nginx配置https及Android客户端访问自签名证书
2017-04-25 15:06
766 查看
前一篇随笔通过keytool生成keystore并为tomcat配置https,这篇随笔记录如何给nginx配置https。如果nginx已配置https,则tomcat就不需要再配置https了。
通过以下三步生成自签名证书
# 生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输,
# 输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护
> openssl genrsa -des3 -out selfsign.key 4096
# 使用上面生成的key,生成一个certificate signing request (CSR)
# 如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题,
# 其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。
> openssl req -new -key selfsign.key -out selfsign.csr
# 生成Self Signed证书 selfsign.crt就是我们生成的证书了
> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt
nginx配置https简单,用nginx中ssl模块即可添加配置如下:
#https默认端口是443,不是80
listen 443;
#为一个server开启ssl支持
ssl on;
#为虚拟主机指定pem格式的证书文件
#ssl_certificate D:/keys/selfsign.crt;
#为虚拟主机指定私钥文件
#ssl_certificate_key D:/keys/selfsign.key;
通过以上即可通过浏览器访问443端口了,这时浏览器提示证书无效,继续访问即可。
如果使用自己的客户端访问则提示证书无效,需要把证书信息添加到客户端中,同时需要在生成证书的时候添加SAN信息。
生成证书如下:
1、证书生成配置文件san.conf如下:
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = SiChuan
localityName = Locality Name (eg, city)
localityName_default = ChengDu
organizationName = Organization Name (eg, company)
organizationName_default = xxxxx Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = xxxxxxx
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_default = *.xxxx.com
commonName_max = 64
[v3_req]
basicConstraints = CA:TRUE
subjectAltName = @alt_names
[alt_names]
#根据需要可以添加多个,我在测试时使用内网IP,一直提示hostname not verified ,后来在这里添加了自己的ip就可以了
IP.1 = 192.168.140.11
IP.2 = 192.168.140.12
DNS.1 = www.xxxx.com
生成证书指令:
# 生成 CA 的 RSA 密钥对
openssl genrsa -des3 -out selfsign.key 4096
# 自签发 CA 证书
openssl req -new -x509 -days 365 -key selfsign.key -out selfsign.crt -extensions v3_req -config san.cnf
# 查看证书内容
openssl x509 -in selfsign.crt -noout -text
android客户端访问https示例使用了okhttp框架,webview访问https服务。地址:http://code.taobao.org/svn/learningtips/AndroidHttpsTest
通过以下三步生成自签名证书
# 生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输,
# 输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护
> openssl genrsa -des3 -out selfsign.key 4096
# 使用上面生成的key,生成一个certificate signing request (CSR)
# 如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题,
# 其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。
> openssl req -new -key selfsign.key -out selfsign.csr
# 生成Self Signed证书 selfsign.crt就是我们生成的证书了
> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt
nginx配置https简单,用nginx中ssl模块即可添加配置如下:
#https默认端口是443,不是80
listen 443;
#为一个server开启ssl支持
ssl on;
#为虚拟主机指定pem格式的证书文件
#ssl_certificate D:/keys/selfsign.crt;
#为虚拟主机指定私钥文件
#ssl_certificate_key D:/keys/selfsign.key;
通过以上即可通过浏览器访问443端口了,这时浏览器提示证书无效,继续访问即可。
如果使用自己的客户端访问则提示证书无效,需要把证书信息添加到客户端中,同时需要在生成证书的时候添加SAN信息。
生成证书如下:
1、证书生成配置文件san.conf如下:
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = SiChuan
localityName = Locality Name (eg, city)
localityName_default = ChengDu
organizationName = Organization Name (eg, company)
organizationName_default = xxxxx Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = xxxxxxx
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_default = *.xxxx.com
commonName_max = 64
[v3_req]
basicConstraints = CA:TRUE
subjectAltName = @alt_names
[alt_names]
#根据需要可以添加多个,我在测试时使用内网IP,一直提示hostname not verified ,后来在这里添加了自己的ip就可以了
IP.1 = 192.168.140.11
IP.2 = 192.168.140.12
DNS.1 = www.xxxx.com
生成证书指令:
# 生成 CA 的 RSA 密钥对
openssl genrsa -des3 -out selfsign.key 4096
# 自签发 CA 证书
openssl req -new -x509 -days 365 -key selfsign.key -out selfsign.crt -extensions v3_req -config san.cnf
# 查看证书内容
openssl x509 -in selfsign.crt -noout -text
android客户端访问https示例使用了okhttp框架,webview访问https服务。地址:http://code.taobao.org/svn/learningtips/AndroidHttpsTest
相关文章推荐
- certbot在Centos7上配置合法签名证书,实现nginx的https访问
- certbot在Centos7上配置合法签名证书,实现nginx的https访问
- HTTPS-Linux服务器Nginx配置、Android客户端证书生成
- certbot在Centos7上配置合法签名证书,实现nginx的https访问
- nginx 配置https并自签名证书
- nginx证书制作以及配置https并设置访问http自动跳转https(反向代理转发jboss)
- android_https踩坑(1)自签名证书OkHttp无法访问
- Windows下Tomcat+nginx配置证书实现登录页https访问
- Windows下Tomcat+nginx配置证书实现登录页https访问
- Windows下Nginx配置SSL实现Https访问(包含证书生成)
- Nginx 配置 HTTPS自签名证书
- nginx 设置自签名证书以及设置网址http强制转https访问
- 为nginx配置https并自签名证书
- 如何通过手机客户端Android、Iphone 等访问要求使用客户端证书SSL加密的https网站
- Windows下Nginx配置SSL实现Https访问(包含证书生成)
- Windows下Nginx配置SSL实现Https访问(包含证书生成)
- Windows下Nginx配置SSL实现Https访问(包含证书生成) Windows下Nginx配置SSL实现Https访问(包含证书生成) 首先要说明为什么要实现https? HTT
- [转]Android上实现带自签名客户端证书的双向校验HTTPS连接
- Windows下Nginx配置SSL实现Https访问(包含证书生成)
- Windows下Nginx配置SSL实现Https访问(包含证书生成)