自建CA实战之 《0x01 Nginx 配置 https单向认证》
自建私有化证书颁发机构(Certificate Authority,CA)实战之 《0x01 Nginx 配置 https单向认证》
上一篇文章我们介绍了如何自建私有化证书颁发机构(Certificate Authority,CA),本篇文章我们将介绍如何使用自建的CA颁发的证书来配置Nginx的https单向认证。为了方便环境的搭建,以下使用docker来搭建nginx https 环境。
docker 环境的准备
主机环境:
ifconfig |grep inet
inet 127.0.0.1 netmask 0xff000000
inet 192.168.1.12 netmask 0xffffff00 broadcast 192.168.1.255
inet 192.168.85.1 netmask 0xffffff00 broadcast 192.168.85.255
inet 192.168.22.1 netmask 0xffffff00 broadcast 192.168.22.255
当前主机有多个内网IP,我们可以用一张证书,包含多个IP,也可以用多张证书,每个IP对应一张证书。
这里我们使用单张证书的方式。计划包含的IP如下:
- 127.0.0.1
- 192.168.1.12
- 192.168.85.1
- 192.168.22.1
新建一个测试目录,创建3个文件夹及docker-compose.yml文件,命令如下:
mkdir {html,conf.d,ssl}
touch docker-compose.yml
docker-compose.yml 的内容如下:
version: '2.1'
services:nginx:image: nginx# restart: alwaysports:- "80:80"- "443:443"volumes:- ./html:/usr/share/nginx/html:ro- ./conf.d:/etc/nginx/conf.d:ro- ./ssl:/etc/nginx/ssl:ro其中目录分别为:
./html为nginx的静态资源目录./conf.d为nginx的配置文件目录./ssl为nginx的证书目录。
创建nginx的配置文件./conf.d/default.conf,内容如下:
server {listen 80; # 监听 80 端口listen 443 ssl; # 监听 443 端口,用于SSLserver_name _; # 默认主机名/域名,这里我们不设置域名,所以用下划线代替ssl_certificate ssl/web.crt; # 导出的证书ssl_certificate_key ssl/web.key; #导出的私钥ssl_session_timeout 5m;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;ssl_prefer_server_ciphers on;location / {root /usr/share/nginx/html;index index.html index.htm;}
}
创建nginx的静态资源文件./html/index.html,内容如下:
<!DOCTYPE html>
<html>
<head><meta charset="utf-8"><title>nginx https 单向认证</title>
</head>
<body><h1>nginx https 单向认证</h1>
</body>
</html>
证书的准备
创建密钥
私钥 - 创建密钥 - 输入内部名称 - 确定
创建证书
证书-创建证书
来源
选中【使用此CA证书进行签名】,并在后面下拉框选择你创建的CA
在【使用模版创建新证书】的下拉框中,选择 [default] TLS_server
主体
在主体选项卡里,填上一些信息:
- 内部名称:主要为了方便识别
- [countryName] 国家:填写你所在的国家,这里我们填写
CN - [stateOrProvinceName] 省份:填写你所在的省份,这里我们填写
GuangXi - [localityName] 地区:填写你所在的地区,这里我们填写
Nanning - [organizationName] 组织:填写你所在的组织,这里我们填写
docker-nginx - [organizationalUnitName] 组织单位:填写你所在的组织单位,这里我们填写
docker-nginx - [commonName]通用名称:填写你的域名或者IP地址,这里我们填写
127.0.0.1,如果证书只针对单个域名或IP,填这里就够了。 - [emailAddress] 电子邮件地址:填写你的邮箱地址,这里我们填写
taills@qq.com
在私钥下拉框中,选择我们上一步创建的私钥。
扩展
这里我们需要扩展所有的IP地址,设置如上图所示
IP:127.0.0.1, IP:192.168.1.12, IP:192.168.22.1, IP:192.168.85.1
如果想使用域名,就选择DNS类型。
密钥用法
选中 【TLS Web Server Authentication】,这里我们只需要用到这个。字面意思就是用于web服务器认证。
点击【确定】创建证书。
导出证书
选择我们创建的docker-nginx证书,点击【导出】,导出crt格式的证书。
相应的,我们导出名为docker-nginx的私钥,导出PEM private(*.pem)格式的私钥。
把导出的证书和私钥,放到我们的./ssl目录下。分别重命名为web.crt和web.key。
其中:
web.crt为证书web.key为私钥
启动nginx
docker-compose up
测试访问
用 https 协议访问,内容正常显示且浏览器地址栏显示上锁了,说明配置成功。
查看证书详情,可以看到证书的信息。
相关文章:
自建CA实战之 《0x01 Nginx 配置 https单向认证》
自建私有化证书颁发机构(Certificate Authority,CA)实战之 《0x01 Nginx 配置 https单向认证》 上一篇文章我们介绍了如何自建私有化证书颁发机构(Certificate Authority,CA),本篇文章我们将介…...
