2. 程式人生 > >nginx 配置自簽名的ssl證書

nginx 配置自簽名的ssl證書

阿新 發佈:2019-01-11

最近要搭一個https的測試環境,使用nginx做反向代理。

網上找過不少資料,但過程不是很完整,吃了不少虧,故把自己的操作過程總結下來。如果你剛好遇到這個問題,希望對你有幫助!

********************************分割線*************************

使用java自帶jdk生成ssl自簽名證書(以生成uat環境的ssl證書為例)

1、開啟cmd命令視窗,指定使用RSA演算法生成一個頒發證書的機構,

執行命令:keytool -genkey -alias uat -keypass password -keyalg RSA -keysize 1024 -validity 365 -keystore D:/UAT/KEY/uat.keystore -storepass password

2、使用export命令匯出cer證書:

執行命令:keytool -export -alias uat -keystore D:/UAT/KEY/uat.keystore -storepass password -rfc -file D:/UAT/KEY/uat.cer

3、因為keytool不提供命令匯出私鑰,所以需要編寫java類匯出key,測試類如下:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

package test;

import java.io.FileInputStream;

import java.security.KeyStore;

import java.security.PrivateKey;

import sun.misc.BASE64Encoder;

public class SslKey {

public static KeyStore getKeyStore(String keyStorePath, String password) throws Exception {

FileInputStream is = new FileInputStream(keyStorePath);

KeyStore ks = KeyStore.getInstance("JKS");

ks.load(is, password.toCharArray());

is.close();

return ks;

}

public static PrivateKey getPrivateKey() {

try {

BASE64Encoder encoder = new BASE64Encoder();

KeyStore ks = getKeyStore("D:/UAT/key/uat.keystore""password");

PrivateKey key = (PrivateKey) ks.getKey("uat""password".toCharArray());

String encoded = encoder.encode(key.getEncoded());

System.out.println("-----BEGIN RSA PRIVATE KEY-----");

System.out.println(encoded);

System.out.println("-----END RSA PRIVATE KEY-----");

return key;

catch (Exception e) {

return null;

}

}

public static void main(String[] args) {

getPrivateKey();

}

}

算出key值如下:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

-----BEGIN RSA PRIVATE KEY-----

MIICdwIBADANBgkqhkiG9w0BAQEFAASCAmEwggJdAgEAAoGBAI4MMsT9ZUQg2ADjy2D3ZLxCz3QJ

mWX6TNzn66tsTCE1Dn+5WFwfL3tUSgcT+YHW6v6XG2Ph0d+4BHR9pvWtkcOi5YOt3MIcgwcWooez

5IyCTbGEYEpjtA6h2HVJs0fYZ2tf80KM4oxw3tW5sNXRNwtJ6rNiJ0lNbNgS4iWkXpyNAgMBAAEC

gYEAgFw5jJVG6zeaucMfR7KHTzA4cy0xd1umFYFmD3Q/n0ponbaJSEXODG5wrtC4CUKC/CjkUXAA

zV9mdzYMp7l/G6Tg2d47j7wRMfPSFi/Z/Q3p5bjV+hf2FOREuGB3L7NvaxpGXn+/Jw1eU6XGYHFT

t4BNeNgH/UNxfpGOqRAAMCkCQQDZ84LI2IQT2yzGVYsJbm1sDkZxVINSMlVF2AjJV0F1VHfCzogX

S979jG+ohQ18kjapC8ae9BG03dbhcMPff3irAkEApth4ZVE65angMCyTQJjoINfJeIKYsc0Og/H7

sM0+rvM/GTUvmIjx9GRrh9IlThBihp56EM55lsh0Go2ZEi6vpwJABCZ+9xQob7hcweofG67eppAf

B0l0trv+o7XZdPwUYweYwDzumoL3XBywg6UE/LpMECwJPD2pmKggz2o2UKs8wQJAXKkKLFKxoAz5

KigHW6/P8zWEeb4l6VEVx6ejfaxvLKCBIZHNLiyYG3+NzK+j8jfdUCBBcIYLNvd6q6iKI3P0LwJB

AKkB/YAmvhS219fo2nDP4ds/ICe2xsatum2Yc29nihKQ2p/5DxhLfBaSfoeb21+wpX9b5BrNxM/w

BKoG0YUvsjQ=

-----END RSA PRIVATE KEY-----

新建一個uat.key命名的檔案,把key的內容貼上到這個資料夾裡面:

4、到這一步,已經可以將cer證書(若需要crt證書,可以直接把cer證書檔案的字尾改為crt即可)配置到nginx中使用,但是使用此時的key需要每次訪問的時候輸入一次密碼,相當麻煩。所以最好對key檔案再ssl免密碼操作一次。步驟如下:

在windows上安裝openssl轉換工具:

Win64OpenSSL-1_0_2c.exe

vcredist_x64.exe

然後再將openss的bin目錄配置到系統環境變數裡:

執行命令:rsa -in D:\UAT\key\uat.key -out D:\UAT\key\uat.key.unsecure

5、把證書檔案拷貝到測試環境,並配置nginx的config檔案(我事先把uat.cer檔案改名為uat.crt),如:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

server {

listen 443;

server_name www.uat.com;

ssl on;

ssl_certificate D:/UAT/KEY/uat.crt;

ssl_certificate_key D:/UAT/KEY/uat.key.unsecure;

#charset koi8-r;

access_log  logs/www.uat.com.log  main;

proxy_set_header       Host $host; 

proxy_set_header  X-Real-IP  $remote_addr; 

proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for; 

proxy_set_header  X-Forwarded-Proto  $scheme;

location / {

proxy_pass   http://www.uat.com;

}

error_page   500 502 503 504  /error.html;

location = /error.html {

root   html;

}

}

重啟nginx即可實現https訪問。因為是自簽名的證書,所以瀏覽器訪問時需要先手動信任一下。

各步驟命令彙總:

1

2

3

4

5

6

7

keytool -genkey -alias uat -keypass password -keyalg RSA -keysize 1024 -validity 365 -keystore D:/UAT/KEY/uat.keystore -storepass password

keytool -export -alias uat -keystore D:/UAT/KEY/uat.keystore -storepass password -rfc -file D:/UAT/KEY/uat.cer

--使用SslKey.java轉換key

OpenSSL> rsa -in D:\UAT\key\uat.key -out D:\UAT\key\uat.key.unsecure

相關推薦

linux系統簽發免費ssl證書,為nginx生成簽名ssl證書

optional signature dir linux call 系統 quit 手動 intern 安裝nginx可參考:nginx重新編譯支持ssl可參考:接下來手動配置ssl證書:自己手動頒發證書的話,那麽https是不被瀏覽器認可的,就是https上面會有一個大紅

Nginx配置簽名ssl

Nginx ("engine x") 是一個高效能的HTTP和反向代理伺服器,也是一個IMAP/POP3/SMTP伺服器。 實驗環境:ubuntu14.04(阿里雲伺服器) 首先安裝Nginx:apt-get install nginx-full(如果沒有的話,使用命令

nginx 配置簽名ssl證書

最近要搭一個https的測試環境,使用nginx做反向代理。 網上找過不少資料,但過程不是很完整,吃了不少虧,故把自己的操作過程總結下來。如果你剛好遇到這個問題,希望對你有幫助! ********************************分割線*********

【倒騰HTTPS】Nginx for Docker簽名SSL證書

前言          合格的web程式設計師, 必須能自由在 IIS、 Nginx、 Nginx for Docker上配置Https服務, 部落格最近將專題記錄 Https  &   Hsts

asp.net web api 使用簽名SSL證書

過程 位置 ora 返回 source 服務器 點擊 分享 projects 1自簽名SSL證書的創建 創建自簽名SSL工具xca為:https://sourceforge.net/projects/xca/ 創建過程 1)創建根證書 打開軟件,界面如下

Android HTTPS如何10分鐘實現簽名SSL證書

前言 去年公司內一個應用加了支付寶支付功能,為了保證安全,支付請求連結寫成了https。 由於公司伺服器使用的是的自簽名證書,而在Android系統中自己簽署的不能通過驗證的,所以會丟擲錯誤。 於是我網上查找了很多資料,也嘗試過幾種方法,過程都很繁瑣,搞了一通宵都不行。 幸

如何在Ubuntu 16.04中為Apache建立一套簽名SSL證書

內容介紹 TLS,全稱為傳輸層安全,及其前身SSL,全稱為安全巢狀層,都屬於將普通流量打包為受保護加密封裝的Web協議。 使用這項技術,伺服器能夠在伺服器與客戶間安裝傳輸資料,而無需擔心訊息為外部所截獲。其證書系統還能夠幫助使用者核實其所連線站點的身份。

