如何通过 digicert 发放的免费证书,实现 ssl 双向认证?我操作了下,但是不成功,该如何实现?-灵析社区
木子弓长我首先申请了免费的 digicert 证书,服务端用的 nginx。得到了两个文件 domain.pem, domain.key 这样配置的 nginx listen 443 ssl; ssl_certificate the_path_of_domain.pem; ssl_certificate_key the_path_of_domain.key; ssl_client_certificate the_path_of_domain.pem; ssl_verify_client on; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES"; ssl_prefer_server_ciphers on; 然后通过 curl 测试,失败 curl --cert domain.pem --key domain.key https://domain 更改了 `ssl_verify_depth` 的值也不可以。 需求帮助
走你啊啊啊啊啊digicert的证书,是给服务端签发的证书,配置在ssl_certificate和ssl_certificate_key。
你要配双向认证的话,得自己弄个CA,自己签个客户端的证书,ssl_client_certificate
这里应该是指向你的CA证书,不是digicert的域名证书。
***
用easyrsa来演示一下:
1. 开始使用easy-rsaapt install easy-rsa
cd /opt
cp /usr/share/easy-rsa . -a
cd easy-rsa
2. 初始化 公钥基础设施 pki
"./easy-rsa init-pki" #初始化后,会在当前目录下创建一个pki文件夹,后续签发的证书都在里面。
3. 创建CA
"./easy-rsa build-ca" #是交互式洁面,按照提示输入即可,需要记住CA的私钥密码。
4. 创建自签的客户端证书
"./easy-rsa build-client-full nopass" #会提示输入CA的私钥密码。
ca证书的目录是 ./pki/ca.crt
证书目录是 ./pki/issue/.crt
证书私钥目录是 ./pki/private/.crt