接上一篇文章:使用自签发证书与端口转发 安全地访问内网服务 一
0x04 nginx
首先是nginx的配置文件:
server {
#监听443端口
listen 443 ssl http2;
#设定域名
server_name cacti.home.home.proj.org.cn;
#启动ssl
ssl on;
#证书路径
ssl_certificate /usr/local/nginx/ssl/home.proj.org.cn.crt;
#密钥路径
ssl_certificate_key /usr/local/nginx/ssl/home.proj.org.cn.key;
#CA证书路径
ssl_client_certificate /usr/local/nginx/ssl/cacert.pem;
ssl_buffer_size 16k;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:DES-CBC3-SHA;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache builtin:20480 shared:SSL:10m;
ssl_session_timeout 3h;
ssl_session_tickets on;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security "max-age=31536000; preload; includeSubDomains" always;
#开启SSL证书认证
ssl_verify_client on;
location / {
#指定反向代理header的Host值
proxy_set_header Host cacti.t.com;
#指定反向代理的域名
proxy_pass http://cacti.t.com;
proxy_pass_header Server;
proxy_set_header Accept-Encoding '';
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Scheme $scheme;
proxy_redirect off;
}
}
请将下面的内容根据你的实际情况进行修改:
- 监听端口
- 域名
- 证书路径
- 密钥路径
- CA证书路径
- 反向代理域名
完成后重新加载nginx:
#先测试配置文件是否有错误 [root@web conf.d]# nginx -t #重新加载nginx [root@web conf.d]# nginx -s reload
0x05 导入证书
将p12证书复制到你的电脑,双击即可进行导入,导入的时候会要求你输入生成p12证书时所输入的密码。
0x06 访问
一切准备就绪后可以通过 https://domain:port 的形式进行访问啦。如果一切正常,就会像startssl网站一样弹出对话框,让你选择你的证书:
0x07 结语
过程其实不是很复杂,一般一个小时左右就能完成配置。有疑问欢迎给我留言哦。