Windows系統下建立簽名ssl證書

這篇博文中主要講述如何在windows系統中建立本地SSL證書。 1.環境準備 1.1 系統環境:windows xp及以上 1.2 軟體環境:openssl-0.9.8k_WIN32 下載地址1: 七牛雲端儲存 下載地址2: 百度雲

Nginxssl證書建立及配置方法

場景: Nginx使用自籤ssl證書實現https連線。 方法: 第一步:使用OpenSSL建立證書 #建立伺服器私鑰(過程需要輸入密碼,請記住這個密碼)生成RSA金鑰 >openssl genrsa -des3 -out server.key 1024 #生成一個證

CentOS 7 Nginx Let’ s Encrypt SSL 證書安裝配置

https取代http是大勢所趨,越來越多的網站都改用https了。從16年起,蘋果公司就要求開發者使用https替代http,前期還可以通過調整應用的配置允許http通訊,到後來使用https成了強制要求。 對於個人開發者和小公司而言,很多時候不過是在伺服器進行一些簡單的

通過Authentication Challenge來信任簽名Https證書

就會 ace 中一 rust 進行 tostring 網絡相關 alt policy 在開發階段我們我們經常使用自簽名的證書來部署我們的後臺rest api。但是在iOS中調用的時候就會因為證書不被信任而調用api不成功。這時候我們就需要通過實現某些網絡回調函數來自定義證書

apache環境下配置多個ssl證書搭建多個站點

inf highlight from rtu include req cto 登錄 證書 服務器上有兩個項目,都要配置https,所以在阿裏雲申請了兩個二級的免費證書。 博主用的是phpstudy,如果用的其他集成環境,其實也差不多,參考下改改就好了。 一.申請證書(這裏我

nginx 配置本地https(免費證書)

Linux系統下生成證書 生成祕鑰key,執行: $ openssl genrsa -des3 -out server.key 20481會有兩次要求輸入密碼,輸入同一個即可 輸入密碼 然後你就獲得了一個server.key檔案. 以後使用此檔案(通過openssl提供的命令或API)可能經常回要求輸

springboot專案配置阿里雲ssl證書,http轉https

環境:springboot專案 版本:1.5.8.realse 證書型別: .pfx 伺服器:阿里雲centos主機 申請阿里雲ssl證書,免費和貴的都有(或者自己用工具生成的證書用法一致) 開放伺服器443埠 下載證書,將證書放到resource目錄下

使用Docker安裝Seafile雲盤專業版,並配置域名及SSL證書

說明:Seafile是一個開源的檔案雲端儲存平臺,主要是為團隊設計的,功能很多,使用者可加密資料庫,且密碼不會儲存在伺服器端,管理員也無權訪問你的檔案。使用者之間也可以共享和同步檔案,方便了團隊協同工作。其版本分為開源免費版和專業版,兩者區別挺大的,比如專業版多了搜尋、叢集、亞馬遜S3、Ceph、阿里雲

Tomcat配置簽名https

從JDK中找到keytool.exe,隨便複製到一個方便的目錄,在命令列中進入這個目錄。 第一步:為伺服器生成證書 tomcat.keystore,名字就是域名,其他的看著寫。 keytool -genkey -v -alias tomcat -keyalg R

為禪道開源版啟用簽名SSL

禪道總體說來是不錯的專案管理工具,除了為了相容瀑布,搞得有點彆扭之外。 禪道也沒有提供簡單的一鍵啟用SSL的方法,所以花了一點時間。 首先禪道基於Apache Haus釋出,方便做SSL。但是禪道的釋出沒有一些必須的module,比如 mod_socache_shmcb.

使用微軟makecert.exe 生成一個簽名證書

準備工具:makecert.zip 工具在壓縮包裡 準備命令:makecert -r -pe -n "CN=這裡寫證書名稱" -b 01/01/2000 -e 01/01/2036 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localMachine

SignalR具有簽名SSL主機

SignalR具有自簽名SSL和自主機   在研究中試過我的運氣,但到目前為止還沒有快樂。 我想將SignalR javascript客戶端連線到自簽名的SignalR Windows服務繫結到自簽名SSL證書。 我的應用程式在htt

1個 Tomcat 配置 多個 SSL 證書域名 共有80埠

單個Tomcat配置多個域並配置多個證書 http://blog.csdn.net/baidu_18607183/article/details/51983439 Tomcat 9 配置多個虛擬主機與HTTPS證書 多個虛擬主機 公用1個埠 http://