nginx反向代理cas-server之2:生成证书,centOS下使用openssl生成CA证书(根证书、server证书、client证书)

前些天搭好了cas系统,这几天一致再搞nginx和cas的反向代理,一直不成功,但是走http还是测试通过的,最终确定是ssl认证证书这一块的问题,原本我在cas服务端里的tomcat已经配置了证书,并且能够使用了,但是现在我用nginx代理使用ssl与cas-server建立连接,就会失败(看了网上的大神(是不是真的大神先不管)说是nginx不支持与后台的加密连接的原因)。那么既然我nginx代理了cas-server,那么现在我nginx服务器就担任cas-server的角色,所以我需要把nginx作为ssl-server与cas-client作为ssl-client进行ssl连接,而nginx到cas-server则用http连接即可,下面开始配置。

为什么要写这个配置,因为我在网上看了很多文档,最后没有一个是能够正确生成的!发现有些人直接复制别人的东西,也不管对不对,真心坑,于是有了这篇文章...安静


1、下载编译安装openssl:

下载openssl(openssl-devel是openssl的开发包,可以用来建立修改依赖关系)

wget https://github.com/openssl/openssl/archive/OpenSSL-fips-2_0_11.tar.gz

解压编译然后进行安装,(我们主要讲证书生成,这里省略)

yum install openssl


2、生成根证书

2.1、先到要存放证书的路径下

 cd /usr/local/nginx/conf/keys

2.2、生成证书密钥文件(key)

openssl genrsa -des3 -out eguid.key 1024

Enter pass phrase for root.key:  输入密码 
Verifying – Enter pass phrase for root.key: 重新输入密码

2.3、生成证书的申请文件(csr)

openssl req -new -key eguid.key -out eguid.csr

Enter pass phrase for root.key: 输入创建的密码 

Country Name (2 letter code) [AU]:国家名,可以用代号
State or Province Name (full name) [Some-State]:省名
Locality Name (eg, city) []:城市名
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp.  公司名 
Organizational Unit Name (eg, section) []: 爱填不填
Common Name (eg, YOUR name) []:  不要输入 
Email Address []:admin@mycompany.com 电子邮箱

A challenge password []: 最好不填
An optional company name []: 最好不填

2.4、生成根证书(crt)

openssl x509 -req -days 365 -sha1 -extensions v3_ca -signkey eguid.key -in eguid.csr -out eguid.crt 

Enter pass phrase for eguid.key:输入之前你填的密码

解释一下:这里是用前面两个文件(key、csr)生成365天有效期的crt证书。

到这里呢,根证书就完成了,我这里完全没有任何问题,如果有问题可以找我。

----------------------------------------------------------------------------------------------------------------------------------------------

接下来创建server证书(服务器证书)

3、生成server服务器证书

3.1、生成server服务器密钥key

这里与根证书生成key是一样的,名字变一下就可以了
openssl genrsa –des3 -out server.key 1024

3.2、生成server 服务器申请文件csr

openssl req -new -key server.key -out server.csr

Country Name (2 letter code) [AU]: 国家名
State or Province Name (full name) [Some-State]: 省名
Locality Name (eg, city) []:市名
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. 公司名 
Organizational Unit Name (eg, section) []: 可以不输入 
Common Name (eg, YOUR name) []:www.eguid.cn 服务器主机名,如果填写不正确,浏览器提示无效证书,但不影响使用 
Email Address []:642209085@qq.com 电子邮箱,随便填

A challenge password []: 最好不输入 
An optional company name []: 最好不输入

3.3、根据前面的根证书以及刚生成的两个文件生成server服务器证书

openssl x509 -req -days 365 -sha1 -extensions v3_req -CA eguid.crt -CAkey eguid.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt

有密码就输入密码,下面进行客户端证书生成

4、生成client客户端证书

4.1、生成client客户端key

openssl genrsa -des3 -out client.key 1024

4.2、生成client客户端证书申请文件csr

openssl req -new -key client.key -out client.csr

Country Name (2 letter code) [AU]: 国家名
State or Province Name (full name) [Some-State]: 省名
Locality Name (eg, city) []:市名
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. 随便填
Organizational Unit Name (eg, section) []: 可以不输入 
Common Name (eg, YOUR name) []:随便输
Email Address []:642209085@qq.com 随便填

A challenge password []: 最好不输入 
An optional company name []: 最好不输入


4.3、根据根证书以及刚生成的两个文件生成client客户端证书 crt

openssl x509 -req -days 365 -sha1 -extensions v3_req -CA eguid.crt -CAkey eguid.key -CAserial root.srl -CAcreateserial -in client.csr -out client.crt
有密码输密码

4.4、生成client客户端证书安装包pfx

openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
输入密码,输入密码,输入密码

到这里客户端证书就生成完了。

简单解释一下几种证书文件的作用及用途:

server.crtserver.key是配置单向SSL时需要使用的证书文件;

client.crt是配置双向SSL时需要使用的证书文件;

client.pfx是配置双向SSL时需要客户端安装的证书文件。


补充:
有些地方要用到pem证书,可以用crt和key合并生成pem证书:

catserver.key server.crt > server.pem


posted @ 2016-04-29 16:36  eguid  阅读(509)  评论(0编辑  收藏  举报