当前位置: 首页 > article >正文

国密 SM2 SSL 证书 Nginx 安装指南 linux版

一、获取国密证书

1、在您完成申请西部GDCA服务器证书的流程后,下载证书将获取一个证书包,有以下

*.***.com_sign.crt:签名证书

*.***.com_sign.key:签名证书私钥

*.***.com_encrypt.crt:加密证书

*.***.com_encryptKeyData.txt:内容为已加密的加密证书私钥片段

image.png

2、加密证书解密

在线解密:私钥加解密

image.png

image.png

创建 *.**.com_encrypt.key 文件,将获取的解密后 解密证书私钥 内容填写进去。

二、部署国密nginx

国密OpenSSL与国密Nginx

gmssl_openssl_1.1_bxx.tar.gz

无缝nginx国密改造,支持nginx1.6+

编译部署(以nginx-1.18.0为例)


1) 下载 wget http://download.myhostadmin.net/gmssl/gmssl_openssl_1.1_b8.tar.gz到/root/下
2) 解压 tar xzfm gmssl_openssl_1.1_b8.tar.gz -C /usr/local
3) 下载wget http://download.myhostadmin.net/gmssl/nginx-1.18.0.zip 到/root/下
4) 解压 unzip nginx-1.18.0.zip

注:可能需要使用yum install pcre-devel需要安装pcre-devel

5) 进入目录 cd /root/nginx-1.18.0

6) 编译配置

./configure \
--without-http_gzip_module \
--with-http_ssl_module \
--with-http_stub_status_module \
--with-http_v2_module \
--with-file-aio \
--with-openssl="/usr/local/gmssl" \
--with-cc-opt="-I/usr/local/gmssl/include" \
--with-ld-opt="-lm"

7) 编译安装
make install
8) /usr/local/nginx即为生成的nginx目录

9)编译安装完成后,cd 进入/usr/local/nginx/sbin 目录,用 ./nginx -t 命令检测是否正常,如下:

image.png



配置示例(国密单向)

*.***.com_sign.crt:签名证书

*.***.com_sign.key:签名证书私钥

*.***.com_encrypt.crt:加密证书

*.***.com_encrypt.key : 加密证书私钥

server
{
  listen 0.0.0.0:443 ssl;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECC-SM4-GCM-SM3;
  ssl_verify_client off;

  ssl_certificate /usr/local/nginx/conf/*.***.com_sign.crt;
  ssl_certificate_key /usr/local/nginx/conf/*.***.com_sign.key;

  ssl_certificate /usr/local/nginx/conf/*.***.com_encrypt.crt;
  ssl_certificate_key /usr/local/nginx/conf/*.***.com_encrypt.key;

  location /
  {
    root html;
    index index.html index.htm;
  }
}


配置示例(国密/RSA单向自适应)

server
{
  listen 0.0.0.0:443 ssl;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECC-SM4-GCM-SM3;
  ssl_verify_client off;

  ssl_certificate /usr/local/nginx/conf/*.***.com.crt;
  ssl_certificate_key /usr/local/nginx/conf/*.***.com.key;

  ssl_certificate /usr/local/nginx/conf/*.***.com_sign.crt;
  ssl_certificate_key /usr/local/nginx/conf/*.***.com_sign.key;

  ssl_certificate /usr/local/nginx/conf/*.***.com_encrypt.crt;
  ssl_certificate_key /usr/local/nginx/conf/*.***.com_encrypt.key;  location /
  {
    root html;
    index index.html index.htm;
  }
}

测试配置是否正确/usr/local/nginx/sbin/nginx -t

image.png

启动/usr/local/nginx/sbin/nginx

image.png

三、访问测试

1、360企业浏览器 设置,打开浏览器点击右上角的

按钮-》“选项”-》“安全设置”,确保“国密通信协议”栏目已勾选

“启用国密SSL协议支持”的复选框,如下: 

image.png

访问效果示例:

image.png

原文链接:https://www.west.cn/faq/list.asp?unid=2513 


http://www.kler.cn/a/108255.html

相关文章:

  • Linux——GPIO输入输出裸机实验
  • SQL,力扣题目1127, 用户购买平台
  • redis bind 127.0.0.1和bind 10.34.56.78的区别
  • qt QKeySequence详解
  • python魔术方法的学习
  • LabVIEW开发相机与显微镜自动对焦功能
  • 宝塔安装脚本
  • RK3568-适配at24c04模块
  • 【Gensim概念】02/3 NLP玩转 word2vec
  • 2023-10 最新jsonwebtoken-jjwt 0.12.3 基本使用
  • java后端返回给前端不为空的属性
  • Spring是如何解决bean循环依赖的问题的
  • centos jdk 安装
  • Go RESTful API 接口开发
  • 至高直降3000元,微星笔记本双11爆款推荐、好评有礼拿到手软
  • 麒麟KYLINOS2303版本上使用KDE桌面共享软件
  • OpenCV ycrcb颜色空间
  • 2021年06月 Python(二级)真题解析#中国电子学会#全国青少年软件编程等级考试
  • 【MedusaSTears】正则表达式搜索心得
  • C++(20):consteval
  • Python 算法高级篇:归并排序的优化与外部排序
  • 【电路笔记】-交流波形和交流电路理论
  • MFC Windows 程序设计[343]之捕获全屏图片裁剪(附源码)
  • 【Docker 内核详解】cgroups 资源限制(一):概念、作用、术语
  • C++多态(超级详细版)
  • 28 行为型模式-中介者模式