2. 程式人生 > 實用技巧 >自建nginx的ssl證書

自建nginx的ssl證書

阿新 發佈:2020-07-15

環境:centos7.6、主機名稱:demod.example.com、需要nginx支援ssl模組(參考:https://www.cnblogs.com/wukc/p/13289553.html

1、建立目錄

mkdir /usr/local/nginx/ssl_key
cd /usr/local/nginx/ssl_key

2、建立private.key

[root@localhost ssl_key]# openssl genrsa -out private.key 1024
Generating RSA private key, 1024 bit long modulus
.........................
 
++++++
..........++++++
e is 65537 (0x10001)
[root@localhost ssl_key]# ls
private.key
# -out 引數指定金鑰檔案存放的位置和名字,1024是指金鑰檔案的長度,一般為1024或者2048

3、建立cert_req.csr檔案

[root@localhost ssl_key]# openssl req -new -key private.key -out cert_req.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 
 
'.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:sc
Locality Name (eg, city) [Default City]:cd
Organization Name (eg, company) [Default Company Ltd]:sh
Organizational Unit Name (eg, section) []:sh
Common Name (eg, your name or your server
 
's hostname) []:demod.example.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

[root@localhost ssl_key]# ll
total 8
-rw-r--r-- 1 root root 635 Jul 14 21:04 cert_req.csr
-rw-r--r-- 1 root root 887 Jul 14 20:52 private.key

# 指定金鑰金鑰檔案來生成一個ca請求
# 這個步驟會要求填入國家區域以及域名等資訊
# 最重要的一行是Common Name,需要填入與伺服器關聯的域名,或者是您伺服器的公共IP地址

4、建立server_cert.crt

[root@localhost ssl_key]# openssl x509 -req -days 365 -in cert_req.csr -signkey private.key -out server_cert.crt
Signature ok
subject=/C=cn/ST=sc/L=cd/O=sh/OU=sh/CN=demod.example.com
Getting Private key
#相關引數說明
req:此子命令指定我們要使用X.509證書籤名請求(CSR)管理。“X.509”是SSL和TLS為其金鑰和證書管理所遵循的公鑰基礎結構標準。我們想要建立一個新的X.509證書,所以我們使用這個子命令
-x509:通過告訴實用程式我們要建立自簽名證書而不是生成證書籤名請求(通常會發生)來進一步修改上一個子命令
-nodes:這告訴OpenSSL跳過用密碼保護我們的證書的選項。當伺服器啟動時,我們需要Nginx能夠在沒有使用者干預的情況下讀取檔案。密碼短語會阻止這種情況發生,因為我們必須在每次重啟後輸入密碼
-days 365:此選項設定證書被視為有效的時間長度。我們在這裡設定了一年

5、配置nginx.conf

worker_processes  1;
events {
    worker_connections  1024;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
    server {               
        listen   443    ssl;
        server_name demod.example.com;
        ssl_certificate /usr/local/nginx/ssl_key/server_cert.crt;
        ssl_certificate_key /usr/local/nginx/ssl_key/private.key;       
        ssl_session_cache  shared:SSL:1m;
        ssl_session_timeout 5m;
        ssl_ciphers HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;


        location / {
            root   html;
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }

}

6、登入nginx進行驗證

https://100.98.100.215/index.html

相關推薦

nginx的ssl證書

環境:centos7.6、主機名稱:demod.example.com、需要nginx支援ssl模組(參考:https://www.cnblogs.com/wukc/p/13289553.html)

【轉載】OpenSSLCA和簽發二級CA及頒發SSL證書

自己簽發CA證書再簽發伺服器證書的場景非常簡單。把根CA證書匯入到瀏覽器後,就可以信任由這個根CA直接簽發的伺服器證書。但是實際上網站使用的證書肯定都不是由根CA直接簽發的,比如

12-STM32+CH395Q(乙太網)基本控制篇(物聯網平臺)-Android以SSL單向認證方式連線MQTT伺服器(不驗證伺服器證書)

<p><iframe name=\"ifd\" src=\"https://mnifdv.cn/resource/cnblogs/ZLIOTB/CH395Q/my.html\" frameborder=\"0\" scrolling=\"auto\" width=\"100%\" height=\"1500\"></iframe></p>

14-STM32F407+ESP8266基本控制篇(物聯網平臺)-STM32F407+ESP8266以SSL單向認證方式連線MQTT伺服器(不驗證伺服器證書)

