第一步,爲服務器端和客戶端準備公鑰、私鑰
// 生成服務器端私鑰
openssl genrsa -out server.key 1024
// 生成服務器端公鑰
openssl rsa -in server.key -pubout -out server.pem
第二步,生成 CA 證書
// 生成 CA 私鑰
命令:openssl genrsa -out ca.key 1024
命令:openssl req -new -key ca.key -out ca.csr
命令:openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
在第二步第二條時會出來一個填寫資料的界面(下面就是 填寫示例)
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:FoShan
Organization Name (eg, company) [Internet Widgits Pty Ltd]:TestCA
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:localhost //這裏填寫你的域名
Email Address []:
這裏有點要注意, Common Name (e.g. server FQDN or YOUR name) []: 這一項,是最後可以訪問的域名,我這裏爲了方便測試,寫成 localhost ,如果是爲了給網站生成證書,需要寫成 xxxx.com 。
第三步,生成服務器端證書
// 服務器端需要向 CA 機構申請簽名證書,在申請簽名證書之前依然是創建自己的 CSR 文件
命令:openssl req -new -key server.key -out server.csr
// 向自己的 CA 機構申請證書,簽名過程需要 CA 的證書和私鑰參與,最終頒發一個帶有 CA 簽名的證書
命令:openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt
同樣會有信息填寫,照舊寫就好了
第四步,生成cer文件
//使用openssl 進行轉換
命令:openssl x509 -in server.crt -out server.cer -outform der
如果完成,就會得到這麼9個文件
第五步 NGINX部署
很多文章說要部署server.pem 文件作爲證書, 我部署後NGINX總是識別格式有問題, 換成server.crt文件後就好了
下面是nginx.conf的配置文件(配置文件的位置可以使用 nginx -t 來查看)
...............
server {
listen 80 ;
server_name test.xiezc.com;
# 配置http 協議自動轉成 https協議
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl;
server_name test.xiezc.com;
# 這裏未來便於識別, 將上面的server.pem 改成了test-xiezc-com.crt
# server.key 同理
ssl_certificate /home/xiezc/cert/test-xiezc-com.crt;
ssl_certificate_key /home/xiezc/cert/test-xiezc-com.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root /home/xiezc/www/audio;
index index.html index.htm;
}
location /ai {
proxy_pass http://localhost:8082;
proxy_set_header X-real-ip $remote_addr;
proxy_set_header Host $http_host;
}
}
............
重啓NGINX
ngxin -s reload