共计 2386 个字符,预计需要花费 6 分钟才能阅读完成。
第一个里程碑:创建 https 证书
[root@web01 backup]# openssl req -new -x509 -nodes -out server.crt -keyout server.key
Generating a 2048 bit RSA private key
………………………………………………+++
……………………………..+++
writing new private key to ‘server.key’
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [XX]:CH #国家名称
State or Province Name (full name) []:bj #省
Locality Name (eg, city) [Default City]:bj #市
Organization Name (eg, company) [Default Company Ltd]:ZNIX #组织名称
Organizational Unit Name (eg, section) []:ZNIX #组织名称
Common Name (eg, your name or your server’s hostname) []:ZNIX #服务器名称
Email Address []:ADMIN@ZNIX.TOP #邮箱
查看产生的证书
[root@web01 backup]# ls
server.crt server.key
生成的密钥文件
[root@web01 backup]# ll
total 8
-rw-r–r– 1 root root 1375 Nov 6 14:07 server.crt
-rw-r–r– 1 root root 1704 Nov 6 14:07 server.key
openssl 参数说明
参数 | 参数说明 |
req | PKCS#10 X.509 Certificate Signing Request (CSR)Management. PKCS#10 X.509 证书签名请求(CSR)管理。 |
x509 | X.509 Certificate Data Management. X.509 证书数据管理。 |
第二个里程碑:修改 nginx 配置文件
[root@web01 ~]# cat /application/nginx/conf/extra/www.conf
server {
listen 443 ssl;
server_name www.etiantian.org;
ssl_certificate /application/nginx/key/server.crt;
ssl_certificate_key /application/nginx/key/server.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html/www;
index index.php ;
}
location ~* .*\.(php|php5)?$ {
root html/www;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fastcgi.conf;
}
access_log logs/access_www.log main;
}
模块参数说明
模块名称 | 说明 |
ssl_prefer_server_ciphers | 指定在使用 SSLv3 和 TLS 协议时,服务器密码应优先于客户端密码。 |
ssl_ciphers | 指定启用的密码。密码以 OpenSSL 库理解的格式指定 |
ssl_session_timeout | 指定客户端可以重新使用会话参数的时间。 |
ssl_session_cache | 设置存储会话参数的高速缓存的类型和大小。 |
ssl_certificate | 指定 file 具有给定虚拟服务器的 PEM 格式的证书。如果除了主要证书之外还应该指定中间证书,则应该按照以下顺序在同一个文件中指定它们:主要证书首先是中间证书,然后是中间证书。PEM 格式的密钥可以放在同一个文件中。 |
ssl_certificate_key | 指定 file 给定虚拟服务器的 PEM 格式的秘密密钥。 |
1.1.2 客户端访问
1) 浏览器访问 https://www.etiantian.org
2)选择高级, 继续前往 www.etiantian.org(不安全) 由于 ssl 证书是自己生产的,会有这样的一个问题。
3) 网站访问正常。
这种小绿锁的 ssl,需要购买 ssl 证书。
本文永久更新链接地址 :http://www.linuxidc.com/Linux/2017-11/148421.htm
