关于https:国密SSL协议之Nginx集成

135次阅读

共计 2545 个字符,预计需要花费 7 分钟才能阅读完成。

1 背景

   Nginx 本身反对规范的 SSL 协定,但并不反对国密 SSL 协定。本文形容了 Nginx 配置的国密 SSL 协定(单向)的残缺过程,仅供学习和参考之用。特点:Nginx 无需改变源码、反对任意版本。

2 环境
服务器 OS 是 CentOS7.7 的 64 位版本,IP 位 192.168.0.98,客户端 OS 是 WindowsXP。

Nginx 是 Nginx-1.18.0。

浏览器是 360 平安浏览器(反对国密)。

3 装置办法一:源码编译

GMSSL.cn 提供一个 OpenSSL 的国密版库,可与 nginx 编译,生成的 nginx 即反对国密 SSL 协定。

1)筹备 gmssl_openssl

下载页面 https://www.gmssl.cn/gmssl/in…

下载其中的 gmssl_openssl_1.1_b1.tar.gz

下载页面 https://www.gmssl.cn/gmssl/in…

拷贝到 /root/ 目录

解压

   tar xzfm gmssl\_openssl\_1.1\_bxx.tar.gz -C /usr/local

** 则 /usr/local/gmssl 为国密版 openssl 目录

2)筹备 nginx

下载页面 http://nginx.org/download/ngi…

拷贝到 /root/ 目录

解压

   tar xzfm nginx-1.18.0.tar.gz

** 则 /root/nginx-1.18.0 为 nginx 目录

cd /root/nginx-1.18.0

vi auto/lib/openssl/conf,将全副 $OPENSSL/.openssl/ 批改为 $OPENSSL/ 并保留

3)编译

./configure \

–without-http_gzip_module \

–with-http_ssl_module \

–with-http_stub_status_module \

–with-http_v2_module \

–with-file-aio \

–with-openssl=”/usr/local/gmssl” \

–with-cc-opt=”-I/usr/local/gmssl/include” \

–with-ld-opt=”-lm”

make install

** 则 /usr/local/nginx 为生成的国密版 nginx 目录

注:可能须要装置须要的 pcre-devel 包。

4 装置办法二:间接装置

GMSSL.cn 曾经提供了一个按办法一编译好的国密版 nginx,能够间接下载安装应用。

下载页面 https://www.gmssl.cn/gmssl/in…

下载其中的 gmssl\_nginx\_1.8.0\_b7.tar.gz

拷贝到 /root/ 目录

解压

   tar xzfm gmssl\_nginx\_1.8.0\_bxxx.tar.gz -C /usr/local

** 则 /usr/local/nginx 为国密版 nginx 目录

5 国密双证书

1)生成国密双证书

拜访 https://www.gmssl.cn/gmssl/in…,可生成收费的测试国密双证书。

提交后保留 sm2.demo1.gmssl.cn.zip

传到服务器 /root/ 下解压

unzip sm2.demo1.gmssl.cn.zip -d /root/sm2.demo1/

6 Nginx 部署国密 SSL

1)配置 Nginx

vi /usr/local/nginx/conf/nginx.conf

http 下退出

serve

{

listen 0.0.0.0:443 ssl;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphersECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-SM3:ECDHE-SM4-SM3;

ssl_verify_client off;

ssl_certificate/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.crt.pem;

ssl_certificate_key/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.key.pem;

ssl_certificate/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.crt.pem;

ssl_certificate_key/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.key.pem;

location /

{

root html;

index index.html index.htm;

}

}

1)测试
/usr/local/nginx/sbin/nginx-t
OpenSSL(GM version) by www.gmssl.cn.Test Only!!!
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
nginx: the configuration file/usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file/usr/local/nginx/conf/nginx.conf test is successful
注:Test Only 等信息是国密版 OpenSSL 输入的提示信息,不影响测试和应用。

2)运行
/usr/local/nginx/sbin/nginx

7 拜访验证
1)下载 360 平安浏览器
https://se.360.cn

2)开启国密 SSL 反对

3)启用极速模式
拜访 https://192.168.0.98,呈现谬误页面,开启极速模式​

4)拜访国密 SSL 胜利​

8 小结

   通过应用国密 SSL 组件,使得 Nginx 本身不做任何编译批改,即可比较简单的反对国密 SSL 协定,满足等保等政策合规,的确是一个简略可操作的办法。www.gmssl.cn 提供了全副收费的测试组件, 并且反对双向国密 SSL,反对国密 SSL/ 规范 SSL 自适应,也反对 Tomcat 和 Apache,值得举荐和试用。

正文完
 0