《QT从基础到进阶·三十八》QWidget实现炫酷log日志打印界面
QWidget实现了log日志的打印功能,不仅可以在界面显示,还可以生成打印日志。先来看下效果,源码放在文章末尾: LogPlugin插件类管理log所有功能,它可以获取Log界面并能打印正常信息,警告信息和错误信息&…...
JVM的小知识总结
加载时jvm做了这三件事: 1)通过一个类的全限定名来获取该类的二进制字节流 什么是全限定类名? 就是类名全称,带包路径的用点隔开,例如: java.lang.String。 即全限定名 包名类型 非限定类名也叫短名,就…...
深入理解JVM虚拟机第二十六篇:详解JVM当中的虚方法和非虚方法,并从字节码指令的角度去分析虚方法和非虚方法
😉😉 学习交流群: ✅✅1:这是孙哥suns和树哥给大家的福利! ✨✨2:我们免费分享Netty、Dubbo、k8s、Spring...应用和源码级别的视频资料 🥭🥭3:QQ群:583783824 📚📚 微信:DashuDeveloper拉你进微信群,免费领取! 一:非虚方法和虚方法 方法…...
ElasticSearch的日志配置
ElasticSearch默认情况下使用Log4j2来记录日志,日志配置文件的路径为$ES_HOME/config/log4j2.properties,配置方法见Log4j2的官方文档。 参考path-settings,通过指定path.logs,可以指定日志文件的保存路径。 在日志配置文件$ES_…...
SQL Injection (Blind)`
SQL Injection (Blind) SQL Injection (Blind) SQL盲注,是一种特殊类型的SQL注入攻击,它的特点是无法直接从页面上看到注入语句的执行结果。在这种情况下,需要利用一些方法进行判断或者尝试,这个过程称之为盲注。 盲注的主要形式有…...
NX二次开发UF_CURVE_ask_trim 函数介绍
文章作者:里海 来源网站:https://blog.csdn.net/WangPaiFeiXingYuan UF_CURVE_ask_trim Defined in: uf_curve.h int UF_CURVE_ask_trim(tag_t trim_feature, UF_CURVE_trim_p_t trim_info ) overview 概述 Retrieve the current parameters of an a…...
linux的netstat命令和ss命令
1. 网络状态 State状态LISTENING监听中,服务端需要打开一个socket进行监听,侦听来自远方TCP端口的连接请求ESTABLISHED已连接,代表一个打开的连接,双方可以进行或已经在数据交互了SYN_SENT客户端通过应用程序调用connect发送一个…...
python:傅里叶分析,傅里叶变换 FFT
使用python进行傅里叶分析,傅里叶变换 FFT 的一些关键概念的引入: 1.1.离散傅里叶变换(DFT) 离散傅里叶变换(discrete Fourier transform) 傅里叶分析方法是信号分析的最基本方法,傅里叶变换是傅里叶分析的核心&…...
