国密SSL协议之Nginx集成

简介: Nginx自身支持标准的SSL协议,但并不支持国密SSL协议。本文描述了Nginx配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用。

背景

Nginx自身支持标准的SSL协议,但并不支持国密SSL协议。
本文描述了Nginx配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用。
特点:Nginx 无需改动源码、支持任意版本。

环境

服务器OS是CentOS7.7的64位版本,IP位192.168.0.98,客户端OS是WindowsXP。
Nginx是Nginx-1.18.0。
浏览器是360安全浏览器(支持国密)。

安装方法一:源码编译

GMSSL.cn提供一个OpenSSL的国密版库,可与nginx编译,生成的nginx即支持国密SSL协议。
1)准备gmssl_openssl
下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown
下载其中的gmssl_openssl_1.1_b1.tar.gz
下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown
拷贝到/root/目录
解压

   tar xzfm gmssl_openssl_1.1_bxx.tar.gz -C /usr/local

则/usr/local/gmssl为国密版openssl目录
2)准备nginx
下载页面http://nginx.org/download/nginx-1.18.0.tar.gz
拷贝到/root/目录
解压

   tar xzfm nginx-1.18.0.tar.gz

则/root/nginx-1.18.0为nginx目录
cd /root/nginx-1.18.0
vi auto/lib/openssl/conf,将全部$OPENSSL/.openssl/修改为$OPENSSL/并保存
3)编译
./configure \
--without-http_gzip_module \
--with-http_ssl_module \
--with-http_stub_status_module \
--with-http_v2_module \
--with-file-aio \
--with-openssl="/usr/local/gmssl" \
--with-cc-opt="-I/usr/local/gmssl/include" \
--with-ld-opt="-lm"
make install
则/usr/local/nginx为生成的国密版nginx目录
注:可能需要安装需要的pcre-devel包。

安装方法二:直接安装

GMSSL.cn已经提供了一个按方法一编译好的国密版nginx,可以直接下载安装使用。

下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown
下载其中的gmssl_nginx_1.8.0_b7.tar.gz

拷贝到/root/目录
解压

   tar zxfm gmssl_nginx_1.8.0_bxxx.tar.gz -C /usr/local

**则/usr/local/nginx为国密版nginx目录

国密双证书

1)生成国密双证书
访问https://www.gmssl.cn/gmssl/index.jsp?go=ca
可生成免费的测试国密双证书。
gmssl.cn.png
提交后保存sm2.demo1.gmssl.cn.zip
传到服务器/root/下解压
unzip sm2.demo1.gmssl.cn.zip -d /root/sm2.demo1/

Nginx部署国密SSL

1)配置Nginx
vi /usr/local/nginx/conf/nginx.conf
http下加入
server
{
listen 0.0.0.0:443 ssl;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphersECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-SM3:ECDHE-SM4-SM3;
ssl_verify_client off;

ssl_certificate/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.crt.pem;
ssl_certificate_key/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.key.pem;

ssl_certificate/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.crt.pem;
ssl_certificate_key/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.key.pem;
location /
{
root html;
index index.html index.htm;
}
}
2)测试
/usr/local/nginx/sbin/nginx-t
OpenSSL(GM version) by www.gmssl.cn.Test Only!!!
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
nginx: the configuration file/usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file/usr/local/nginx/conf/nginx.conf test is successful
注:Test Only等信息是国密版OpenSSL输出的提示信息,不影响测试和使用。
3)运行
/usr/local/nginx/sbin/nginx

访问验证

1)下载360安全浏览器
https://se.360.cn
2)开启国密SSL支持
gmssl2.png
3)启用极速模式
访问https://192.168.0.98,出现错误页面,开启极速模式
gmssl1.png
4)访问国密SSL成功
gmssl.png

小结

通过使用国密SSL组件,使得Nginx自身不做任何编译修改,即可比较简单的支持国密SSL协议,
满足等保等政策合规,确实是一个简单可操作的方法。gmssl.cn提供了全部免费的测试组件,
并且支持双向国密SSL,支持国密SSL/标准 SSL自适应,也支持Tomcat和Apache,值得推荐和试用。

目录
相关文章
|
3月前
|
应用服务中间件 Linux 网络安全
如何在 CentOS 7 上为 Nginx 创建自签名 SSL 证书
如何在 CentOS 7 上为 Nginx 创建自签名 SSL 证书
182 1
|
24天前
|
安全 应用服务中间件 Shell
nginx配置https的ssl证书和域名
nginx配置https的ssl证书和域名
|
28天前
|
JavaScript 安全 Java
谈谈UDP、HTTP、SSL、TLS协议在java中的实际应用
下面我将详细介绍UDP、HTTP、SSL、TLS协议及其工作原理,并提供Java代码示例(由于Deno是一个基于Node.js的运行时,Java代码无法直接在Deno中运行,但可以通过理解Java示例来类比Deno中的实现)。
53 1
|
12天前
|
安全 Java 测试技术
ToB项目身份认证AD集成(二):快速搞定window server 2003部署AD域服务并支持ssl
本文详细介绍了如何搭建本地AD域控测试环境,包括安装AD域服务、测试LDAP接口及配置LDAPS的过程。通过运行自签名证书生成脚本和手动部署证书,实现安全的SSL连接,适用于ToB项目的身份认证集成。文中还提供了相关系列文章链接,便于读者深入了解AD和LDAP的基础知识。
|
24天前
|
应用服务中间件 网络安全 nginx
nginx如何代理ssl
nginx如何代理ssl
|
3月前
|
jenkins 应用服务中间件 持续交付
如何配置 Nginx 作为 Jenkins 的反向代理并启用 SSL 加密
如何配置 Nginx 作为 Jenkins 的反向代理并启用 SSL 加密
148 8
|
2月前
|
消息中间件 安全 Kafka
Kafka支持SSL/TLS协议技术深度解析
SSL(Secure Socket Layer,安全套接层)及其继任者TLS(Transport Layer Security,传输层安全)是为网络通信提供安全及数据完整性的一种安全协议。这些协议在传输层对网络连接进行加密,确保数据在传输过程中不被窃取或篡改。
128 0
|
3月前
|
负载均衡 前端开发 应用服务中间件
使用Nginx配置SSL以及部署前端项目
本文介绍了如何使用Nginx配置SSL证书以启用HTTPS,并展示了如何通过Nginx部署前端项目,包括配置SSL证书、设置代理和负载均衡的示例。
110 2
|
3月前
|
应用服务中间件 网络安全 nginx
运维专题.Docker+Nginx服务器的SSL证书安装
运维专题.Docker+Nginx服务器的SSL证书安装
99 3
|
4月前
|
应用服务中间件 网络安全 nginx
使用Nginx Proxy Manager配置Halo的反向代理和申请 SSL 证书
本文引导如何用Nginx Proxy Manager (NPM)配置Halo的反向代理与SSL证书。NPM简化了Nginx的配置流程,适合无Nginx基础的用户。安装NPM无需额外安装Nginx,避免端口冲突。通过`docker-compose.yaml`启动NPM服务,并映射必要的端口。配置Halo反向代理需登录NPM面板,添加代理主机,设置域名、转发IP等参数。NPM支持自动申请与续期SSL证书,确保网站安全访问。更多Halo安装细节,请参考[如何在Linux云服务器上通过Docker Compose部署安装Halo](https://zhangfeidezhu.com/?p=631).
219 0
使用Nginx Proxy Manager配置Halo的反向代理和申请 SSL 证书