这里说下Linux 系统怎么经过openssl命令生成 证书。html
首先执行以下命令生成一个key
openssl genrsa -des3 -out ssl.key 1024
而后他会要求你输入这个key文件的密码。不推荐输入。由于之后要给nginx使用。每次reload nginx配置时候都要你验证这个PAM密码的。
因为生成时候必须输入密码。你能够输入后 再删掉。nginx
mv ssl.key xxx.key
openssl rsa -in xxx.key -out ssl.key
rm xxx.key
而后根据这个key文件生成证书请求文件
openssl req -new -key ssl.key -out ssl.csr
以上命令生成时候要填不少东西 一个个看着写吧(能够随便,毕竟这是本身生成的证书)web
最后根据这2个文件生成crt证书文件
openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt
这里365是证书有效期 推荐3650哈哈。这个你们随意。最后使用到的文件是key和crt文件。浏览器
若是须要用pfx 能够用如下命令生成 openssl pkcs12 -export -inkey ssl.key -in ssl.crt -out ssl.pfx 在须要使用证书的nginx配置文件的server节点里加入如下配置就能够了。
server {
listen 443;
server_name bbs.nau.edu.cn;安全
if ($uri !~ "/logging.php$") {
rewrite ^/(.)$ http://$host/$1 redirect;
}
ssl on;
ssl_certificate /home/ssl.crt;
ssl_certificate_key /home/ssl.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;服务器
} 而后重启nginx就大功告成了
Windows下用Nginx配置https服务器
以Windows 10系统为例。session
1、安装OpenSSL
先到http://slproweb.com/products/Win32OpenSSL.html 去下载OpenSSL(根据系统选择32位或者64位版本下载安装)。app
而后安装在C:\OpenSSL-Win64下。
而后配置环境变量。在系统环境变量中添加环境变量:
变量名:OPENSSL_HOME
变量值:C:\OpenSSL-Win64\bin;
(变量值为OPENSSL安装位置下的bin目录)
并在Path变量结尾添加一条: %OPENSSL_HOME%
2、安装Nginx
到Nginx官网下载Nginx,我这里下载的是 nginx/Windows-1.12.0 这个版本。
把下载好的压缩包解压出来,拷贝其中的nginx-1.12.0目录到c:\下。并将文件夹名字修改成nginx。这样,Nginx就被安装到了c:\nginx目录下。
进入到C:\nginx目录下,双击nginx.exe文件便可启动服务器。在浏览器地址栏输入http://localhost,若是能够成功访问到Nginx的欢迎界面,则说明安装成功。
3、生成证书
一、首先在Nginx安装目录中建立ssl文件夹用于存放证书。好比个人文件目录为 C:\nginx\ssl
在控制台中执行:
cd C:\nginx\ssl
二、建立私钥
在命令行中执行命令:
openssl genrsa -des3 -out buduhuisi.key 1024 # buduhuisi文件名是本身随便起便可
输入密码后,再次重复输入确认密码。记住此密码,后面会用到。
三、建立csr证书
在命令行中执行命令:
openssl req -new -key buduhuisi.key -out buduhuisi.csr
其中key文件为刚才生成的文件。
执行上述命令后,须要输入一系列的信息。输入的信息中最重要的为Common Name,这里输入的域名即为咱们要使用https访问的域名 ,好比我输入的是localhost。其它的内容随便填便可。
以上步骤完成后,ssl文件夹内出现两个文件:buduhuisi.csr 和 buduhuis.key
四、去除密码。
在加载SSL支持的Nginx并使用上述私钥时除去必须的口令,不然会在启动nginx的时候须要输入密码。
复制buduhuisi.key并重命名为buduhuisi.key.org。
在命令行中执行以下命令以去除口令:
openssl rsa -in buduhuisi.key.org -out buduhuisi.key
而后输入密码,这个密码就是上文中在建立私钥的时候输入的密码。
五、生成crt证书
在命令行中执行此命令:
openssl x509 -req -days 365 -in buduhuisi.csr -signkey buduhuisi.key -out buduhuisi.crt
至此,证书生成完毕。咱们发现,ssl文件夹中一共生成了4个文件。下面,配置https服务器的时候,咱们须要用到的是其中的buduhuisi.crt和buduhuisi.key这两个文件。
4、修改Nginx的nginx.conf配置文件
个人这个文件在C:\nginx\conf目录下。用任意一个编辑器(如Sublime Text之类)打开这个nginx.conf文件。
找到HTTPS server配置的那一段(即包含有listen 443 ssl配置那一段)。咱们发现这段代码被注释掉了。因此,首先咱们把该段代码前面的#号去掉。而后分别修改其中的ssl_certificate和ssl_certificate_key配置项为刚才所生成的buduhuisi.crt和buduhuisi.key这两个文件的目录。并配置server_name为localhost。修改后的该段配置以下:
server { listen 443 ssl; server_name localhost; ssl_certificate C://nginx//ssl//buduhuisi.crt; # 这个是证书的crt文件所在目录 ssl_certificate_key C://nginx//ssl//buduhuisi.key; # 这个是证书key文件所在目录 ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root html; # 这个是指定一个项目所在目录 index index.html index.htm; # 这个是指定首页的文件名 } }
注意一下那两个证书的文件路径的写法。
