自建CA和nginx实现ssl双向认证（nginx证书双向认证）

备注：关于nginx的搭建这里就不说明了，可以查看历史文章。

一、自建CA根证书颁发机构：

1、准备工作：

这两个文件是用于记录客户端信息

#echo 01 > /etc/pki/CA/serial

#touch /etc/pki/CA/index.txt

2、创建私钥

#cd /etc/pki/CA/private

#umask 077;openssl genrsa -out cakey.pem 2048

3、自签证书

#cd /etc/pki/CA

#openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

创建根证书

二、创建服务器证书：

1、创建服务器私钥（在服务器端）

#mkdir /usr/local/work/nginx/ssl

#cd /usr/local/work/nginx/ssl

#umask 077;openssl genrsa -out nginx.key 1024

2、创建证书申请文件（在服务器端）

#openssl req -new -key nginx.key -out nginx.csr

3、签署证书（在CA颁发机构端）

openssl ca -in nginx.csr -out nginx.crt -days 3650

创建服务器证书

给服务器证书申请签名

三、创建客户端证书

1、创建客户端私钥

#mkdir client

#cd client

#umask 077;openssl genrsa -out client.key 1024

2、创建客户端证书申请文件（只有域名和邮箱是跟CA不同的）

#openssl req -new -key client.key -out client.csr

3、签署证书

#openssl ca -in client.csr -out client.crt -days 730

4、将文本格式的证书转换为可以导入浏览器的证书

#openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

**********将client.p12转换成client.pem格式**************

#openssl pkcs12 -clcerts -nokeys -in client.p12 -out client.pem

创建客户端证书