nginx 配置本地https(免費證書)
Linux系統下生成證書
生成祕鑰key,執行:
$ openssl genrsa -des3 -out server.key 2048
1
會有兩次要求輸入密碼,輸入同一個即可
輸入密碼
然後你就獲得了一個server.key檔案.
以後使用此檔案(通過openssl提供的命令或API)可能經常回要求輸入密碼,如果想去除輸入密碼的步驟可以使用以下命令:
$ openssl rsa -in server.key -out server.key
建立伺服器證書的申請檔案server.csr,執行:
openssl req -new -key server.key -out server.csr
其中Country Name填CN,Common Name填主機名也可以不填,如果不填瀏覽器會認為不安全.(例如你以後的url為https://abcd/xxxx….這裡就可以填abcd),其他的都可以不填.
建立CA證書:
openssl req -new -x509 -key server.key -out ca.crt -days 3650
此時,你可以得到一個ca.crt的證書,這個證書用來給自己的證書籤名.
建立自當前日期起有效期為期十年的伺服器證書server.crt:
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt
ls你的資料夾,可以看到一共生成了5個檔案:
ca.crt ca.srl server.crt server.csr server.key
1
其中,server.crt和server.key就是你的nginx需要的證書檔案.
三、如何配置nginx
開啟你的nginx配置檔案,搜尋443找到https的配置,去掉這段程式碼的註釋.或者直接複製我下面的這段配置:
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /root/Lee/keys/server.crt;#配置證書位置
ssl_certificate_key /root/Lee/keys/server.key;#配置祕鑰位置
#ssl_client_certificate ca.crt;#雙向認證
#ssl_verify_client on; #雙向認證
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
將ssl_certificate改為server.crt的路徑,將ssl_certificate_key改為server.key的路徑.
nginx -s reload 過載配置
至此,nginx的https就可以使用了,預設443埠.
如果出現報錯資訊:
nginx: [emerg] BIO_new_file("/user/local/nginx/temp/server.crt") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/user/local/nginx/temp/server.crt','r') error:2006D080:BIO routines:BIO_new_file:no such file)
把server.crt 和server.key 檔案放在nginx/conf資料夾下。(和nginx.conf檔案同一資料夾)
ssl_certificate server.crt;
ssl_certificate_key server.key;