使用客户端证书提升内网系统的安全性

上一篇写了自签https证书实现公司内网https化,这篇写一下客户端证书。

内网为了安全我们可以开启客户端证书校验,为每一个员工签发一个客户端证书,只有证书合法的客户端才能访问系统。

一、配置nginx

如下,比之前加了两行,一行是指定根证书在哪里,另一行是开始客户端证书校验。

server {
listen 80;
listen 443 ssl;
server_name mm.mojijs.com;

ssl_certificate /Users/myspace/my_note/cert_test/mm.mojijs.com.pem;
ssl_certificate_key /Users/myspace/my_note/cert_test/mm.mojijs.com.pem;
ssl_client_certificate /Users/myspace/my_note/cert_test/mm_root_cert.crt;
ssl_verify_client on;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;

ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

location / {
root /Users/myspace/my_note/cert_test/;
index index.html index.htm;
}
}

二、测试

这时访问https://mm.mojijs.com/index.html会看到类似下图的返回。

三、签发客户端证书

与服务端证书类似,模板选的不同,如下图

切换到Subject,填入信息,783是我随便写的。

四、导出证书

这里得注意一下,需要导出p12证书

五、安装和信任客户端证书

与之前的根证书类似。

六、再次访问网站

可看到如下图,选中确定按照提示操作即可。

七、happy

推荐文章