Nginx-CA 签名

一、引言:从"自签"到"CA签"的质变

在开发和测试环境中,我们常常使用 openssl req -x509 生成的自签名证书。然而,这种方式存在一个根本性问题:信任缺失。每个新证书都需要手动导入浏览器,管理成本极高。

真正的解决方案是什么?------ 建立自己的私有 PKI(Public Key Infrastructure) 体系!

通过创建一个私有的 CA(Certificate Authority),你可以像 DigiCert 或 Let's Encrypt 一样,为你所有的内网服务(Nginx、数据库、API网关等)签发证书。客户端只需信任你的根 CA 一次,就能自动信任所有由它签发的证书。这不仅是技术上的升级,更是管理理念的飞跃。

💡 核心价值

掌握 Nginx-CA 签名,是构建可扩展、易管理、高可信度内网安全通信体系的基石


二、核心原理:PKI 信任链是如何工作的?

理解了原理,操作才能得心应手。

  1. 创建根 CA : 你首先生成一个根 CA 的私钥 (ca.key) 和自签名的根证书 (ca.crt)。这个 ca.crt 就是整个信任体系的"宪法"。
  2. 签发服务器证书 : 为你的 Nginx 服务器生成一对密钥 (server.key, server.csr),然后用你的根 CA 私钥对这个 CSR 进行签名,生成 server.crt
  3. 建立信任 : 将根 CA 证书 (ca.crt) 安装到所有需要访问 Nginx 的客户端(浏览器、操作系统)的信任库中。
  4. 验证过程 : 当客户端连接 Nginx 时:
    • Nginx 发送 server.crt
    • 客户端发现该证书是由 My Internal Root CA 签发的。
    • 客户端检查自己的信任库,找到了 My Internal Root CA 的公钥 (ca.crt)。
    • 客户端用 ca.crt 的公钥成功验证了 server.crt 的签名。
    • 信任建立! 连接被认定为安全。

三、实战:使用 OpenSSL 构建私有 CA 并签发 Nginx 证书

第一步:创建私有根 CA

bash 复制代码
# 1. 创建一个工作目录
mkdir ~/my-pki && cd ~/my-pki

# 2. 生成 CA 私钥 (4096位更安全)
openssl genrsa -out ca.key 4096

# 3. 生成 CA 根证书 (有效期10年)
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=MyCompany/CN=My Internal Root CA"

第二步:为 Nginx 服务器签发证书

为了支持多域名和 IP,我们需要使用 Subject Alternative Name (SAN)。

1. 生成服务器私钥
bash 复制代码
openssl genrsa -out server.key 2048
2. 创建 SAN 扩展配置文件 (v3.ext)

创建一个名为 v3.ext 的文件,内容如下:

复制代码
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = nginx.internal
DNS.2 = api.internal
IP.1 = 192.168.10.100
IP.2 = 127.0.0.1

根据你的实际需求修改 DNS.xIP.x

3. 生成证书签名请求 (CSR)
bash 复制代码
openssl req -new -key server.key -out server.csr \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=MyCompany/CN=nginx.internal"
4. 使用 CA 签署服务器证书
bash 复制代码
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
    -out server.crt -days 365 -sha256 -extfile v3.ext

执行后,你会得到 Nginx 所需的 server.keyserver.crt


四、配置 Nginx 启用 HTTPS

将证书文件复制到 Nginx 的配置目录:

bash 复制代码
sudo mkdir -p /etc/nginx/ssl
sudo cp server.key server.crt /etc/nginx/ssl/

编辑 Nginx 配置文件 (/etc/nginx/sites-available/default 或类似路径):

复制代码
server {
    listen 443 ssl http2;
    # 填写证书中的任意一个域名
    server_name nginx.internal api.internal;

    # 指向由 CA 签名的证书和私钥
    ssl_certificate /etc/nginx/ssl/server.crt;
    ssl_certificate_key /etc/nginx/ssl/server.key;

    # 安全加固
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512;
    ssl_prefer_server_ciphers off;

    location / {
        root /var/www/html;
        index index.html;
    }
}

# 强制 HTTP 跳转 HTTPS
server {
    listen 80;
    server_name nginx.internal api.internal;
    return 301 https://$host$request_uri;
}

重载 Nginx:

bash 复制代码
sudo nginx -t && sudo systemctl reload nginx

五、终极信任:部署根 CA 证书

为了让所有客户端无警告地访问你的 Nginx 服务,必须将 ca.crt 部署到它们的信任库中。

在企业环境中批量部署

  • Windows 域环境 : 通过组策略 (GPO) 将 ca.crt 推送到所有域计算机的"受信任的根证书颁发机构"。
  • macOS MDM: 使用移动设备管理工具(如 Jamf Pro)进行推送。
  • Linux : 将 ca.crt 复制到 /usr/local/share/ca-certificates/ 并运行 sudo update-ca-certificates

在个人开发机上手动安装

  • Windows : 双击 ca.crt -> "安装证书" -> "本地计算机" -> "受信任的根证书颁发机构"。
  • macOS : 双击 ca.crt -> 在"钥匙串访问"的"系统"中找到它 -> 双击 -> "始终信任"。

效果:安装完成后,所有由你的私有 CA 签发的证书都将被浏览器视为完全可信,地址栏会显示一个完美的灰色锁图标。


六、进阶应用:Nginx 双向认证 (mTLS)

CA 签名的强大之处不仅在于服务端认证,还能实现双向认证(mTLS)。在这种模式下,不仅服务器要向客户端证明身份,客户端也必须向服务器提供由可信 CA 签发的证书。

应用场景:微服务间的安全通信、高安全级别的 API 访问。

Nginx 配置示例

复制代码
server {
    listen 443 ssl;
    ssl_certificate /etc/nginx/ssl/server.crt;
    ssl_certificate_key /etc/nginx/ssl/server.key;
    
    # 开启客户端证书验证
    ssl_verify_client on;
    # 指定用于验证客户端证书的 CA
    ssl_client_certificate /etc/nginx/ssl/ca.crt;

    location /secure-api/ {
        # 只有持有有效客户端证书的请求才能通过
        proxy_pass http://backend;
    }
}

七、结语

感谢您的阅读!如果你有任何疑问或想要分享的经验,请在评论区留言交流!

相关推荐
蓝狐社6 小时前
一张被低估的芯片版图——中兴通讯
运维·服务器
网络小白不怕黑6 小时前
13.SSH服务相关配置
服务器·网络·ssh
Jtti6 小时前
站群服务器多IP能不能分散DDoS攻击流量?
服务器·tcp/ip·ddos
素心如月桠6 小时前
windows系统使用https://lnmp.org/的LNMP一键安装包,来打开我的服务器Linux
linux·运维·服务器
运维大师6 小时前
【Linux运维极简教程】03-用户与用户组管理
linux·运维·服务器
云计算-Security7 小时前
同(异)主机 Linux NAT 最佳实践
linux·服务器·网络
星释16 小时前
鸿蒙智能体开发实战:23.常见问题
服务器·华为·ai·harmonyos·鸿蒙·智能体
小张成长计划..17 小时前
【Linux】10:冯·诺依曼体系结构和操作系统
linux·运维·服务器
悦儿遥遥雨121 小时前
PXE + Kickstart 无人值守批量部署系统
linux·javascript·nginx
m0_5648768421 小时前
没有公网IP的情况下,怎么进行远程连接两个电脑
服务器·tcp/ip·负载均衡