Step 1:配置創建證書的配置文件,以及創建證書
# vim /etc/pki/tls/openssl.cnf
45行修改爲dir = /etc/pki/CA
根據配置文件的需求創建相關的文件夾和文件
# mkdir certs crl newcerts
# touch index.txt serial
# echo 01 >>serial //初始化文件
創建私鑰
# openssl genrsa 1024 >private/cakey.pem
# chmod 600 private/cakey.pem
生成證書文件
Step 2:建立Nginx的安全目錄,並生成相關的私鑰和證書文件
# mkdir /usr/local/nginx/certs
# cd /usr/local/nginx/certs/
# openssl genrsa 1024 >nginx.key
# chmod 600 nginx.key
因爲小編的這臺服務器即作爲CA又作爲web服務器,所以可以證書申請的過程可以直接在本機做
生成證書
Step 3:修改nginx的配置文件,添加用於安全訪問的站點
server {
listen 192.168.111.10:443;
server_name www.zzu.com;
ssl on;
ssl_certificate /usr/local/nginx/certs/nginx.cert;
ssl_certificate_key /usr/local/nginx/certs/nginx.key;
ssl_session_timeout 5m;
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
Step 4:重啓nginx服務,修改客戶機的hosts文件並訪問
# pkill nginx
# /usr/local/nginx/sbin/nginx &
修改hosts文件
192.168.111.10 www.zzu.com
當首次訪問的時候會提示風險
既然沒有一個可信任的機構來承認這個證書,那麼小編就給一個機構唄,還記得小編最初給這臺服務器生成的CA證書嗎,web網站的證書就是這個CA發的,如果客戶端信任這個CA了,那不就信任web的證書了麼,那麼就來實現吧,原理是使用證書鏈,在發送web證書的時候附帶將其上級的證書帶過去
Step 5:修改web的證書,將CA的證書內容加進去,但是要注意加的順序,web證書的內容在前,CA證書在後
# cp /etc/pki/CA/cacert.pem /usr/local/nginx/certs
# cd /usr/local/nginx/certs/
# cat cacert.pem >> nginx.cert
重啓ngnix服務是必須的
# pkill nginx
# /usr/local/nginx/sbin/nginx &
客戶端訪問試試
繼續
繼續
GOON
點擊“是”
關閉瀏覽器重新打開試試
好啦,小編要實現的幾項已近完成了,當然這只是一些簡單的應用,在後面的博文中小編將會介紹如何搭建”LNMP”,敬請關注哈。。。。。