Nginx配置ssl_client_certificate客户端认证问题

时间:2022-06-01 16:57:09

问题1: ssl_client_certificate 配置的CA证书格式错误

参考Mini tutorial for configuring client-side SSL certificatesClient Side Certificate Auth in Nginx配置客户端的证书认证,配置好后,在浏览器使用证书认证报400错误

400 Bad Request

No required SSL certificate was sent

按照教程,生成相关证书都没有问题,在配置nginx的ssl_client_certificate需要把CA证书改用pem格式。

转换如下:

sudo openssl x509 -in ca.crt -out ca.pem -outform PEM

nginx配置如下:

server {
  listen 443;
  server_name admin.majing.io;
  ssl on;
  root html;
  index index.html index.htm;
  ssl_certificate server.pem;
  ssl_certificate_key server.key;
  ssl_session_timeout 5m;
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_prefer_server_ciphers on;

  ssl_client_certificate ca.pem;
  ssl_verify_client on;

  location / {
    root /usr/share/nginx/html;
    index index.html index.htm;
  }
}

参考:ssl_client_certificate

问题2: ssl_client_certificate所配置证书不需要和server证书属于同一个CA根证书

server证书用于ssl服务器端认证,在生产环境一定要使用CA机构颁发的证书。

ssl_client_certificate配置的是客户端认证。

问题3 curl测试

使用curl测试部署,如果客户端证书需要密码,则需要使用冒号在crt文件后添加密码。

curl -v -s -k --key /etc/nginx/certs/client.key --cert /etc/nginx/certs/client.crt:12345 https://example.com