云原生系列Go语言篇-编写测试Part 2
基准测试 确定代码是快或慢非常复杂。我们不用自己计算,应使用Go测试框架内置的基准测试。下面来看第15章的GitHub代码库sample_code/bench目录下的函数: func FileLen(f string, bufsize int) (int, error) {file, err : os.Open(f)if err ! …...
CMake Error:No targets specified and no makefile found
在适用cmake构建项目的时候,突然遇到了这个报错 Make Error at CMakeLists.txt:1 (project): VERSION not allowed unless CMP0048 is set to NEW – Configuring incomplete, errors occurred! make: *** No targets specified and no makefile found. Stop. CMake…...
常见树种(贵州省):019滇白珠、杜茎山、苍山越桔、黄背越桔、贵州毛柃、半齿柃、钝叶柃、细枝柃、细齿叶柃木、土蜜树、山矾、胡颓子、檵木
摘要:本专栏树种介绍图片来源于PPBC中国植物图像库(下附网址),本文整理仅做交流学习使用,同时便于查找,如有侵权请联系删除。 图片网址:PPBC中国植物图像库——最大的植物分类图片库 一、滇白珠…...
java - 定时器
一、什么是定时器 定时器是指可以通过 Java 中的 Timer 类和 TimerTask 类所提供的功能来实现定期执行某些任务的工具。 标准库中提供了一个 Timer 类 . Timer 类的核心方法为 schedule . schedule 包含两个参数 . 第一个参数指定即将要执行的任务代码 , 第二个参数指定多…...
jQuery【菜单功能、淡入淡出轮播图(上)、淡入淡出轮播图(下)、折叠面板】(五)-全面详解(学习总结---从入门到深化)
目录 菜单功能 淡入淡出轮播图(上) 淡入淡出轮播图(下) 折叠面板 菜单功能 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta http-equiv"X-UA-Compatible" content"IEedge"><…...
攻防非对称问题| 当前企业面临的网络攻防非对称问题及其解决途径
随着信息技术的不断发展,网络已经成为我们日常生活和商业活动中不可或缺的一部分。然而,随之而来的是网络安全问题的不断升级。网络攻防非对称问题是当前亟待解决的一个复杂而严峻的挑战。其主要的表现是攻击成本远低于防御成本以及相同投入带来的攻击能…...
Java多线程二-线程安全
1、线程安全问题 多个线程,同时操作同一个共享资源的时候,可能会出现业务安全问题。 2、实例:取钱的线程安全问题 2.1、场景 小明和小红是夫妻,他们有个共同账户,余额是十万元,如果两人同时取钱并且各自取…...
Rust个人学习之结构体
第一反应,Rust结构体跟python的很像,不知道感觉对不对; 书中提到第一反应,Rust结构体跟python的很像,不知道感觉对不对; 书中提到:结构体是一种自定义数据类型,它允许命名多个相关的…...
kafka详细讲解与安装
Kafka是一种分布式流处理平台,具有高吞吐量、可扩展性和容错性。它最初由LinkedIn开发,现已成为Apache软件基金会的顶级项目。Kafka广泛应用于实时数据流处理、日志收集、消息队列等场景。 以下是关于Kafka的简要讲解和安装步骤: 一、Kafka…...
在我国干独立游戏开发有多难?
游戏独立开发在中国,一直以来都是一条充满挑战的道路。尽管有着无限的激情和创意,但面对市场、资金、政策等多方面的困难,许多独立开发者在这条路上艰难前行。 首先,市场竞争激烈是中国游戏独立开发者面临的首要挑战。随着游戏产…...
不可错过的网上宝藏:2023年必看的顶级资源大盘点!
亲爱的“AI uTools”读者们,大家好! 在这个信息爆炸的时代,互联网上充满了无数的资源,但如何从这海量信息中挑选出真正有用的宝藏呢?今天,我为大家精心挑选了一系列优质网站资源,涵盖了从文本处…...
我不是狐狸,我是那Harness Engineering廖
Julia(julialang.org)由Stefan Karpinski、Jeff Bezanson等在2009年创建,目标是融合Python的易用性、C的高性能、R的统计能力、Matlab的科学计算生态。 其核心设计哲学是: 高性能:编译型语言(JIT࿰…...
深入解析STM32最小系统设计:从电源到调试接口的硬件实践
1. STM32最小系统设计入门指南 第一次接触STM32开发板时,我盯着密密麻麻的电路元件直发懵——为什么需要这么多电容?两个晶振是干什么用的?那些奇怪的接口又有什么作用?后来才明白,这些看似复杂的电路其实都在围绕一个…...
【英飞凌 CY8CKIT-062S2-AI评测】---姗姗来迟的开箱与环境搭建
一、引言 实话实说,这是英飞凌进驻21ic后的第一次接触到英飞凌的产品,因此收到开发板有段时间了,但一直在摸索当中,平时时间也比较有限,这不赶上了明天(11月3日)英飞凌在线下举办的AI研讨会&…...
3步轻松备份QQ空间回忆:GetQzonehistory让青春记忆永不丢失
3步轻松备份QQ空间回忆:GetQzonehistory让青春记忆永不丢失 【免费下载链接】GetQzonehistory 获取QQ空间发布的历史说说 项目地址: https://gitcode.com/GitHub_Trending/ge/GetQzonehistory 你是否曾担心QQ空间里的青春记忆会随着时间流逝而消失࿱…...
Windows系统优化新选择:WinUtil一键式管理工具实用指南
Windows系统优化新选择:WinUtil一键式管理工具实用指南 【免费下载链接】winutil Chris Titus Techs Windows Utility - Install Programs, Tweaks, Fixes, and Updates 项目地址: https://gitcode.com/GitHub_Trending/wi/winutil 你是否曾为Windows系统的繁…...
Pixel Couplet Gen惊艳案例:神荼郁垒像素方块+物理卷轴动态渲染
Pixel Couplet Gen惊艳案例:神荼郁垒像素方块物理卷轴动态渲染 1. 项目概览 当AI技术遇上复古游戏美学,Pixel Couplet Gen为我们带来了一场视觉与文化的盛宴。这款基于ModelScope大模型的春联生成器,彻底颠覆了传统春联的设计语言ÿ…...
LabVIEW声音采集避坑指南:从麦克风选型到.lvm文件存储,新手必看的5个实战细节
LabVIEW声音采集避坑指南:从麦克风选型到.lvm文件存储的5个实战细节 第一次用LabVIEW做声音采集时,我对着波形图上跳动的噪声信号发呆了整整两小时——采样率设对了,接线也没问题,但采集到的音频就像老式收音机调频不准时的杂音。…...
CC工具箱实战:SHP转TXT通用版,从数据到自定义描述的完整流程
1. 为什么需要SHP转TXT工具? 在日常的GIS数据处理工作中,我们经常会遇到需要将SHP格式的地块数据转换为特定格式的TXT文件的需求。比如在土地调查项目中,上级部门可能要求提交包含地块坐标和属性的文本文件;在数据上报时ÿ…...
sslscan实战:5个真实场景教你检测TLS安全漏洞
sslscan实战:5个真实场景教你检测TLS安全漏洞 【免费下载链接】sslscan sslscan tests SSL/TLS enabled services to discover supported cipher suites 项目地址: https://gitcode.com/gh_mirrors/ss/sslscan sslscan是一款强大的SSL/TLS安全检测工具&#…...
ERNIE-4.5-0.3B-PT轻量级部署:vLLM框架助力,Chainlit打造友好对话前端
ERNIE-4.5-0.3B-PT轻量级部署:vLLM框架助力,Chainlit打造友好对话前端 1. 环境准备与快速部署 1.1 系统要求与依赖安装 部署ERNIE-4.5-0.3B-PT模型需要满足以下基础环境要求: 操作系统:推荐Ubuntu 20.04/22.04 LTS或CentOS 7G…...