nginx反向代理cas-server之2:生成证书,centOS下使用openssl生成CA证书(根证书、server证书、client证书)
前些天搭好了cas系统,这几天一致再搞nginx和cas的反向代理,一直不成功,但是走http还是测试通过的,最终确定是ssl认证证书这一块的问题,原本我在cas服务端里的tomcat已经配置了证书,并且能够使用了,但是现在我用nginx代理使用ssl与cas-server建立连接,就会失败(看了网上的大神(是不是真的大神先不管)说是nginx不支持与后台的加密连接的原因)。那么既然我nginx代理了cas-server,那么现在我nginx服务器就担任cas-server的角色,所以我需要把nginx作为ssl-server与cas-client作为ssl-client进行ssl连接,而nginx到cas-server则用http连接即可,下面开始配置。
为什么要写这个配置,因为我在网上看了很多文档,最后没有一个是能够正确生成的!发现有些人直接复制别人的东西,也不管对不对,真心坑,于是有了这篇文章...
1、下载编译安装openssl:
下载openssl(openssl-devel是openssl的开发包,可以用来建立修改依赖关系)
wget https://github.com/openssl/openssl/archive/OpenSSL-fips-2_0_11.tar.gz
解压编译然后进行安装,(我们主要讲证书生成,这里省略)
yum install openssl
2、生成根证书
2.1、先到要存放证书的路径下
cd /usr/local/nginx/conf/keys
2.2、生成证书密钥文件(key)
openssl genrsa -des3 -out eguid.key 1024
Enter pass phrase for root.key: 输入密码
Verifying – Enter pass phrase for root.key: 重新输入密码
2.3、生成证书的申请文件(csr)
openssl req -new -key eguid.key -out eguid.csr
Enter pass phrase for root.key: 输入创建的密码
Country Name (2 letter code) [AU]:国家名,可以用代号
State or Province Name (full name) [Some-State]:省名
Locality Name (eg, city) []:城市名
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. 公司名
Organizational Unit Name (eg, section) []: 爱填不填
Common Name (eg, YOUR name) []: 不要输入
Email Address []:admin@mycompany.com 电子邮箱
A challenge password []: 最好不填
An optional company name []: 最好不填
2.4、生成根证书(crt)
openssl x509 -req -days 365 -sha1 -extensions v3_ca -signkey eguid.key -in eguid.csr -out eguid.crt
Enter pass phrase for eguid.key:输入之前你填的密码
解释一下:这里是用前面两个文件(key、csr)生成365天有效期的crt证书。
到这里呢,根证书就完成了,我这里完全没有任何问题,如果有问题可以找我。
----------------------------------------------------------------------------------------------------------------------------------------------
接下来创建server证书(服务器证书)
3、生成server服务器证书
3.1、生成server服务器密钥key
3.2、生成server 服务器申请文件csr
Country Name (2 letter code) [AU]: 国家名
State or Province Name (full name) [Some-State]: 省名
Locality Name (eg, city) []:市名
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. 公司名
Organizational Unit Name (eg, section) []: 可以不输入
Common Name (eg, YOUR name) []:www.eguid.cn 服务器主机名,如果填写不正确,浏览器提示无效证书,但不影响使用
Email Address []:642209085@qq.com 电子邮箱,随便填
A challenge password []: 最好不输入
An optional company name []: 最好不输入
3.3、根据前面的根证书以及刚生成的两个文件生成server服务器证书
4、生成client客户端证书
4.1、生成client客户端key
4.2、生成client客户端证书申请文件csr
Country Name (2 letter code) [AU]: 国家名
State or Province Name (full name) [Some-State]: 省名
Locality Name (eg, city) []:市名
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. 随便填
Organizational Unit Name (eg, section) []: 可以不输入
Common Name (eg, YOUR name) []:随便输
Email Address []:642209085@qq.com 随便填
A challenge password []: 最好不输入
An optional company name []: 最好不输入
4.3、根据根证书以及刚生成的两个文件生成client客户端证书 crt
4.4、生成client客户端证书安装包pfx
简单解释一下几种证书文件的作用及用途:
server.crt和server.key是配置单向SSL时需要使用的证书文件;
client.crt是配置双向SSL时需要使用的证书文件;
client.pfx是配置双向SSL时需要客户端安装的证书文件。
catserver.key server.crt > server.pem
本文来自博客园,作者:eguid,没有作者允许禁止转载,取得作者同意后转载需注明作者名和原文链接:https://www.cnblogs.com/eguid/p/6821621.html