目錄
- 場(chǎng)景
- 使用OpenSSL創(chuàng)建證書(shū)
- 不同格式證書(shū)的轉(zhuǎn)換
- Nginx下ssl配置方法
- 驗(yàn)證方法
場(chǎng)景
Nginx使用自簽ssl證書(shū)實(shí)現(xiàn)https連接。
使用OpenSSL創(chuàng)建證書(shū)
建立服務(wù)器私鑰(過(guò)程需要輸入密碼,請(qǐng)記住這個(gè)密碼)生成RSA密鑰
openssl genrsa -des3 -out server.key 1024
生成一個(gè)證書(shū)請(qǐng)求
openssl req -new -key server.key -out server.csr
需要依次輸入國(guó)家,地區(qū),組織,email。最重要的是有一個(gè)common name,可以寫你的名字或者域名。如果為了https申請(qǐng),這個(gè)必須和域名吻合,否則會(huì)引發(fā)瀏覽器警報(bào)。生成的csr文件交給CA簽名后形成服務(wù)端自己的證書(shū)
#--------------------------------------------------------------------------------------------------------------- Enter pass phrase for server.key: #之前輸入的密碼 Country Name (2 letter code) [XX]: #國(guó)家 State or Province Name (full name) []: #區(qū)域或是省份 Locality Name (eg, city) [Default City]: #地區(qū)局部名字 Organization Name (eg, company) [Default Company Ltd]: #機(jī)構(gòu)名稱:填寫公司名 Organizational Unit Name (eg, section) []: #組織單位名稱:部門名稱 Common Name (eg, your name or your server's hostname) []: #網(wǎng)站域名 Email Address []: #郵箱地址 A challenge password []: #輸入一個(gè)密碼,可直接回車 An optional company name []: #一個(gè)可選的公司名稱,可直接回車 #---------------------------------------------------------------------------------------------------------------
輸入完這些內(nèi)容,就會(huì)在當(dāng)前目錄生成server.csr文件
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
使用上面的密鑰和CSR對(duì)證書(shū)進(jìn)行簽名
#以下命令生成v1版證書(shū) openssl x509 -req ?-days 365 -sha256 ? -in server.csr -signkey server.key -out servernew.crt
以下命令生成v3版證書(shū)
openssl x509 -req -days 365 -sha256 -extfile openssl.cnf -extensions v3_req -in server.csr -signkey server.key -out servernew.crt
v3版證書(shū)另需配置文件openssl.cnf,該文件內(nèi)容詳見(jiàn)博客《OpenSSL生成v3證書(shū)方法及配置文件》
至此,證書(shū)生成完畢!
附常用對(duì)證書(shū)的操作:
查看key、csr及證書(shū)信息
openssl rsa -noout -text -in myserver.key openssl req -noout -text -in myserver.csr openssl x509 -noout -text -in ca.crt
不同格式證書(shū)的轉(zhuǎn)換
PKCS轉(zhuǎn)換為PEM
openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes
PEM轉(zhuǎn)換為DER
openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]
PEM提取KEY
openssl RSA -in myserver.pem -out myserver.key
DER轉(zhuǎn)換為PEM
openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem
PEM轉(zhuǎn)換為PKCS
openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt
Nginx下ssl配置方法
首先,確保安裝了OpenSSL庫(kù),并且安裝Nginx時(shí)使用了–with-http_ssl_module參數(shù)。
證書(shū)拷至nginx目錄,配置如下server
server {
listen 443 ssl;
server_name your.domain.name;
index index.html index.htm index.php;
ssl on;
ssl_certificate ssl/hotyq.com.crt;
ssl_certificate_key ssl/hotyq.com.key;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}
另,還可加入如下配置實(shí)現(xiàn)https重定向
server {
listen 80;
server_name your.domain.name;
rewrite ^(.*) https://$server_name$1 permanent;
}
第一次配置https時(shí)需重啟nginx!
驗(yàn)證方法
Win、Android系統(tǒng)
curl https://your.domain.name
iOS系統(tǒng)
curl -3 https://your.domain.name
