接上一篇文章:使用自签发证书与端口转发 安全地访问内网服务 一

0x04 nginx

首先是nginx的配置文件:

server {
    #监听443端口
    listen                  443 ssl http2;

    #设定域名
    server_name             cacti.home.home.proj.org.cn;

    #启动ssl
    ssl                     on;

    #证书路径
    ssl_certificate         /usr/local/nginx/ssl/home.proj.org.cn.crt;

    #密钥路径
    ssl_certificate_key     /usr/local/nginx/ssl/home.proj.org.cn.key;

    #CA证书路径
    ssl_client_certificate  /usr/local/nginx/ssl/cacert.pem;

    ssl_buffer_size         16k;
    ssl_ciphers             ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:DES-CBC3-SHA;
    ssl_prefer_server_ciphers   on;
    ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
    ssl_session_cache       builtin:20480 shared:SSL:10m;
    ssl_session_timeout     3h;
    ssl_session_tickets     on;
    add_header              X-Content-Type-Options nosniff;
    add_header              X-XSS-Protection "1; mode=block";
    add_header              Strict-Transport-Security "max-age=31536000; preload; includeSubDomains" always;

    #开启SSL证书认证
    ssl_verify_client       on;

    location / {

        #指定反向代理header的Host值
        proxy_set_header Host cacti.t.com;

        #指定反向代理的域名
        proxy_pass http://cacti.t.com;
        proxy_pass_header Server;

        proxy_set_header Accept-Encoding '';
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Scheme $scheme;

        proxy_redirect off;

    }

}

请将下面的内容根据你的实际情况进行修改:

  1. 监听端口
  2. 域名
  3. 证书路径
  4. 密钥路径
  5. CA证书路径
  6. 反向代理域名

完成后重新加载nginx:

#先测试配置文件是否有错误
[[email protected] conf.d]# nginx -t

#重新加载nginx
[[email protected] conf.d]# nginx -s reload

0x05 导入证书

将p12证书复制到你的电脑,双击即可进行导入,导入的时候会要求你输入生成p12证书时所输入的密码。

0x06 访问

一切准备就绪后可以通过 https://domain:port 的形式进行访问啦。如果一切正常,就会像startssl网站一样弹出对话框,让你选择你的证书:

1472490529

0x07 结语

过程其实不是很复杂,一般一个小时左右就能完成配置。有疑问欢迎给我留言哦。