國密SSL協議之Nginx集成

時間 2020-09-28

標籤 ssl 協議 nginx 集成欄目 SSL 简体版

原文原文鏈接

1 背景html

Nginx自身支持標準的SSL協議，但並不支持國密SSL協議。本文描述了Nginx配置的國密SSL協議（單向）的完整過程，僅供學習和參考之用。 特色：Nginx 無需改動源碼、支持任意版本。

2 環境
服務器OS是CentOS7.7的64位版本，IP位192.168.0.98，客戶端OS是WindowsXP。nginx

Nginx是Nginx-1.18.0。瀏覽器

瀏覽器是360安全瀏覽器（支持國密）。安全

3 安裝方法一：源碼編譯服務器

GMSSL.cn提供一個OpenSSL的國密版庫，可與nginx編譯，生成的nginx即支持國密SSL協議。jsp

1）準備gmssl_openssl學習

下載頁面https://www.gmssl.cn/gmssl/in...測試

下載其中的gmssl_openssl_1.1_b1.tar.gzspa

下載頁面https://www.gmssl.cn/gmssl/in...code

拷貝到/root/目錄

解壓

tar xzfm gmssl\_openssl\_1.1\_bxx.tar.gz -C /usr/local

**則/usr/local/gmssl爲國密版openssl目錄

2）準備nginx

下載頁面http://nginx.org/download/ngi...

拷貝到/root/目錄

解壓

tar xzfm nginx-1.18.0.tar.gz

**則/root/nginx-1.18.0爲nginx目錄

cd /root/nginx-1.18.0

vi auto/lib/openssl/conf，將所有$OPENSSL/.openssl/修改成$OPENSSL/並保存

3）編譯

./configure \

--without-http_gzip_module \

--with-http_ssl_module \

--with-http_stub_status_module \

--with-http_v2_module \

--with-file-aio \

--with-openssl="/usr/local/gmssl" \

--with-cc-opt="-I/usr/local/gmssl/include" \

--with-ld-opt="-lm"

make install

**則/usr/local/nginx爲生成的國密版nginx目錄

注：可能須要安裝須要的pcre-devel包。

4 安裝方法二：直接安裝

GMSSL.cn已經提供了一個按方法一編譯好的國密版nginx，能夠直接下載安裝使用。

下載頁面https://www.gmssl.cn/gmssl/in...

下載其中的gmssl\_nginx\_1.8.0\_b7.tar.gz

拷貝到/root/目錄

解壓

tar xzfm gmssl\_nginx\_1.8.0\_bxxx.tar.gz -C /usr/local

**則/usr/local/nginx爲國密版nginx目錄

5 國密雙證書

1）生成國密雙證書

訪問https://www.gmssl.cn/gmssl/in...，可生成免費的測試國密雙證書。

提交後保存sm2.demo1.gmssl.cn.zip

傳到服務器/root/下解壓

unzip sm2.demo1.gmssl.cn.zip -d /root/sm2.demo1/

6 Nginx部署國密SSL

1）配置Nginx

vi /usr/local/nginx/conf/nginx.conf

http下加入

serve

{

listen 0.0.0.0:443 ssl;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphersECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-SM3:ECDHE-SM4-SM3;

ssl_verify_client off;

ssl_certificate/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.crt.pem;

ssl_certificate_key/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.key.pem;

ssl_certificate/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.crt.pem;

ssl_certificate_key/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.key.pem;

location /

{

root html;

index index.html index.htm;

}

1）測試
/usr/local/nginx/sbin/nginx-t
OpenSSL(GM version) by www.gmssl.cn.Test Only!!!
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
nginx: the configuration file/usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file/usr/local/nginx/conf/nginx.conf test is successful
注：Test Only等信息是國密版OpenSSL輸出的提示信息，不影響測試和使用。

2）運行
/usr/local/nginx/sbin/nginx

7 訪問驗證
1）下載360安全瀏覽器
https://se.360.cn

2）開啓國密SSL支持

3）啓用極速模式
訪問https://192.168.0.98，出現錯誤頁面，開啓極速模式

4）訪問國密SSL成功

8 小結

經過使用國密SSL組件，使得Nginx自身不作任何編譯修改，便可比較簡單的支持國密SSL協議，知足等保等政策合規，確實是一個簡單可操做的方法。www.gmssl.cn提供了所有免費的測試組件,而且支持雙向國密SSL，支持國密SSL/標準 SSL自適應，也支持Tomcat和Apache，值得推薦和試用。