Chinaunix首页 | 论坛 | 博客

Rock's World

首页 |  博文目录 |  关于我

guofzhao

  • 博客访问: 136789
  • 博文数量: 31
  • 博客积分: 10
  • 博客等级: 民兵
  • 技术积分: 318
  • 用 户 组: 普通用户
  • 注册时间: 2011-03-24 22:10
个人简介

2011.4 ~ 2015.7 就职于百度运维部,负责百度推广后台系统运维; 2015.7至今,就职于北京屏芯科技(互联网+餐饮),负责稳定性、安全、敏捷、速度等工作。

文章分类

全部博文(31)

文章存档

2016年(4)

2015年(27)

我的朋友
最近访客
推荐博文
相关博文
自制https证书与nginx配置

分类: 网络与安全

2015-12-15 15:59:18

科普: 
openssl中有如下后缀名的文件
.key格式:私有的密钥
.csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
.crt格式:证书文件,certificate的缩写
.crl格式:证书吊销列表,Certificate Revocation List的缩写
.pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式 

登录任意一台linux机器,生成自制证书

点击(此处)折叠或打开

  1. $ openssl genrsa -des3 -out server.key 2048
  2. Enter pass phrase for server.key: 输入你的密码短语

  4. $ openssl req -new -key server.key -out server.csr
  5. Enter pass phrase for server.key: 输入你的密码短语
  6. You are about to be asked to enter information that will be incorporated
  7. into your certificate request.
  8. What you are about to enter is what is called a Distinguished Name or a DN.
  9. There are quite a few fields but you can leave some blank
  10. For some fields there will be a default value,
  11. If you enter '.', the field will be left blank.
  12. -----
  13. Country Name (2 letter code) [XX]:CN
  14. State or Province Name (full name) []: 省份
  15. Locality Name (eg, city) [Default City]: 城市
  16. Organization Name (eg, company) [Default Company Ltd]: 公司名称
  17. Organizational Unit Name (eg, section) []: 组织名称
  18. Common Name (eg, your name or your server's hostname) []: 待加密的网址
  19. Email Address []: 管理员邮箱, 如果你要申请正式CA颁发的证书,请填写whois的注册邮箱

  21. Please enter the following 'extra' attribute
  22. to be sent with your certificate request
    A challenge password []: 密码,最好只是数字与大小写字母的组合
    An optional company name []: 

    $ mv server.key server.key.orignal
    # 下面的命令,避免在启动nginx的时候输入密码短语
    $ openssl rsa -in server.key.orignal -out server.key
    Enter pass phrase for server.key.orignal: 输入最开始的密码短语
    writing RSA key


    $ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
    Signature ok

    $ ll
    total 16
    -rw-rw-r-- 1 work work 1375 Aug 25 17:46 server.crt
    -rw-rw-r-- 1 work work 1139 Aug 25 17:44 server.csr
    -rw-rw-r-- 1 work work 1679 Aug 25 17:46 server.key
    -rw-rw-r-- 1 work work 1751 Aug 25 17:37 server.key.orignal 

最终我们需要的是server.crt 和 server.key, 最好把它们重命名为你的网址对应的crt和key,方便区分。

nginx配置

点击(此处)折叠或打开

  1. server {
  2.         listen 8000;
  3.         server_name 你的域名;

  5.         rewrite ^(.*) https://$server_name$1 permanent;
  6.     }
  7. # 省略其他的配置
  8. server {
  9.     listen 8443;
  10.     server_name 你的域名;

  12.     ssl on;
  13.     ssl_certificate /home/work/nginx/https/server.crt;
  14.     ssl_certificate_key /home/work/nginx/https/server.key;
  15.         
  16.     location / {
  17.         # 省略
  18.     }

参考:


阅读(1573) | 评论(0) | 转发(0) |
0

上一篇:Code Review实践(二)如何使用ReviewBoard发起一次CR

下一篇:ssl证书类型区别

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6