Linux系统Https证书生成与Nginx配置https
- 证书生成
- 查看openssl
- 生成证书
- Nginx配置https(默认443端口)
证书生成
查看openssl
1,我们在linux系统下用openssl生成证书,首先查看系统是否已经安装openssl,执行命令:
openssl version -a
2,以上显示的OPENSSLDIR:"/etc/ssl"为当前openssl安装的位置,配置文件中有一些默认的设置,如果有特殊需要我们可以进行修改,执行命令:
vi /etc/ssl/openssl.cnf
生成证书
3,文件夹随意位置,生成根证书的私钥(CA证书的RSA密钥,PEM格式),执行命令:
openssl genrsa -des3 -out server.key 2048
会提示输入密码,输入两次相同密码即可:
此时生成文件:server.key
命令说明:
genrsa:产生rsa密钥命令
-out: 输出文件名
2048: 密钥的长度位数,默认为512
4,openssl调用此文件会经常要求输入密码,如果想去除此输密码的步骤,可以执行命令:
openssl rsa -in server.key -out server.key
则输入之前密码后可去除密码。
5,生成证书签署请求,(创建服务器证书的申请文件server.csr), 执行命令:
openssl req -new -key server.key -out server.csr
会要求输入以下内容(根据实际填写)
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:LiaoNing
Locality Name (eg, city) []:ShenYang
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Lagezai
Organizational Unit Name (eg, section) []:LGZ
Common Name (e.g. server FQDN or YOUR name) []:192.168.1.1
Email Address []:LGZ@lgz.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
说明:
此时生成文件:server.csr
6,生成自签证书,即根证书CA(有效期为十年的),执行命令:
openssl req -new -x509 -key server.key -out ca.crt -days 3650
参照第五点输入所需信息。
命令说明:
-new:表示生成一个新证书签署请求
-x509:专用于CA生成自签证书,如果不是自签证书则不需要此项
-key:用到的私钥文件
-out:证书的保存路径
-days:证书的有效期限,单位是day(天),默认是openssl.cnf的default_days
此时生成文件:ca.crt,此文件可用来给自己的证书签名。
7,创建服务器证书(有效期十年):
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt
此时生成文件:ca.srl,server.crt
至此,共存在五个文件:server.key,server.csr,ca.srl,ca.crt,server.crt
Nginx配置https(默认443端口)
- 把刚才生成的文件 server.key,server.crt 拷贝到Nginx安装路径的nginx/conf下面
- 编辑文件 nginx.conf,搜索443找到https配置,修改为如下配置:
server {
listen 443;
server_name localhost; #这里可以填IP或者域名
ssl on;
ssl_certificate /root/Lee/keys/server.crt; #配置证书位置
ssl_certificate_key /root/Lee/keys/server.key; #配置秘钥位置】
#ssl_client_certificate ca.crt;#双向认证
#ssl_verify_client on; #双向认证
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
- 重启nginx, 到nginx/sbin目录下,执行命令:
./nginx -s reload
以上Nginx配置https完成。