简易实现HTTPS之自签名证书
发布时间:09/01 来源:未知 浏览:
关键词:
![](/uploads/allimg/200930/202009031612524952912109.jpg)
【相关学习引荐:php编程(视频)】
自写证书往往用于学习或者测试环境,假如项目商业化运转,应当购置权威第三方 CA 机构颁布的证书。
Apache 中摆设 HTTPS
创立名目 /etc/httpd/ca
,施行命令
# 非对称加密 rsa 算法生成2048 比特位的私钥 openssl genrsa -out server.key 2048
生成 csr 证书签名恳求文件
# 指定私钥 server.key 生成新的 server.csr 文件 openssl req -new -key server.key -out server.csr
填写注册信息,这一栏填写本人的域名或者 IP 地址。
Common Name (eg, your name or your server's hostname) []:lamp.test.com
将新生成的私钥和证书拷贝至 ssl 配置名目。
cp server.key /etc/pki/tls/private/cp server.crt /etc/pki/tls/certs/
更换 ssl.conf
配置文件
拜访 https://lamp.test.com
证书有效期由此前的 1 年 变成了 10 年。
Nginx 中摆设 HTTPS
第一查看本机 nginx 可否安置 http_ssl_module
模块,假如没有就源码重装 nginx ,使用参数 --with-http_ssl_module
。
nginx -V
进入 /etc/ssl
名目,施行命令
# 使用 des3 算法 生成 4096 比特位效劳器私钥 openssl genrsa -des3 -out server.key 4096# 生成证书签名恳求文件 openssl req -new -key server.key -out server.csr # 生成 4096 位 ca 私钥 openssl genrsa -des3 -out ca.key 4096# 去除效劳器私钥幸免今后每次载入文件需要输入密码 openssl rsa -in server.key -out server.key # 以 x509 证书格局标准生成 10 年的 crt ,留意填写域名或者 IP 地址 openssl req -new -x509 -key ca.key -out ca.crt -days 3650# 恳求有效期为 3650 天 传入文件为server.csr 指定 CA 文件为 ca.crt 指定私钥文件为ca.key 并主动创立 CA 序列文件 输出证书文件 server.crt 至此签名成功 openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
修改 nginx 配置文件
listen 80;# 监听 443 端口 listen 443 ssl;server_name lnmp.test.com;# 配置效劳器证书 ssl_certificate /etc/ssl/server.crt;# 配置效劳器私钥 ssl_certificate_key /etc/ssl/server.key;
重新启动 nginx
nginx -t nginx -s reload
拜访 lnmp.test.com
成功实现 nginx 简易摆设 HTTPS 。