5、Nginx的经常使用操做
在继续后面的内容以前,先简单介绍下Windows命令行中操做Nginx的几个经常使用的语句:
start nginx # 启动Nginx nginx.exe -s stop # 快速中止Nginx,可能并不保存相关信息 nginx.exe -s quit # 完整有序的中止Nginx,并保存相关信息 nginx.exe -s reload # 从新载入Nginx,当配置信息修改,须要从新载入这些配置时使用此命令。 nginx.exe -s reopen # 从新打开日志文件 nginx -v # 查看Nginx版本
由于修改了配置文件,因此须要退出控制台,并从新打开一个控制台。执行以下命令:
cd c:\nginx nginx.exe -s quit start nginx
即退出Nginx,而后再从新启动它。这时候,在浏览器地址栏输入https://localhost并回车。
这时候,你可能看到“您的链接不是私密链接”的提示,单击页面中的“高级”,并接着单击“继续前往m.test.com(不安全)”,就能够看到Nginx的欢迎界面了。说明https服务器已经配置成功了。
若是你只想用https://localhost访问这个https服务器,那么下面的内容你就不用接着往下看了。
可是,也许你可能还想要用一个别的域名(例如:https://m.test.com)来访问这个服务器。那么怎么作呢?这就须要继续往下看了。
6、修改hosts配置,实现域名映射
要想用别的域名来访问上文配置好的https服务器,也很简单,修改hosts配置就能够了。你能够到这里下载一个hosts管理工具——SwitchHosts。安装号好以后,以管理员身份运行它。并添加上一个hosts项:
127.0.0.1 m.test.com
这样,你就能够经过https://m.test.com来访问配置好的https服务器了。
顺便提一下,关于Mac环境下如何映射一个http路径到一个https路径,能够经过Charles工具来实现。参见这里。
使用OpenSSL为Nginx配置HTTPS证书
做者:admin 时间:2017-4-5 12:3:17 浏览: 3555OpenSSL官方推荐win32可执行文件版下载:
1、证书制做
一、制做CA证书:
ca.key CA私钥:
- openssl genrsa -des3 -out ca.key 2048
制做解密后的CA私钥(通常无此必要):
- openssl rsa -in ca.key -out ca_decrypted.key
ca.crt CA根证书(公钥):
- openssl req -new -x509 -days 7305 -key ca.key -out ca.crt
二、制做生成网站的证书并用CA签名认证
在这里,假设网站域名为www.webkaka.com
生成www.webkaka.com证书私钥:
- openssl genrsa -des3 -out www.webkaka.com.pem 1024
制做解密后的www.webkaka.com证书私钥:
- openssl rsa -in www.webkaka.com.pem -out www.webkaka.com.key
生成签名请求:
- openssl req -new -key www.webkaka.com.pem -out www.webkaka.com.csr
在common name中填入网站域名,如www.webkaka.com便可生成改站点的证书,同时也可使用泛域名如*.webkaka.com来生成全部二级域名可用的网站证书。
用CA进行签名:
- openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in www.webkaka.com.csr -out www.webkaka.com.crt
其中,policy参数容许签名的CA和网站证书能够有不一样的国家、地名等信息,days参数则是签名时限。
若是在执行签名命令时,出现“I am unable to access the ../../CA/newcerts directory”
修改 /etc/pki/tls/openssl.cnf 中“dir = ./CA”
而后:
- mkdir -p CA/newcerts
- touch CA/index.txt
- touch CA/serial
- echo "01" > CA/serial
再从新执行签名命令。
最后,把ca.crt的内容粘贴到www.webkaka.com.crt后面。这个比较重要!由于不这样作,可能会有某些浏览器不支持。
好了,如今https须要到的网站私钥www.webkaka.com.key和网站证书www.webkaka.com.crt都准备完毕。接下来开始配置服务端。
2、配置Nginx服务器
新开一个虚拟主机,并在server{}段中设置:
- listen 443;
- ssl on;
- ssl_certificate /path/to/www.webkaka.com.crt;
- ssl_certificate_key /path/to/www.webkaka.com.key;
其中的路径是刚刚生成的网站证书的路径。
而后使用一下命令检测配置和从新加载nginx:
检测配置:
- nginx -t
从新加载:
- nginx -s reload
3、优化nginx配置
一、优化nginx性能
在http{}中加入:
- ssl_session_cache shared:SSL:10m;
- ssl_session_timeout 10m;
据官方文档所述,cache中的1m能够存放4000个session。
在配置https的虚拟主机server{}中加入:
- keepalive_timeout 70;
二、有时在phpMyAdmin等程序登入后会错误地跳转http的问题。
解决方法是定位至 “location ~ .*\.(php|php5)?${}” 在include fcgi.conf;或者在fastcgi_param配置后面加上:
- fastcgi_param HTTPS on;
- fastcgi_param HTTP_SCHEME https;
在这里是nginx官方的关于https的文档:
参考:
https://www.cnblogs.com/weifeng1463/p/7943633.html
http://www.webkaka.com/tutorial/server/2017/040516/
https://www.cnblogs.com/chasewade/p/7661290.html