密 SM2 SSL 证书 Nginx 安装指南 linux版

wwwwestcn2023-10-28 8:34

一、获取国密证书

1、在您完成申请西部GDCA服务器证书的流程后,下载证书将获取一个证书包,有以下

*.***.com_sign.crt:签名证书

*.***.com_sign.key:签名证书私钥

*.***.com_encrypt.crt:加密证书

*.***.com_encryptKeyData.txt:内容为已加密的加密证书私钥片段

2、加密证书解密

在线解密:私钥加解密

创建 *.**.com_encrypt.key 文件,将获取的解密后 解密证书私钥 内容填写进去。

二、部署国密nginx

国密OpenSSL与国密Nginx

gmssl_openssl_1.1_bxx.tar.gz

无缝nginx国密改造,支持nginx1.6+

编译部署(以nginx-1.18.0为例)

  1. 下载 wget http://download.myhostadmin.net/gmssl/gmssl_openssl_1.1_b8.tar.gz到/root/下

  2. 解压 tar xzfm gmssl_openssl_1.1_b8.tar.gz -C /usr/local

  3. 下载wget http://download.myhostadmin.net/gmssl/nginx-1.18.0.zip 到/root/下

  4. 解压 unzip nginx-1.18.0.zip

注:可能需要使用yum install pcre-devel需要安装pcre-devel

  1. 进入目录 cd /root/nginx-1.18.0

  2. 编译配置

./configure \

--without-http_gzip_module \

--with-http_ssl_module \

--with-http_stub_status_module \

--with-http_v2_module \

--with-file-aio \

--with-openssl="/usr/local/gmssl" \

--with-cc-opt="-I/usr/local/gmssl/include" \

--with-ld-opt="-lm"

  1. 编译安装

make install

  1. /usr/local/nginx即为生成的nginx目录

9)编译安装完成后,cd 进入/usr/local/nginx/sbin 目录,用 ./nginx -t 命令检测是否正常,如下:

配置示例(国密单向)

*.***.com_sign.crt:签名证书

*.***.com_sign.key:签名证书私钥

*.***.com_encrypt.crt:加密证书

*.***.com_encrypt.key : 加密证书私钥

server

{

listen 0.0.0.0:443 ssl;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECC-SM4-GCM-SM3;

ssl_verify_client off;

ssl_certificate /usr/local/nginx/conf/*.***.com_sign.crt;

ssl_certificate_key /usr/local/nginx/conf/*.***.com_sign.key;

ssl_certificate /usr/local/nginx/conf/*.***.com_encrypt.crt;

ssl_certificate_key /usr/local/nginx/conf/*.***.com_encrypt.key;

location /

{

root html;

index index.html index.htm;

}

}

配置示例(国密/RSA单向自适应)

server

{

listen 0.0.0.0:443 ssl;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECC-SM4-GCM-SM3;

ssl_verify_client off;

ssl_certificate /usr/local/nginx/conf/*.***.com.crt;

ssl_certificate_key /usr/local/nginx/conf/*.***.com.key;

ssl_certificate /usr/local/nginx/conf/*.***.com_sign.crt;

ssl_certificate_key /usr/local/nginx/conf/*.***.com_sign.key;

ssl_certificate /usr/local/nginx/conf/*.***.com_encrypt.crt;

ssl_certificate_key /usr/local/nginx/conf/*.***.com_encrypt.key; location /

{

root html;

index index.html index.htm;

}

}

测试配置是否正确/usr/local/nginx/sbin/nginx -t

启动/usr/local/nginx/sbin/nginx

三、访问测试

1、360企业浏览器 设置,打开浏览器点击右上角的

按钮-》"选项"-》"安全设置",确保"国密通信协议"栏目已勾选

"启用国密SSL协议支持"的复选框,如下:

访问效果示例:

原文链接:https://www.west.cn/faq/list.asp?unid=2513

相关推荐
skywalk81635 小时前
docker的开源跨平台替代Vagrant
linux·运维·docker·容器·vagrant
捏尼卜波卜7 小时前
try/catch/throw 简明指南
linux·开发语言·c++
IDOlaoluo8 小时前
Linux 安装 JDK 8u291 教程(jdk-8u291-linux-x64.tar.gz 解压配置详细步骤)
java·linux·运维
烷烯9 小时前
安全基础DAY1-安全概述
linux·服务器·安全·常见网路攻击
YueiL10 小时前
Linux文件系统基石:透彻理解inode及其核心作用
linux·网络·数据库
神即道 道法自然 如来10 小时前
如何在linux(CentOS7)上面安装 jenkins?
linux·运维·jenkins
花小璇学linux12 小时前
imx6ull-驱动开发篇16——信号量与互斥体
linux·驱动开发·嵌入式软件
苹果醋312 小时前
React Native jpush-react-native极光推送 iOS生产环境接收不到推送
java·运维·spring boot·mysql·nginx
葵野寺12 小时前
【JVM】深入解析Java虚拟机
java·linux·jvm·gc·垃圾回收
Johny_Zhao13 小时前
Rsync + Sersync 实时数据同步方案
linux·网络安全·信息安全·云计算·rsync·系统运维·sersync
热门推荐
01UV安装并设置国内源02Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code03全球最强模型Grok4,国内已可免费使用!(附教程)04🚀Cursor CLI+GPT-5保姆级教程+编程能力测评!Cursor CLI零成本免费使用GPT-5!Claude Code的劲敌来了!从安装到实战演示052025年华数杯C题超详细解题思路06KGG转MP3工具|非KGM文件|解密音频07OpenAI重返开源!GPT-OSS本地部署完全指南08Cursor 终端“卡死/无响应”问题的解法09GPT-5 使用限制与国内升级全攻略(免费 / Plus / Pro)【2025 最新】10NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南