柚子快報(bào)邀請(qǐng)碼778899分享：Https自簽名證書

http://yzkb.51969.com/

openSSL下載

https://slproweb.com/products/Win32OpenSSL.html

1_整體流程

（1）https介紹

HTTPS 是 Hypertext Transfer Protocol Secure 的簡(jiǎn)稱，是基于 SSL 加密方式的 HTTP 協(xié)議

（2）CA機(jī)構(gòu)介紹

介紹：CA機(jī)構(gòu)是SSL證書認(rèn)證或者說頒發(fā)機(jī)構(gòu)，但是CA機(jī)構(gòu)并不是只此一家，只要有相應(yīng)的算法，每個(gè)人都可以做CA機(jī)構(gòu)，但是只有公信力或者說權(quán)威性得到廣大用戶認(rèn)可的CA機(jī)構(gòu)頒發(fā)的證書在瀏覽器中才會(huì)被認(rèn)可，不被認(rèn)可的機(jī)構(gòu)頒發(fā)的ssl證書會(huì)在瀏覽器中提示“不被信任的鏈接”。

生成CA機(jī)構(gòu)：使用openssl工具里面的開源算法生成私鑰key和公鑰csr，然后再生成證書即可crt

（3）生成自簽名證書流程

生成SSL的私鑰key和公鑰csr，然后把公鑰給ca機(jī)構(gòu)，使用ca機(jī)構(gòu)的證書進(jìn)行認(rèn)證并生成SSL證書crt

2_代碼

生成ssl私鑰

openssl genrsa -des3 -out server.key

生成ssl公鑰

openssl.exe req -new -key server.key -out pub.csr

生成ca公鑰

req -new -key myca.key -out myca.csr

生成ca根證書

x509 -req -in myca.csr -extensions v3_ca -signkey myca.key -out myca.crt

使用ca跟證書給ssl簽名并生成ssl證書

x509 -days 1095 -req -in pub.csr -extensions v3_req -CAkey myca.key -CA myca.crt -CAcreateserial -out server.crt

配置nginx

server {

listen 8926;

server_name perstest.hebut.edu.cn;

ssl_certificate /data/ca_and_ssl/server.crt

ssl_certificate_key /data/ca_and_ssl/server.key

location /{

root /usr/jibei-html-dist;

index index.html index.htm;

}

3_ 遇到的問題

啟動(dòng)nginx報(bào)錯(cuò)nginx: [emerg] the “ssl” parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:152

原因：安裝nginx的時(shí)候沒有安裝ssl模塊

解決辦法：https://blog.csdn.net/qq_27164017/article/details/135653135?spm=1001.2101.3001.6650.2&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EYuanLiJiHua%7EPosition-2-135653135-blog-95622649.235%5Ev43%5Econtrol&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EYuanLiJiHua%7EPosition-2-135653135-blog-95622649.235%5Ev43%5Econtrol

安裝openssl在linux中：yum install openssl-devel -y

如果nginx沒有ssl模塊的話需要重裝

解壓nginx安裝包進(jìn)入目錄執(zhí)行命令：./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module

配置完nginx之后啟動(dòng)不起來對(duì)應(yīng)的端口

報(bào)錯(cuò)SSL: error:0906406D:PEM routines:PEM_def_callback:problems getting password error:0906A068:PEM routines:PEM_do_header:bad password read

查詢得知nginx不支持輸入密碼訪問ssl秘鑰，所以需要生成一個(gè)沒有密碼就能訪問的秘鑰

mv server.key server_pass.key

openssl rsa -in server_pass.key -out server.key

https://www.dell.com/support/kbdoc/zh-tw/000208401/data-protection-search-dpsearch-nginx-service-fail-to-start-after-installing-new-ssl-certificate

4_其他方式

https://www.cnblogs.com/littleatp/p/5922362.html

柚子快報(bào)邀請(qǐng)碼778899分享：Https自簽名證書

http://yzkb.51969.com/

相關(guān)文章