本文主要介绍在使用负载均衡服务中相关证书的含义,以及上传、配置方法。
说明:
服务器证书是用于用户浏览器检查服务器送过来的证书是否是由自己信赖的中心所签发的,服务器证书需要上传到 SLB 控制台;CA 证书作用:服务器要求客户浏览器发送自己的证书,收到后服务器用 CA 证书验证客户浏览器的证书(即 Client 证书),如果没有通过验证,拒绝连接,CA 证书在开启双向认证功能后也需要上传到 SLB 控制台,对于开启双向认证功能一般用户可以选择使用 openssl 生成自签 CA 证书和 Client 证书。服务器证书可以到云盾 证书服务 购买,也可以到其他服务商处购买。
在 /root 目录下新建 ca 文件夹,进入 ca,创建几个子文件夹:$ sudo mkdir ca$ cd ca$ sudo mkdir newcerts private conf server newcerts 子目录将用于存放 CA 签署过的数字证书(证书备份目录);private 用于存放 CA 的私钥;conf 目录用于存放一些简化参数用的配置文件;server 存放服务器证书文件。
1. conf 目录新建 openssl.conf 文件
编辑其内容如下:
[ ca ] default_ca = foo # The default ca section [ foo ] dir = /root/ca # top dir database = /root/ca/index.txt # index file. new_certs_dir = /root/ca/newcerts # new certs dir certificate = /root/ca/ private /ca.crt # The CA cert serial = /root/ca/serial # serial no file private_key = /root/ca/ private /ca.key # CA private key RANDFILE = /root/ca/ private /.rand # random number file default_days = 365 # how long to certify for default_crl_days= 30 # how long before next CRL default_md = md5 # message digest method to use unique_subject = no # Set to 'no' to allow creation of # several ctificates with same subject. policy = policy_any # default policy [ policy_any ] countryName = match stateOrProvinceName = match organizationName = match organizationalUnitName = match localityName = optional commonName = supplied emailAddress = optional2 生成私钥 key 文件
$ cd /root/ca $ sudo openssl genrsa -out private /ca.key 输出 Generating RSA private key, 512 bit long modulus ..++++++++++++ .++++++++++++ e is 65537 ( 0x10001 )private 目录下有 ca.key 文件生成。
注:openssl 默认生成 512 位的。一般是用 2048 位的。
3 生成证书请求 csr 文件
$ sudo openssl req - new -key private /ca.key -out private /ca.csr提示输入 Country Name,输入 CN 并回车后: 提示输入 State or Province Name (full name),输入 ZheJiang并回车后: 提示输入 Locality Name,输入 HangZhou并回车后: 提示输入 Organization Name,输入 Aliyun并回车后: 提示输入 Organizational Unit Name,输入 Dev 并回车后: 提示输入 Common Name,如果没有域名的话,输入 xxx.xxx.cn 并回车后:
提示输入 Email Address,输入 Aliyun@aliyun.com 并回车后:
提示输入 A challenge password,这个是根证书口令。输入 123456 并回车后:
private 目录下有 ca.csr 文件生成。
4 生成凭证 crt 文件
$ sudo openssl x509 -req -days 365 -in private /ca.csr -signkey private /ca.key -out private /ca.crt控制台输出 private 目录下有 ca.crt 文件生成。
5 为我们的 key 设置起始序列号
$ sudo echo FACE > serial可以是任意四个字符
6 创建 CA 键库
$ sudo touch index.txt7 为 "用户证书" 的移除创建一个证书撤销列表
$ sudo openssl ca -gencrl -out /root/ca/ private /ca.crl -crldays 7 -config "/root/ca/conf/openssl.conf"输出
Using configuration from /root/ca/conf/openssl.confprivate 目录下有 ca.crl 文件生成。
位置 /root/ca/users。
要求输入 pass phrase,这个是当前 key 的口令,以防止本密钥泄漏后被人盗用。两次输入同一个密码(比如我这里输入 123456),users 目录下有 client.key 文件生成。
提示输入 pass phrase,即 client.key 的口令。将 3.2 步保存的 pass phrase 输入后并回车: 要求你输入和 2.3 步一样的那些问题。输入的内容要求完全一致。但 A challenge password 是客户端证书口令(请注意将它和 client.key 的口令区分开,这边设置密码为test),可以与服务器端证书或者根证书口令一致:
users 目录下有 client.csr 文件生成。
输出
两次都输入 y,users 目录下有 client.crt 文件生成。
要求输入 client.key 的 pass phrase,输入 2.3.2 步输入的 pass phrase 并回车后:
要求输入 Export Password,这个是客户端证书的保护密码(其作用类似于 3.3 保存的口令),在客户端安装证书的时候需要输入这个密码。我是输入client。 users 目录下有 client.p12 文件生成。
此处上传的为向证书服务商申请的服务器证书。
https://help.aliyun.com/document_detail/32336.html
https://help.aliyun.com/document_detail/32337.html
相关证书的FAQ
https://help.aliyun.com/document_detail/27661.html
https://help.aliyun.com/document_detail/34952.html
这里需要配置的内容:
CA证书上传,即上传上述描述生成的CA根证书,即“2 创建一个新的 CA 证书”描述的内容。
客户端证书,是需要导入浏览器中,即“3 客户端证书的生成”描述的内容。
测试效果:
1、双向认证,但是没有导入客户端证书,访问效果如下图。
2、客户端证书导入过程,在此省略。
主要过程为:
下载客户端证书-》双击运行-》输入证书密码-》选择导入证书存储位置-》完成。
重启浏览器测试。
3、双向认证,导入客户端证书,访问效果如下图。
相关资源:nginx双向认证配置proxy_ssl_verify_depth详解