<p><iframe name=\"ifd\" src=\"https://mnifdv.cn/resource/cnblogs/ZLIOTE_STM32F407/ESP8266/my.html\" frameborder=\"0\" scrolling=\"auto\" width=\"100%\" height=\"1500\"></iframe></

在華為雲上聊天平臺遇到的坑(開放埠)

618的時候買了一臺華為雲耀雲伺服器,然後在暑假的時候想要用伺服器做一點事情,想到在學校的時候有一個Java實驗是實現本地的聊天伺服器+聊天客戶端,當時做實驗的時候覺得好神奇,想著有朝一日要把這個簡易的聊天室

yum倉庫,分別為網路源和本地源

僅以部落格形式記錄linux所學,不足之處繼續優化 在windows上安裝軟體時我們一般需要將軟體從網頁上下載下來,然後安裝。在linux,想要安裝軟體,方法比較多。

阿里雲RDS與ECSmysql資料庫主從同步(GTID方式)

1、GTID的概念全域性事務標識:global transaction identifiers;GTID是一個事務一一對應,並且全域性唯一ID;一個GTID在一個伺服器上只執行一次,避免重複執行導致資料混亂或者主從不一致;GTID用來代替傳統複製方法

PerfDog4.0探索,支援使用者web雲

經過一段時間的優化,PerfDog4.0全新來襲,先來看看都更新了神馬 一,新版功能初探

ABAP 動態備份表資料到新表(表有資料的情況下要改欄位長度或者其他)

當abaper開發好一個程式給使用者使用一段時間後,發現某個欄位的長度需要修改,但資料庫表中已經存在很多資料,冒然直接改表字段可能會導致資料丟失,這種問題的後果可能非常嚴重。

Odoo快速入門與實踐 | 技術研發篇 | 應用入門

應用入門 github地址 https://github.com/rowrycho/Odoo_bug_manage 講解視訊地址 還在錄製...

ECS7天實踐進階訓練營Day5:使用ECS雲端下載伺服器

一、概述 CCAA是伺服器離線下載解決方案包,其元件中包含了Aria2提供了離線下載功能,能支援HTTP/HTTPS/FTP/BT/磁力鏈下載等常用離線下載模式及斷點續傳等功能。ccaa_web支撐於AriaNg執行,其中AiraNg為Aria2提供了W

Linux下OpenSSL籤ssl證書

0x00 介紹 OpenSSL是SSL/TLS協議的實現工具 key是私鑰檔案,用於對傳送給客戶端的資料加密,以及對從客戶端接收的資料進行解密。

ECSMySQL搭建MHA

背景 雲上不能直接通過命令建立VIP 需要通過呼叫API配置輔助IP實現VIP飄逸功能

本地伺服器,Web伺服器——保姆級教程!

搭建本地伺服器,Web伺服器——保姆級教程! 本文首發於https://blog.chens.life/How-to-build-your-own-server.html。

自己製作ssl證書:自己簽發免費ssl證書,為nginx生成簽名ssl證書

https://www.cnblogs.com/weifeng1463/p/7943633.html 這裡說下Linux 系統怎麼通過openssl命令生成 證書

用FRPTeamview連線避開商業檢測

導讀 teamview是一個專業的第三方遠端桌面操控軟體,有十餘年的經營歷史,對個人使用者免費,軟體質量和體驗都比較高。自從被蘇州某公司代理後,國內使用者使用teamview被商業檢測的頻率愈來愈高,儘管可以發郵件

Kubernetes實戰總結 - 阿里雲ECSK8S叢集

Kubernetes實戰總結 - 阿里雲ECSK8S叢集 一、概述 詳情參考阿里雲說明:https://help.aliyun.com/document_detail/98886.html?spm=a2c4g.11186623.6.1078.323b1c9bpVKOry

企業微信開發:應用配置可信域名

前言   企業微信應用配置網頁授權可信任域名(需要管理員許可權) 配置

建立簽名ssl證書_IT:如何建立簽名安全性(SSL)證書並將其部署到客戶端計算機...

建立簽名ssl證書 Developers and IT administrators have, no doubt, the need the deploy some website through HTTPS using an SSL certificate. While this process is pretty straightforward

到雲資料庫,DBA運維之路-3306π南京站

主題:3306π」南京站活動專訪餘成真《從到雲資料庫,DBA運維之路》 大綱: