问题1: ssl_client_certificate 配置的CA证书格式错误
参考Mini tutorial for configuring client-side SSL certificates和Client Side Certificate Auth in Nginx配置客户端的证书认证,配置好后,在浏览器使用证书认证报400错误
400 Bad Request
No required SSL certificate was sent
按照教程,生成相关证书都没有问题,在配置nginx的ssl_client_certificate需要把CA证书改用pem格式。
转换如下:
sudo openssl x509 -in ca.crt -out ca.pem -outform PEM
nginx配置如下:
server {
listen 443;
server_name admin.majing.io;
ssl on;
root html;
index index.html index.htm;
ssl_certificate server.pem;
ssl_certificate_key server.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_client_certificate ca.pem;
ssl_verify_client on;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}
问题2: ssl_client_certificate所配置证书不需要和server证书属于同一个CA根证书
server证书用于ssl服务器端认证,在生产环境一定要使用CA机构颁发的证书。
ssl_client_certificate配置的是客户端认证。
问题3 curl测试
使用curl测试部署,如果客户端证书需要密码,则需要使用冒号在crt文件后添加密码。
curl -v -s -k --key /etc/nginx/certs/client.key --cert /etc/nginx/certs/client.crt:12345 https://example.com