配置私有CA服务器
# CA搭建命令
# 进入到CA目录下
cd /etc/pki/CA
# 打开一个子shell, 用openssl生成一个私钥信息
(umask 077; openssl genrsa -out private/cakey.pem 1024)
# 用私钥对生成证书
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
# 创建证书数据和序列号文件
touch index.txt serial
# 生成序列号
echo 5001 > serial
# 创建需要签发证书请求目录
mkdir csr
向CA申请证书及CA签发证书
# 创建目录
mkdir /opt/nginx/https -pv
# 进入到创建目录
cd /opt/nginx/https
# 打开一个子shell, 用openssl生成一个私钥信息,私钥以.key结尾,密钥的位长度1024
(umask 077; openssl genrsa -out xxx.key 1024)
# 用私钥对生成证书
openssl req -new -key xxx.key -out xxx.csr
# 将证书请求文件发送到上面的服务器
scp xxx.csr root@host:/etc/pki/CA/csr
CA签署申请组织机构发过来的证书
cd /etc/pki/CA
openssl ca -in csr/xxx.csr -out xxx.crt -days 365
# 将生成的证书发给申请组织
scp xxx.crt root@host:/opt/nginx/https
nginx的https服务器配置示例
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /opt/nginx/https/xxx.crt;
ssl_ceritficate_key /opt/nginx/https/xxx.key;
}
