Nginx的客户端/服务端双向SSL证书认证配置
1，准备工作：安装openssl和nginx（注意使用编译选项--with-http_ssl_module 支持ssl）

2，根证书

new_ca.sh 这个脚本会建立一个demoCA的目录以及根证书文件，后面都会用到做证书的签署

#!/bin/sh
/usr/local/ssl/misc/CA.sh -newca


3，服务端证书

new_server.sh 这个脚本建立服务端证书和私钥，并签署证书

#!/bin/sh
#生成密钥
openssl genrsa -des3 -out server.key 2048
#生成证书签名请求文件
openssl req -new -key server.key -out newreq.pem -days 365
#进行签证
./CA.sh -sign
#最终服务端证书
mv newcert.pem server.crt

4，客户端证书

new_client.sh 这个脚本建立客户端证书和私钥，并签署证书

#!/bin/sh
#客户端：
#生成密钥
openssl genrsa -des3 -out client.key 2048
#生成证书签名请求文件
openssl req -new -key client.key -out client.csr
#签署客户端证书
openssl ca -in client.csr -out client.crt
#创建pkcs12文件
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx


cp demoCA/cacert.pem ca.crt


在证书生成过程中需要输入一些资料，有几项是需要与根证书匹配的

countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = match



5，nginx配置

# HTTPS server
#
server {
listen 443;
server_name localhost;
# 打开ssl
ssl on;
# 服务器证书 //目录根据你生成证书时的情况决定
ssl_certificate /etc/ssl/private/server.crt;
# 服务器证书公钥
ssl_certificate_key /etc/ssl/private/server.key;
# 客户端证书签名
ssl_client_certificate /etc/ssl/private/ca.crt;
# ssl session 超时
ssl_session_timeout 5m;
# 打开SSL客户端校验 (双向证书检测)
ssl_verify_client on;

#ssl_protocols SSLv2 SSLv3 TLSv1;
#ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;

location / {
root /var/www/nginx-default;
index index.html index.htm;
}

6，浏览器配置

根据浏览器的不同，导入client.pfx