自建私有化证书颁发机构(Certificate Authority,CA)实战之 《0x01 Nginx 配置 https单向认证》

自建私有化证书颁发机构(Certificate Authority,CA)实战之 《0x01 Nginx 配置 https单向认证》

上一篇文章我们介绍了如何自建私有化证书颁发机构(Certificate Authority,CA),本篇文章我们将介绍如何使用自建的CA颁发的证书来配置Nginx的https单向认证。为了方便环境的搭建,以下使用docker来搭建nginx https 环境。

docker 环境的准备

主机环境:

bash 复制代码
ifconfig |grep inet
inet 127.0.0.1 netmask 0xff000000 
inet 192.168.1.12 netmask 0xffffff00 broadcast 192.168.1.255
inet 192.168.85.1 netmask 0xffffff00 broadcast 192.168.85.255
inet 192.168.22.1 netmask 0xffffff00 broadcast 192.168.22.255

当前主机有多个内网IP,我们可以用一张证书,包含多个IP,也可以用多张证书,每个IP对应一张证书。

这里我们使用单张证书的方式。计划包含的IP如下:

  • 127.0.0.1
  • 192.168.1.12
  • 192.168.85.1
  • 192.168.22.1

新建一个测试目录,创建3个文件夹及docker-compose.yml文件,命令如下:

bash 复制代码
mkdir {html,conf.d,ssl}
touch docker-compose.yml

docker-compose.yml 的内容如下:

yml 复制代码
version: '2.1'
services:
  nginx:
    image: nginx
    # restart: always
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./html:/usr/share/nginx/html:ro
      - ./conf.d:/etc/nginx/conf.d:ro
      - ./ssl:/etc/nginx/ssl:ro

其中目录分别为:

  • ./html 为nginx的静态资源目录
  • ./conf.d 为nginx的配置文件目录
  • ./ssl 为nginx的证书目录。

创建nginx的配置文件./conf.d/default.conf,内容如下:

conf 复制代码
server {
    listen       80; # 监听 80 端口
    listen 443 ssl;  # 监听 443 端口,用于SSL
    server_name  _; # 默认主机名/域名,这里我们不设置域名,所以用下划线代替
    ssl_certificate ssl/web.crt; # 导出的证书
    ssl_certificate_key ssl/web.key; #导出的私钥
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;
    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}

创建nginx的静态资源文件./html/index.html,内容如下:

html 复制代码
<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title>nginx https 单向认证</title>
</head>
<body>
    <h1>nginx https 单向认证</h1>
</body>
</html>

证书的准备

创建密钥

私钥 - 创建密钥 - 输入内部名称 - 确定

创建证书

证书-创建证书

来源

选中【使用此CA证书进行签名】,并在后面下拉框选择你创建的CA

在【使用模版创建新证书】的下拉框中,选择 [default] TLS_server

主体

在主体选项卡里,填上一些信息:

  • 内部名称:主要为了方便识别
  • countryName\] 国家:填写你所在的国家,这里我们填写 `CN`

  • localityName\] 地区:填写你所在的地区,这里我们填写 `Nanning`

  • organizationalUnitName\] 组织单位:填写你所在的组织单位,这里我们填写 `docker-nginx`

  • emailAddress\] 电子邮件地址:填写你的邮箱地址,这里我们填写 `taills@qq.com`

扩展

这里我们需要扩展所有的IP地址,设置如上图所示

复制代码
IP:127.0.0.1, IP:192.168.1.12, IP:192.168.22.1, IP:192.168.85.1

如果想使用域名,就选择DNS类型。

密钥用法

选中 【TLS Web Server Authentication】,这里我们只需要用到这个。字面意思就是用于web服务器认证。

点击【确定】创建证书。

导出证书

选择我们创建的docker-nginx证书,点击【导出】,导出crt格式的证书。

相应的,我们导出名为docker-nginx的私钥,导出PEM private(*.pem)格式的私钥。

把导出的证书和私钥,放到我们的./ssl目录下。分别重命名为web.crtweb.key

其中:

  • web.crt 为证书
  • web.key 为私钥

启动nginx

bash 复制代码
docker-compose up

测试访问

用 https 协议访问,内容正常显示且浏览器地址栏显示上锁了,说明配置成功。

查看证书详情,可以看到证书的信息。

相关推荐
极限实验室7 小时前
使用 Docker Compose 简化 INFINI Console 与 Easysearch 环境搭建
数据库·docker·devops
2501_916008898 小时前
iOS App抓包工具排查后台唤醒引发请求异常
websocket·网络协议·tcp/ip·http·网络安全·https·udp
牧天白衣.9 小时前
Docker相关内容
docker·容器·eureka
一切顺势而行9 小时前
k8s 使用docker 安装教程
docker·容器·kubernetes
Andy杨9 小时前
20250707-2-第二章:Kubernetes 核心概念-K8s集群架构,生产部署K8s两_笔记
docker·容器
小安运维日记9 小时前
CKS认证 | Day4 最小化微服务漏洞
安全·docker·微服务·云原生·容器·kubernetes
2501_9159184111 小时前
iPhone 抓包工具有哪些?多工具对比分析优缺点
websocket·网络协议·tcp/ip·http·网络安全·https·udp
bigFish啦啦啦11 小时前
docker proxy
docker
果子⌂12 小时前
容器技术入门之Docker环境部署
linux·运维·docker
小何学计算机14 小时前
HTTPS工作原理
网络协议·http·https