国密SSL协议之Nginx集成

国密SSL协议之Nginx集成

1 背景

Nginx自身支持标准的SSL协议，但并不支持国密SSL协议。本文描述了Nginx配置的国密SSL协议（单向）的完整过程，仅供学习和参考之用。

特点：Nginx 无需改动源码、支持任意版本。

2 环境

服务器OS是CentOS7.7的64位版本，IP位192.168.0.98，客户端OS是WindowsXP。

Nginx是Nginx-1.18.0。

浏览器是360安全浏览器（支持国密）。

3 安装方法一：源码编译

GMSSL.cn提供一个OpenSSL的国密版库，可与nginx编译，生成的nginx即支持国密SSL协议。

1）准备gmssl_openssl

下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown

下载其中的gmssl_openssl_1.1_b1.tar.gz

下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown

拷贝到/root/目录

解压

tar xzfm gmssl_openssl_1.1_bxx.tar.gz -C /usr/local

**则/usr/local/gmssl为国密版openssl目录

2）准备nginx

下载页面http://nginx.org/download/nginx-1.18.0.tar.gz

拷贝到/root/目录

解压

tar xzfm nginx-1.18.0.tar.gz

**则/root/nginx-1.18.0为nginx目录

cd /root/nginx-1.18.0

vi auto/lib/openssl/conf，将全部$OPENSSL/.openssl/修改为$OPENSSL/并保存

3）编译

./configure \

--without-http_gzip_module \

--with-http_ssl_module \

--with-http_stub_status_module \

--with-http_v2_module \

--with-file-aio \

--with-openssl="/usr/local/gmssl" \

--with-cc-opt="-I/usr/local/gmssl/include" \

--with-ld-opt="-lm"

make install

**则/usr/local/nginx为生成的国密版nginx目录

注：可能需要安装需要的pcre-devel包。

4 安装方法二：直接安装

GMSSL.cn已经提供了一个按方法一编译好的国密版nginx，可以直接下载安装使用。

下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown

下载其中的gmssl_nginx_1.8.0_b7.tar.gz

拷贝到/root/目录

解压

tar xzfm gmssl_nginx_1.8.0_bxxx.tar.gz -C /usr/local

**则/usr/local/nginx为国密版nginx目录

5 国密双证书

1）生成国密双证书

访问https://www.gmssl.cn/gmssl/index.jsp?go=ca，可生成免费的测试国密双证书。

提交后保存sm2.demo1.gmssl.cn.zip

传到服务器/root/下解压

unzip sm2.demo1.gmssl.cn.zip -d /root/sm2.demo1/

6 Nginx部署国密SSL

1）配置Nginx

vi /usr/local/nginx/conf/nginx.conf

http下加入

serve

{

listen 0.0.0.0:443 ssl;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphersECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-SM3:ECDHE-SM4-SM3;

ssl_verify_client off;

ssl_certificate/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.crt.pem;

ssl_certificate_key/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.key.pem;

ssl_certificate/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.crt.pem;

ssl_certificate_key/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.key.pem;

location /

{

root html;

index index.html index.htm;

}

}

1）测试

/usr/local/nginx/sbin/nginx-t

OpenSSL(GM version) by www.gmssl.cn.Test Only!!!

OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!

OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!

OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!

nginx: the configuration file/usr/local/nginx/conf/nginx.conf syntax is ok

nginx: configuration file/usr/local/nginx/conf/nginx.conf test is successful

注：Test Only等信息是国密版OpenSSL输出的提示信息，不影响测试和使用。

2）运行

/usr/local/nginx/sbin/nginx

7 访问验证

1）下载360安全浏览器

https://se.360.cn

2）开启国密SSL支持

3）启用极速模式

访问https://192.168.0.98，出现错误页面，开启极速模式

4）访问国密SSL成功

8 小结

通过使用国密SSL组件，使得Nginx自身不做任何编译修改，即可比较简单的支持国密SSL协议，满足等保等政策合规，确实是一个简单可操作的方法。www.gmssl.cn提供了全部免费的测试组件,并且支持双向国密SSL，支持国密SSL/标准 SSL自适应，也支持Tomcat和Apache，值得推荐和试用。