当前位置: > Linux服务器 > nginx >

Nginx自签SSL证书创建及配置方法

时间:2016-12-22 14:48来源:linux.it.net.cn 作者:IT
场景:

Nginx使用自签SSL证书实现https连接。

方法:

第一步:使用OpenSSL创建证书

#建立服务器私钥(过程需要输入密码,请记住这个密码)生成RSA密钥

>openssl genrsa -des3 -out server.key 1024

#生成一个证书请求  

>openssl req -new -key server.key -out server.csr

#需要依次输入国家,地区,组织,email。最重要的是有一个common name,可以写你的名字或者域名。如果为了https申请,这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书

#---------------------------------------------------------------------------------------------------------------

Enter pass phrase for server.key:                                      #之前输入的密码

Country Name (2 letter code) [XX]:                  #国家

State or Province Name (full name) []:                #区域或是省份

Locality Name (eg, city) [Default City]:                #地区局部名字

Organization Name (eg, company) [Default Company Ltd]:        #机构名称:填写公司名

Organizational Unit Name (eg, section) []:              #组织单位名称:部门名称

Common Name (eg, your name or your server's hostname) []:    #网站域名

Email Address []:                            #邮箱地址

A challenge password []:                        #输入一个密码,可直接回车

An optional company name []:                      #一个可选的公司名称,可直接回车

#---------------------------------------------------------------------------------------------------------------

#输入完这些内容,就会在当前目录生成server.csr文件

>cp server.key server.key.org

>openssl rsa -in server.key.org -out server.key

#使用上面的密钥和CSR对证书进行签名

#以下命令生成v1版证书

>openssl x509 -req  -days 365 -sha256  -in server.csr -signkey server.key -out servernew.crt

#以下命令生成v3版证书

>openssl x509 -req  -days 365 -sha256 -extfile openssl.cnf -extensions v3_req  -in server.csr -signkey server.key -out servernew.crt

v3版证书另需配置文件openssl.cnf,该文件内容详见这篇《 OpenSSL生成v3证书方法及配置文件 》

至此,证书生成完毕!

附常用对证书的操作:

查看key、csr及证书信息

openssl rsa -noout -text -in myserver.key

openssl req -noout -text -in myserver.csr

openssl x509 -noout -text -in ca.crt

不同格式证书的转换

# PKCS转换为PEM

> openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes

# PEM转换为DER

> openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]

# PEM提取KEY

> openssl RSA -in myserver.pem -out myserver.key

# DER转换为PEM

> openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem

# PEM转换为PKCS

> openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt

第二步:Nginx下ssl配置方法

首先,确保安装了OpenSSL库,并且安装Nginx时使用了–with-http_ssl_module参数。

证书拷至nginx目录,配置如下server

server {

listen 443 ssl;

server_name your.domain.name;

index index.html index.htm index.php;

ssl on;

ssl_certificate      ssl/hotyq.com.crt;

ssl_certificate_key  ssl/hotyq.com.key;

ssl_session_cache    shared:SSL:10m;

ssl_session_timeout 5m;

ssl_protocols    TLSv1 TLSv1.1 TLSv1.2;

}

另,还可加入如下配置实现https重定向

server {

isten 80;

server_name your.domain.name;

rewrite ^(.*) https://$server_name$1 permanent;

}

注意:

第一次配置https时必须重启nginx才能生效,不能reload! (责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容