为nginx配置https并自签名证书
2015-12-03 17:45
791 查看
1. 准备证书
1.1 制作CA证书
ca.key CA私钥
openssl genrsa -des3 -out ca.key 2048ca.crt CA根证书(公钥)
openssl req -new -x509 -days 7305 -key ca.key -out ca.crt1.2 制作生成网站的证书并用CA签名认证
假设网站域名为test.fengniaojr.com生成网站证书私钥
openssl genrsa -des3 -out test.fengniaojr.com.pem 1024制作解密后的网站证书私钥
openssl rsa -in test.fengniaojr.com.pem -out test.fengniaojr.com.key生成签名请求
openssl req -new -key test.fengniaojr.com.pem -out test.fengniaojr.com.csr在common name中填入网站域名,如test.fengniaojr.com即可生成改站点的证书,同时也可以使用泛域名如*.fengniaojr.com来生成所有二级域名可用的网站证书。
用CA进行签名
touch /etc/pki/CA/index.txtecho 00 > /etc/pki/CA/serial
openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in test.fengniaojr.com.csr -out test.fengniaojr.com.crt
现在网站私钥test.fengniaojr.com.key和网站证书test.fengniaojr.com.crt都准备完毕。接下来开始配置服务端。
2. 配置nginx
修改nginx配置文件http { ... ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ... } server{ ... listen 443; ssl on; ssl_certificate /path/to/test.fengniaojr.com.crt; ssl_certificate_key /path/to/test.fengniaojr.com.key; keepalive_timeout 70; ... }
修改防护墙配置,放开443端口
sudo vi /etc/sysconfig/iptables 添加: -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT 重启防护墙: sudo service iptables restart
相关文章推荐
- OpenSSL编程之RSA
- 怎样安装openssl 2011-12-11
- 如何正确使用Nodejs 的 c++ module 链接到 OpenSSL
- Java OpenSSL生成的RSA公私钥进行数据加解密详细介绍
- linux openssl基础介绍
- 使用openssl实现rsa非对称加密算法示例
- openSUSE下的Ruby安装openssl出错解决方法
- 一个检测OpenSSL心脏出血漏洞的Python脚本分享
- 针对OpenSSL安全漏洞调整Nginx服务器的方法
- docker 设置TLS远程访问
- AFNetworking+Nginx+HTTPS自签名服务器安全通信
- 图解openssl实现私有CA
- 使用Openssl验证证书链
- 使用openssl操作P12证书
- H3C交换机 802.1X+AD+CA+IAS进行802.1x身份验证
- CA新品简化应用问题解决
- mac 源码安装Openssl
- SSL和CA基础知识
- Windows XP下编译openssl-1.0.0 (上)