SSL证书卸载https://help.aliyun.com/zh/hsm/use-cases/perform-ssl-offloading#a13a6840d49lz

转载自博客:https://help.aliyun.com/zh/hsm/use-cases/perform-ssl-offloading#a13a6840d49lz

 https://www.cnblogs.com/zy09/p/10362107.html

转载自博客:

https://www.cnblogs.com/zy09/p/10362107.html

一 、证书自签发和给web 服务签发证书

复制代码
.ssl 证书加密文件
    
    ******************************
        建立私有CA
        openCA
        openssl
    证书申请及签署步骤
        1.生成证书申请请求
        2.RA 效验
        3.CA 签署
        4. 获取证书
    openssl  默认配置文件:/etc/pki/tls/openssl.cnf
        1.创建所需要的文件
      文件serial和index.txt分别用于存放下一个证书的序列号和证书信息数据库。 
      文件serial填写第一个证书序列号(如10000001),之后每前一张证书,序列号自动加1。
            touch index.txt
            echo 01 > serial
        2.CA 自签发证书
           
        生成私钥:
            (umask 077; openssl genrsa -out private/cakey.pem 2048) 
        
        生成新证书:
            openssl  req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out cacert.pem
            -new :生成新的证书签署文件
            -x509 :专用于CA 自签发证书
            -key :私钥
            -days :有效期
            -out : 证书的保存路径
        然后根据信息填完可以生成新的证书了
        
        3.发证
            1.主机生成证书请求文件
            2.将请求文件发给CA 
            3.CA 效验请求文件
            4.签发
            
                给httpd 服务器签发证书。
                创建私钥:
                (umask 077;openssl genrsa -out httpd.key 2048)
                创建证书请求文件 
                openssl req -new -key httpd.key -days 365 -out httpd.csr
                签发证书
                openssl ca -in /etc/httpd/ssl/httpd.csr -out httpd.crt -days 365
                查看证书中的信息:
                openssl x509  -in /path/cert_file -noout -text
复制代码

二、 nginx 配置

复制代码
server {
        listen       443 ssl;
        server_name  nginx.test;  #设置 host 名称必须与证书中的

        ssl_certificate      /etc/pki/CA/nginx/httpd.crt;
        ssl_certificate_key  /etc/pki/CA/nginx/httpd.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }
复制代码

三、 测试

提示不安全是Chrome  安全性比较高,这种证书合规性不好

 

 

 

 

posted on   luzhouxiaoshuai  阅读(36)  评论(0编辑  收藏  举报

相关博文:
· mysql 8.0 安装手册和Mysql Group Replication(MGR) 组复制的安装
· spring boot启动的yml放在配置中心的流程管理
· openssl 签发证书
· Openssl自签发SSL证书
· OpenSSL 生成CA证书和自签名证书
阅读排行:
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· AI编程工具终极对决:字节Trae VS Cursor,谁才是开发者新宠?
· 开源Multi-agent AI智能体框架aevatar.ai,欢迎大家贡献代码
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
历史上的今天:
2017-07-30 Java中join和yield的作用
2017-07-30 Java并发编程:CountDownLatch、CyclicBarrier和Semaphore
2017-07-30 Java并发编程:Callable、Future和FutureTask 实现龟兔赛跑
2017-07-30 设计模式-简单工厂 --工厂模式--抽象模式
2017-07-30 java面试必须看的视频教程
2017-07-30 设计模式-单例模式
2017-07-30 设计模式--工厂模式

导航

< 2025年3月 >
23 24 25 26 27 28 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 1 2 3 4 5

统计

点击右上角即可分享
微信分享提示
AI IDE Trae