一、简介

GMSSL提供一个国密版OpenSSL和国密版Nginx，支持单向/双向认证，支持标准SSL/国密SSL自适应。
其中国密版OpenSSL基于OpenSSL1.1.1d实现，且已经修正了CVE-2020-1967。

证书申请

GMSSL - 国密SSL实验室

二、运行环境

Centos7 x86_64

三、下载

yum install wget -y

国密OpenSSL与国密Nginx
gmssl_openssl_1.1_bxx.tar.gz
nginx-1.18.0.tar.gz

四、编译部署（以nginx-1.8.0为例）

1) 下载gmssl_openssl_1.1_bxx.tar.gz到/roo/下
2) 解压 tar xzfm gmssl_openssl_1.1_bxx.tar.gz -C /usr/local
3) 下载nginx-1.18.0.tar.gz到/roo/下
4) 解压 tar xzfm nginx-1.18.0.tar.gz
5) 进入目录 cd /root/nginx-1.18.0
6) 编辑auto/lib/openssl/conf，将全部$OPENSSL/.openssl/修改为$OPENSSL/并保存

./configure \
--without-http_gzip_module \
--with-http_ssl_module \
--with-http_stub_status_module \
--with-http_v2_module \
--with-file-aio \
--with-openssl="/usr/local/gmssl" \
--with-cc-opt="-I/usr/local/gmssl/include" \
--with-ld-opt="-lm"

8) 编译安装
make install
9) /usr/local/nginx即为生成的nginx目录
注：可能需要使用yum install pcre-devel需要安装pcre-devel

配置示例(国密单向)

server
{listen 0.0.0.0:443 ssl;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-SM3:ECDHE-SM4-SM3;ssl_verify_client off;ssl_certificate /usr/local/nginx/conf/demo1.sm2.sig.crt.pem;ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.sig.key.pem;ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.enc.key.pem;ssl_certificate /usr/local/nginx/conf/demo1.sm2.enc.crt.pem;location /{root html;index index.html index.htm;}
}

配置示例(国密双向)

server
{listen 0.0.0.0:443 ssl;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-SM3:ECDHE-SM4-SM3;ssl_client_certificate /usr/local/nginx/conf/demo1.sm2.trust;ssl_verify_client on;ssl_certificate /usr/local/nginx/conf/demo1.sm2.sig.crt.pem;ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.sig.key.pem;ssl_certificate /usr/local/nginx/conf/demo1.sm2.enc.crt.pem;ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.enc.key.pem;location /{root html;index index.html index.htm;}
}

配置示例(国密/RSA单向自适应)

server
{listen 0.0.0.0:443 ssl;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-SM3:ECDHE-SM4-SM3;ssl_verify_client off;ssl_certificate /usr/local/nginx/conf/demo1.rsa.crt.pem;ssl_certificate_key /usr/local/nginx/conf/demo1.rsa.key.pem;ssl_certificate /usr/local/nginx/conf/demo1.sm2.sig.crt.pem;ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.sig.key.pem;ssl_certificate /usr/local/nginx/conf/demo1.sm2.enc.crt.pem;ssl_certificate_key /usr/local/nginx/conf/demo1.sm2.enc.key.pem;location /{root html;index index.html index.htm;}
}

国密版 Nginx服务器安装相关推荐

随机数随机性检测工具国密版
项目概述: 依据标准<GM/T 0005-2012 随机性检测规范>.<GB/T 32915-2016 信息安全技术二元序列随机性检测方法>.对128mb的随机数文件进行随机 ...
nginx服务器配置ssl协议,国密SSL协议之Nginx集成
1 背景 Nginx自身支持标准的SSL协议,但并不支持国密SSL协议.本文描述了Nginx配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用. 特点:Nginx 无需改动源码.支持任意版本. ...
国密Nginx容器实战
国密Nginx容器实战 1.背景目前国密SSL(TLCP)已经逐步开始推广并实际使用,国密SSL实验室(www.gmssl.cn)提供了国密版OpenSSL,并且可以与Nginx集成,可以比较方 ...
JumpServer国密支持配置
1. 环境说明 HTTPS 国密证书配置在JumpServer前端的Nginx服务器,用户通过本地的国密支持的浏览器访问到Nginx服务器,此链路为国密HTTPS加密链路,Nginx服务器进行HTTP ...
坚持自主可控，长安链ChainMaker全面拥抱国密的技术实践
密码技术作为与核技术.航天技术并列的国家三大安全核心技术之一,在保障信息安全,增强我国行业信息系统的"安全可控"等方面具有关键作用.长期以来国际上较为通用的商用算法是由美国安全局发 ...
Fabric CA国密版本的一种替代方案--使用cryptogen工具增加新用户
在Fabric超级账本中,如果我们想动态增加用户发行证书,一般会使用Fabric CA或者其它CA.然而在国密改造场景中,当前缺乏可用的开源的Fabric CA国密版本.因此,笔者研究了一下,发现了一 ...
国密wireshark下载
在CSDN上有很多人把国密版wireshark的安装包上传了上来,这无可厚非,关键是很多人都是收费,就很无耻了.本来想放个免费的安装包上来,但CSDN说是资源重复不让放,那我就放下载的地址吧. 下面的 ...
通用的国密SSL 客户端GMProxy
为保障重要系统的安全,国家密码管理局要求相应业务系统要做广泛的改造,改用中国标准的公钥密码算法.国密算法的支持已成为业务系统的重要安全保障. 但随着国密网站的增多,包括很多单位的办公SSL VPN也逐 ...
ubuntu安装国密浏览器
1 为何安装国密浏览器解决问题需要讲究方法论,对于是否能够成功搭建国密服务,最后需要一个检验工具,那么国密浏览器就是已经构建好的检测工具. 由于国密浏览器在mac系统中的支持还没有那么多,在wind ...

国密版 Nginx服务器安装

一、简介

二、运行环境

三、下载

四、编译部署（以nginx-1.8.0为例）

国密版 Nginx服务器安装相关推荐

最新文章

热门文章