Linux系统Https证书生成与Nginx配置https

  • 证书生成
  • 查看openssl
  • 生成证书
  • Nginx配置https(默认443端口)


证书生成

查看openssl

1,我们在linux系统下用openssl生成证书,首先查看系统是否已经安装openssl,执行命令:

openssl version -a

centos 获取 ssl证书_ssl

2,以上显示的OPENSSLDIR:"/etc/ssl"为当前openssl安装的位置,配置文件中有一些默认的设置,如果有特殊需要我们可以进行修改,执行命令:

vi /etc/ssl/openssl.cnf

centos 获取 ssl证书_Nginx_02

生成证书

3,文件夹随意位置,生成根证书的私钥(CA证书的RSA密钥,PEM格式),执行命令:

openssl genrsa -des3 -out server.key 2048

会提示输入密码,输入两次相同密码即可:

centos 获取 ssl证书_Nginx_03


此时生成文件:server.key

命令说明:
genrsa:产生rsa密钥命令
-out: 输出文件名
2048: 密钥的长度位数,默认为512

4,openssl调用此文件会经常要求输入密码,如果想去除此输密码的步骤,可以执行命令:

openssl rsa -in server.key -out server.key

则输入之前密码后可去除密码。

5,生成证书签署请求,(创建服务器证书的申请文件server.csr), 执行命令:

openssl req -new -key server.key -out server.csr

会要求输入以下内容(根据实际填写)

Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:LiaoNing
Locality Name (eg, city) []:ShenYang
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Lagezai
Organizational Unit Name (eg, section) []:LGZ
Common Name (e.g. server FQDN or YOUR name) []:192.168.1.1
Email Address []:LGZ@lgz.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

说明:

centos 获取 ssl证书_nginx_04


此时生成文件:server.csr

6,生成自签证书,即根证书CA(有效期为十年的),执行命令:

openssl req -new -x509 -key server.key -out ca.crt -days 3650

参照第五点输入所需信息。
命令说明:
-new:表示生成一个新证书签署请求
-x509:专用于CA生成自签证书,如果不是自签证书则不需要此项
-key:用到的私钥文件
-out:证书的保存路径
-days:证书的有效期限,单位是day(天),默认是openssl.cnf的default_days

此时生成文件:ca.crt,此文件可用来给自己的证书签名。

7,创建服务器证书(有效期十年):

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt

centos 获取 ssl证书_https_05


此时生成文件:ca.srl,server.crt

至此,共存在五个文件:server.key,server.csr,ca.srl,ca.crt,server.crt

Nginx配置https(默认443端口)

  1. 把刚才生成的文件 server.key,server.crt 拷贝到Nginx安装路径的nginx/conf下面
  2. 编辑文件 nginx.conf,搜索443找到https配置,修改为如下配置:
server {
    listen 443;
    server_name localhost;  #这里可以填IP或者域名
    ssl on;
    ssl_certificate /root/Lee/keys/server.crt;     #配置证书位置
    ssl_certificate_key /root/Lee/keys/server.key; #配置秘钥位置】
    
    #ssl_client_certificate ca.crt;#双向认证
    #ssl_verify_client on; #双向认证
    
    ssl_session_timeout 5m;
    ssl_protocols SSLv2 SSLv3 TLSv1;
    ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    ssl_prefer_server_ciphers on;
  1. 重启nginx, 到nginx/sbin目录下,执行命令:
./nginx -s reload

以上Nginx配置https完成。