nginx下配置ssl本来是很简单的，无论是去认证中心买SSL安全证书还是自签署证书，但最近公司OA的一个需求，得以有个机会实际折腾一番。一开始采用的是全站加密，所有访问http:80的请求强制转换（rewrite）到https，后来自动化

目前遇到一个项目有安全性要求，要求只有个别用户有权限访问。本着能用配置解决就绝不用代码解决的原则，在Nginx上做一下限制和修改即可。这种需求其实实现方式很多，经过综合评估考虑，觉得SSL双向认证方案对用户使用最简单，遂决定用此方案。注:

首先创建一个目录cd etcnginxmkdir sslcd sslCA与自签名制作CA私钥openssl genrsa -out ca.key 2048制作 CA 根证书（公钥）openssl req -new -x509 -da

一、背景说明1.1 面临问题最近一份产品检测报告建议使用基于pki的认证方式，由于产品已实现https，商量之下认为其意思是使用双向认证以处理中间人形式攻击。《信息安全工程》中接触过双向认证，但有两个问题。第一个是当时最终的课程设计