国密 SM2 SSL 证书 Nginx 安装指南 linux版

wwwwestcn2023-10-28 8:34

一、获取国密证书

1、在您完成申请西部GDCA服务器证书的流程后,下载证书将获取一个证书包,有以下

*.***.com_sign.crt:签名证书

*.***.com_sign.key:签名证书私钥

*.***.com_encrypt.crt:加密证书

*.***.com_encryptKeyData.txt:内容为已加密的加密证书私钥片段

2、加密证书解密

在线解密:私钥加解密

创建 *.**.com_encrypt.key 文件,将获取的解密后 解密证书私钥 内容填写进去。

二、部署国密nginx

国密OpenSSL与国密Nginx

gmssl_openssl_1.1_bxx.tar.gz

无缝nginx国密改造,支持nginx1.6+

编译部署(以nginx-1.18.0为例)

  1. 下载 wget http://download.myhostadmin.net/gmssl/gmssl_openssl_1.1_b8.tar.gz到/root/下

  2. 解压 tar xzfm gmssl_openssl_1.1_b8.tar.gz -C /usr/local

  3. 下载wget http://download.myhostadmin.net/gmssl/nginx-1.18.0.zip 到/root/下

  4. 解压 unzip nginx-1.18.0.zip

注:可能需要使用yum install pcre-devel需要安装pcre-devel

  1. 进入目录 cd /root/nginx-1.18.0

  2. 编译配置

./configure \

--without-http_gzip_module \

--with-http_ssl_module \

--with-http_stub_status_module \

--with-http_v2_module \

--with-file-aio \

--with-openssl="/usr/local/gmssl" \

--with-cc-opt="-I/usr/local/gmssl/include" \

--with-ld-opt="-lm"

  1. 编译安装

make install

  1. /usr/local/nginx即为生成的nginx目录

9)编译安装完成后,cd 进入/usr/local/nginx/sbin 目录,用 ./nginx -t 命令检测是否正常,如下:

配置示例(国密单向)

*.***.com_sign.crt:签名证书

*.***.com_sign.key:签名证书私钥

*.***.com_encrypt.crt:加密证书

*.***.com_encrypt.key : 加密证书私钥

server

{

listen 0.0.0.0:443 ssl;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECC-SM4-GCM-SM3;

ssl_verify_client off;

ssl_certificate /usr/local/nginx/conf/*.***.com_sign.crt;

ssl_certificate_key /usr/local/nginx/conf/*.***.com_sign.key;

ssl_certificate /usr/local/nginx/conf/*.***.com_encrypt.crt;

ssl_certificate_key /usr/local/nginx/conf/*.***.com_encrypt.key;

location /

{

root html;

index index.html index.htm;

}

}

配置示例(国密/RSA单向自适应)

server

{

listen 0.0.0.0:443 ssl;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECC-SM4-GCM-SM3;

ssl_verify_client off;

ssl_certificate /usr/local/nginx/conf/*.***.com.crt;

ssl_certificate_key /usr/local/nginx/conf/*.***.com.key;

ssl_certificate /usr/local/nginx/conf/*.***.com_sign.crt;

ssl_certificate_key /usr/local/nginx/conf/*.***.com_sign.key;

ssl_certificate /usr/local/nginx/conf/*.***.com_encrypt.crt;

ssl_certificate_key /usr/local/nginx/conf/*.***.com_encrypt.key; location /

{

root html;

index index.html index.htm;

}

}

测试配置是否正确/usr/local/nginx/sbin/nginx -t

启动/usr/local/nginx/sbin/nginx

三、访问测试

1、360企业浏览器 设置,打开浏览器点击右上角的

按钮-》"选项"-》"安全设置",确保"国密通信协议"栏目已勾选

"启用国密SSL协议支持"的复选框,如下:

访问效果示例:

原文链接:https://www.west.cn/faq/list.asp?unid=2513

相关推荐
QQ2740287562 小时前
Soundness Gitpod 部署教程
linux·运维·服务器·前端·chrome·web3
qwfys2002 小时前
How to configure Linux mint desktop
linux·desktop·configure·mint
南方以南_2 小时前
Ubuntu操作合集
linux·运维·ubuntu
冼紫菜3 小时前
[特殊字符]CentOS 7.6 安装 JDK 11(适配国内服务器环境)
java·linux·服务器·后端·centos
Chuncheng's blog4 小时前
RedHat7 如何更换yum镜像源
linux
爱莉希雅&&&4 小时前
shell脚本之条件判断,循环控制,exit详解
linux·运维·服务器·ssh
wei_work@4 小时前
【linux】Web服务—搭建nginx+ssl的加密认证web服务器
linux·服务器·ssl
扶尔魔ocy5 小时前
【Linux C/C++开发】轻量级关系型数据库SQLite开发(包含性能测试代码)
linux·数据库·c++·sqlite
追赶sun6 小时前
Ubuntu 添加系统调用
linux·ubuntu·操作系统·系统调用
北漂老男孩6 小时前
在 Linux 上安装 MATLAB:完整指南与疑难解决方案
linux·运维·matlab
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】03从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑04【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!05DeepSeek各版本说明与优缺点分析06Coze扣子平台完整体验和实践(附国内和国际版对比)07Ubuntu24.04安装中文输入法08YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU09苍穹外卖面试总结10组基轨迹建模 GBTM的介绍与实现(Stata 或 R)