基于nginx结合openssl实现https

基于nginx结合openssl实现https

（1）创建文件夹

[root@localhost ~]# mkdir ca

将产生的文件放到自己建的文件夹中

生成证书

(2)创建私钥

[root@localhost ca]# openssl genrsa -out zhu.key 1024

openssl (工具)可以实现：密钥证书管理、对称加密和非对称加密。

genrsa 用于生成rsa 私钥，不会生成公钥，因为公钥提取自私钥

生成1024位rsa 私钥，

-out 指定输出文件，此处输出文件即为证书请求文件。

 

（3）创建证书请求：

req 来实现产生一个私钥文件并利用它产生一个证书请求文件。

-new 表示新生成一个新的证书请求文件

 -key 指定私钥文件

 -out 指定输出文件，此处输出文件即为证书请求文件。

[root@localhost ca]# openssl req -new -out zhu.csr -key zhu.key

 

 

(4)自签署证书：

-x509   :说明生成自签名证书

openssl req命令主要的功能有，生成证书请求文件， 查看验证证书请求文件，还有就是生成自签名证书。证书请求文件zhu.csr

 -out:-out 指定生成的证书请求或者自签名证书名称 zhu.srt

-signkey :提供私钥 zhu.key

 

 

对Nginx的nginx.conf文件进行修改

 

 

 server {

        listen       80;

        server_name  www.zhu.com;

        listen       443 default ssl;

        ssl_certificate     /root/ca/zhu.crt;

        ssl_certificate_key /root/ca/zhu.key;

        ssl_session_cache    shared:SSL:1m;

        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;

        ssl_prefer_server_ciphers  on;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

}

(5)将证书导出成浏览支持的 .p12 格式：

-export：这个选项指定了一个PKCS#12文件将会被创建。

-clcerts：仅仅输出客户端证书，不输出CA证书。

 

 

 关闭防火墙及安全机制打开浏览器查看

 

systemctl stop firewalld

 

Iptabled -F

 

Setenforce 0

 

 

点开浏览器设置里面的管理证书