當前位置：首頁 > server > anz > 詳細頁面

Nginx使用自簽ssl證書實現https連接的方法

時間：2022-07-18來源：www.outletmksalestore.com作者：電腦系統城

場景

Nginx使用自簽ssl證書實現https連接。

使用OpenSSL創建證書

建立服務器私鑰（過程需要輸入密碼，請記住這個密碼）生成RSA密鑰

1	`openssl genrsa -des3 -out server.key 1024`

生成一個證書請求

1	`openssl req -new -key server.key -out server.csr`

需要依次輸入國家，地區，組織，email。最重要的是有一個common name，可以寫你的名字或者域名。如果為了https申請，這個必須和域名吻合，否則會引發瀏覽器警報。生成的csr文件交給CA簽名后形成服務端自己的證書

1
2
3
4
5
6
7
8
9
10
11
12 #---------------------------------------------------------------------------------------------------------------
Enter pass phrase for server.key: #之前輸入的密碼
Country Name (2 letter code) [XX]: #國家
State or Province Name (full name) []: #區域或是省份
Locality Name (eg, city) [Default City]: #地區局部名字
Organization Name (eg, company) [Default Company Ltd]: #機構名稱：填寫公司名
Organizational Unit Name (eg, section) []: #組織單位名稱:部門名稱
Common Name (eg, your name or your server's hostname) []: #網站域名
Email Address []: #郵箱地址
A challenge password []: #輸入一個密碼，可直接回車
An optional company name []: #一個可選的公司名稱，可直接回車
#---------------------------------------------------------------------------------------------------------------

輸入完這些內容，就會在當前目錄生成server.csr文件

1	`cp` `server.key server.key.org`

1	`openssl rsa -in server.key.org -out server.key`

使用上面的密鑰和CSR對證書進行簽名

1 2	`#以下命令生成v1版證書` `openssl x509 -req -days 365 -sha256 -in` `server.csr -signkey server.key -out servernew.crt`

以下命令生成v3版證書

1	`openssl x509 -req -days 365 -sha256 -extfile openssl.cnf -extensions v3_req -in server.csr -signkey server.key -out servernew.crt`

v3版證書另需配置文件openssl.cnf，該文件內容詳見博客《OpenSSL生成v3證書方法及配置文件》

至此，證書生成完畢！

附常用對證書的操作：

查看key、csr及證書信息

1
2
3 openssl rsa -noout -text -in myserver.key
openssl req -noout -text -in myserver.csr
openssl x509 -noout -text -in ca.crt

不同格式證書的轉換

PKCS轉換為PEM

1	`openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes`

PEM轉換為DER

1	`openssl x509 -outform der -in myserver.pem -out myserver.[der\|crt]`

PEM提取KEY

1	`openssl RSA -in myserver.pem -out myserver.key`

DER轉換為PEM

1	`openssl x509 -inform der -in myserver.[cer\|crt] -out myserver.pem`

PEM轉換為PKCS

1	`openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt`

Nginx下ssl配置方法

首先，確保安裝了OpenSSL庫，并且安裝Nginx時使用了–with-http_ssl_module參數。

證書拷至nginx目錄，配置如下server

1
2
3
4
5
6
7
8
9
10
11 server {
listen 443 ssl;
server_name your.domain.name;
index index.html index.htm index.php;
ssl on;
ssl_certificate ssl/hotyq.com.crt;
ssl_certificate_key ssl/hotyq.com.key;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}