Linux系统下生成证书nginx
生成秘钥key,运行:浏览器
$ openssl genrsa -des3 -out server.key 2048
1
会有两次要求输入密码,输入同一个便可安全
输入密码服务器
而后你就得到了一个server.key文件.
之后使用此文件(经过openssl提供的命令或API)可能常常回要求输入密码,若是想去除输入密码的步骤可使用如下命令:session
$ openssl rsa -in server.key -out server.key
建立服务器证书的申请文件server.csr,运行:url
openssl req -new -key server.key -out server.csr
其中Country Name填CN,Common Name填主机名也能够不填,若是不填浏览器会认为不安全.(例如你之后的url为https://abcd/xxxx….这里就能够填abcd),其余的均可以不填.
建立CA证书:spa
openssl req -new -x509 -key server.key -out ca.crt -days 3650
此时,你能够获得一个ca.crt的证书,这个证书用来给本身的证书签名.
建立自当前日期起有效期为期十年的服务器证书server.crt:server
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt
ls你的文件夹,能够看到一共生成了5个文件:ip
ca.crt ca.srl server.crt server.csr server.key
1
其中,server.crt和server.key就是你的nginx须要的证书文件.
3、如何配置nginxssl
打开你的nginx配置文件,搜索443找到https的配置,去掉这段代码的注释.或者直接复制我下面的这段配置:
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /root/Lee/keys/server.crt;#配置证书位置
ssl_certificate_key /root/Lee/keys/server.key;#配置秘钥位置
#ssl_client_certificate ca.crt;#双向认证
#ssl_verify_client on; #双向认证
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
将ssl_certificate改成server.crt的路径,将ssl_certificate_key改成server.key的路径.
nginx -s reload 重载配置
至此,nginx的https就可使用了,默认443端口.
若是出现报错信息:
nginx: [emerg] BIO_new_file("/user/local/nginx/temp/server.crt") failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/user/local/nginx/temp/server.crt','r') error:2006D080:BIO routines:BIO_new_file:no such file)
把server.crt 和server.key 文件放在nginx/conf文件夹下。(和nginx.conf文件同一文件夹)
ssl_certificate server.crt;ssl_certificate_key server.key;