Nginx 配置 HTTPS自簽名證書
阿新 • • 發佈:2018-02-25
sta num web oca pos sof AI bsp OS 工具:OpenSSL ssl的開源實現,幾乎實現了市面上所有的加密libcrypto: 通用加密庫, 任何軟件要實現加密功能 鏈接調用這個庫libssl: TLS/SSL 加密庫 openssl: 命令行工具 多功能多用途工具 實現私有證書頒發機構子命令:genrsa [-out filename] [-passout arg] [numbits]generate an RSA private key 生成一個 RSA 的私鑰 (公鑰是從私鑰中提取的,有了私鑰 就有公鑰)openssl rsa -in ca.key -pubout 提取私鑰創建證書的基本流程是這樣: 2. 生成證書CRT server.crtopenssl req -new -x509 -key ca.key -out server.crt -days 365國家 Country Name: CN 省 Stat or Province Name Shanghai市 Locality Name Shanghai公司 Organization Name : HUPU部門 Organizational Unit Tech主機名 Common Name www.zmz8.com郵件 Email Address [email protected]我們可以查看證書內容 openssl x509 -text -in server.crt3.配置nginx證書路徑 /usr/local/nginx/private_ca/server.crt私鑰路徑 /usr/local/nginx/private_ca/ca.keynginx添加配置server { listen 443; server_name www.zmz8.com; ssl on; ssl_certificate ../private_ca/server.crt; ssl_certificate_key ../private_ca/ca.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2;}最後如果可以的話 ,可以配置一個服務器簽署openssl req -new -out server.csr -key server.key -config /etc/pki/tls/openssl.cnf 商業證書生成首先找一個商業證書機構(CA)或其代理商下一個證書訂單。其次是選擇證書類型。證書類型商業證書有很多類型,也有很多的CA可以選擇,不同的CA,不同的類型價格也不一樣。常見的CA有:
- 生成自己的服務端私鑰 Server Key
- 輸入基本信息並用私鑰簽名生成CSR 證書簽名請求
- 提交CSR給證書機構CA(免費或商業證書)簽名生成CRT,或自己做CA簽名生成CRT(自簽名證書)
- -new 指定生成一個新的CSR。
- -nodes 指定私鑰文件不被加密。
- -sha256 指定摘要算法。
- -keyout 生成私鑰文件。
- -newkey rsa:2048 指定私鑰類型和長度。
- 國家
- 省
- 市
- 公司
- 部門
- 通用名(即網站域名,這個必須準確,有些商業證書支持在這裏用帶www的域名後簽發出同時支持不帶www的域名)
- 密碼(可選,設置的話以後重啟webserver都需要輸入密碼)
- VeriSign(Symantec)
- GeoTrust(RapidSSL)
- Comodo
- ……
- DV(域名驗證)
- OV(組織驗證)
- EV(擴展驗證)
- 單域名證書
- 多域名證書
- 泛域名證書
- 選擇CA或代理商
- 選擇證書類型
- 選擇有效期(以年為單位,一般時間越長單價越便宜)
- 下單付款
- 成交後按服務商的郵件或文檔開始驗證域名(以下為一種流程,不同服務商可能不太一樣)
- 上傳CSR(或用服務商提供的工具生成,但不推薦)
- 選擇驗證方式(EMAIL,文件,DNS等)
- 按相應方式操作
- 等待驗證
- 取得證書(郵件或從服務商處自行下載)
- Email:證書機構向域名註冊郵箱或域名的webmaster等郵箱(可選)發送驗證郵件
- 文件:在域名的指定路徑下放驗證文件供證書機構訪問
- DNS:創建指定的DNS TXT記錄供證書機構驗證
Nginx 配置 HTTPS自簽名證書