|
场景: Nginx使用自签SSL证书实现https连接。 方法: 第一步:使用OpenSSL创建证书 #建立服务器私钥(过程需要输入密码,请记住这个密码)生成RSA密钥 >openssl genrsa -des3 -out server.key 1024 #生成一个证书请求 >openssl req -new -key server.key -out server.csr #需要依次输入国家,地区,组织,email。最重要的是有一个common name,可以写你的名字或者域名。如果为了https申请,这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书 #--------------------------------------------------------------------------------------------------------------- Enter pass phrase for server.key: #之前输入的密码 Country Name (2 letter code) [XX]: #国家 State or Province Name (full name) []: #区域或是省份 Locality Name (eg, city) [Default City]: #地区局部名字 Organization Name (eg, company) [Default Company Ltd]: #机构名称:填写公司名 Organizational Unit Name (eg, section) []: #组织单位名称:部门名称 Common Name (eg, your name or your server's hostname) []: #网站域名 Email Address []: #邮箱地址 A challenge password []: #输入一个密码,可直接回车 An optional company name []: #一个可选的公司名称,可直接回车 #--------------------------------------------------------------------------------------------------------------- #输入完这些内容,就会在当前目录生成server.csr文件 >cp server.key server.key.org >openssl rsa -in server.key.org -out server.key #使用上面的密钥和CSR对证书进行签名 #以下命令生成v1版证书 >openssl x509 -req -days 365 -sha256 -in server.csr -signkey server.key -out servernew.crt #以下命令生成v3版证书 >openssl x509 -req -days 365 -sha256 -extfile openssl.cnf -extensions v3_req -in server.csr -signkey server.key -out servernew.crt v3版证书另需配置文件openssl.cnf,该文件内容详见这篇《 OpenSSL生成v3证书方法及配置文件 》 至此,证书生成完毕! 附常用对证书的操作: 查看key、csr及证书信息 openssl rsa -noout -text -in myserver.key openssl req -noout -text -in myserver.csr openssl x509 -noout -text -in ca.crt 不同格式证书的转换 # PKCS转换为PEM > openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes # PEM转换为DER > openssl x509 -outform der -in myserver.pem -out myserver.[der|crt] # PEM提取KEY > openssl RSA -in myserver.pem -out myserver.key # DER转换为PEM > openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem # PEM转换为PKCS > openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt 第二步:Nginx下ssl配置方法 首先,确保安装了OpenSSL库,并且安装Nginx时使用了–with-http_ssl_module参数。 证书拷至nginx目录,配置如下server server { listen 443 ssl; server_name your.domain.name; index index.html index.htm index.php; ssl on; ssl_certificate ssl/hotyq.com.crt; ssl_certificate_key ssl/hotyq.com.key; ssl_session_cache shared:SSL:10m; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; } 另,还可加入如下配置实现https重定向 server { isten 80; server_name your.domain.name; rewrite ^(.*) https://$server_name$1 permanent; } 注意: 第一次配置https时必须重启nginx才能生效,不能reload! (责任编辑:IT) |