由于公司需求需要实现对nginx和iis服务的SSL双向认证，于是记录一下过程，我这边就没有去使用各大平台生成的SSL证书，而是自己生成证书。
其实不管是linux环境下的nginx，还是windows环境下的iis，都只需要使用openssl就可以生成对应的证书，从而完成SSL双向认证。

接下来的步骤我是在linux环境下生成的，其实windows下也是这样生成，只是需要先安装openssl。

1. 制作CA证书

1.1 制作CA私钥

openssl genrsa -out ca.key 2048

1.2 制作 CA 根证书（公钥）

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
//注意：具体信息都可以随意填写，Common Name这里不需要填写对应的域名或ip，我一般都是写个方便看的名字

2. 制作服务端证书

2.1 生成服务端私钥

openssl genrsa -out server.pem 1024
openssl rsa -in server.pem -out server.key

2.2 生成签发请求

openssl req -new -key server.pem -out server.csr
//注意：Common Name需要填写对应的域名或ip。
//1.如果你通过域名访问，就填域名，例如：www.xxx.com
//2.如果你通过IP访问，就填IP，例如：192.168.100.101（不需要填写协议头和端口号）

2.3 用ca证书签发服务端证书（含公钥）

openssl x509 -req -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out server.crt

这一步生成的服务端证书是给nginx服务使用的，如果想给windows下的iis使用，需要执行下方语句，将.crt转成.pfx格式。

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

3. 制作客户端证书（流程跟制作服务端证书一样）

3.1 生成客户端私钥

openssl genrsa -out client.pem 1024
openssl rsa -in client.pem -out client.key

3.2 生成签发请求

openssl req -new -key client.pem -out client.csr
//注意：Common Name需要填写对应的域名或ip。
//1.如果你通过域名访问，就填域名，例如：www.xxx.com
//2.如果你通过IP访问，就填IP，例如：192.168.100.101（不需要填写协议头和端口号）

3.3 用ca证书签发客户端证书（含公钥）

openssl x509 -req -sha256 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650 -out client.crt

如果需要用浏览器来访问，需要执行下方语句，将客户端证书格式转成.p12格式，然后发给对应的电脑客户端，双击安装证书即可

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

4. 配置服务器

nginx

server {
        listen 443 ssl;                        #自己要用到的端口，不一定是443
        index index.html;

        root /data/abc/;

        ssl_certificate /etc/nginx/ssl/server.crt;   #上面证书生成的所在目录
        ssl_certificate_key /etc/nginx/ssl/server.key;  #上面证书生成的所在目录
        ssl_client_certificate /etc/nginx/ssl/ca.crt;  #上面证书生成的所在目录
        ssl_verify_client on;  #开启验证客户端
}

IIS

导入证书

image.png

开启验证客户端

image.png

这时配置好后，个人浏览器端还是不能访问，或者标记为不安全连接，需要上面步骤生成的ca.crt导入到个人电脑里。

5. 配置客户端

如果个人电脑没有导入客户端的证书，用浏览器访问可能会返回403，说没有SSL 客户证书。那我们只需要将上面步骤生成的client.p12导入到个人电脑中（密码就是生成证书时的密码），双击安装后，重启浏览器后进行访问，选择对应的证书就可以了。
如果想通过curl访问，可以执行下方语句

//url地址、 client.key、client.crt换成你自己的
curl --insecure --key client.key --cert client.crt 'https://192.168.100.101:1234'