nginx配置SSL-unixsly-ChinaUnix博客

『SLY-生命的旋律!』sly.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

unixsly

博客访问： 1473114
博文数量： 463
博客积分： 10540
博客等级：上将
技术积分： 5450
用户组：普通用户
注册时间： 2006-11-12 08:30

文章分类

全部博文（463）

天地精华（5）
心灵之约（0）
SGA（354）
百味人生（44）
自然百科（6）
青春校园（54）
未分配的博文（0）

文章存档

2014年（2）

2012年（14）

2011年（42）

2010年（18）

2009年（78）

2008年（35）

2007年（182）

2006年（92）

我的朋友

Generate Certificates

To generate dummy certficates you can do this steps:

$ cd /usr/local/nginx/conf
$ openssl genrsa -des3 -out server.key 1024
$ openssl req -new -key server.key -out server.csr
$ cp server.key server.key.org
$ openssl rsa -in server.key.org -out server.key
$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Configure the new certificate into nginx.conf:

 {
     YOUR_DOMAINNAME_HERE;
     443;
     on;
     /usr/local/nginx/conf/.crt;
     /usr/local/nginx/conf/.key;
}

Restart Nginx.

Now all ready to access using:

上面这种自己建的证书用firefox打开会有个提示：

YOUR_DOMAINNAME_HERE 使用了无效的安全证书。

该证书仅对下列名称有效:

（错误码： ssl_error_bad_cert_domain）

这是因为证书并不是经过认证的，希望IE或firefox不提示错误，需要向发证机构申请证书。我们在WoSign上申请了一个证书。
申请步骤如下：
1）先生成一个key:
[root@ha1 sslkey]# openssl genrsa -des3 -out server.key 1024
Generating RSA private key, 1024 bit long modulus
.......................................................................++++++
.++++++
e is 65537 (0x10001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:
[root@ha1 sslkey]# ls
server.key
会提示输入一个密码，这个要记好。

2）生成CSR:
[root@ha1 sslkey]# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:CN
State or Province Name (full name) [Berkshire]:ShangHai
Locality Name (eg, city) [Newbury]:ShangHai
Organization Name (eg, company) [My Company Ltd]:Shine Zone Co., Ltd.
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:
Email Address []:admin@shinezone.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

输入刚生成key的密码及相关信息。就可以生成一个csr文件了。
然后把生成的server.csr给WoSign就可以申请证书了。

申请成功后，他们给我两个文件，server.ca-bundle及server.crt，按手册配置如下：

 {
     YOUR_DOMAINNAME_HERE;
     443;
     on;
     /usr/local/nginx/conf/.crt;
     /usr/local/nginx/conf/.key;
}

用IE访问没有提示了，但用firefox访问时，提示：https sec_error_unknown_issuer，这个问题的原因是由于nginx没有配置中级根证书造成的。解决方法如下：

cat server.crt server.ca-bundle > server.pem

修改配置文件：

 {
     YOUR_DOMAINNAME_HERE;
     443;
     on;
     /usr/local/nginx/conf/.pem;
     /usr/local/nginx/conf/.key;
}

再重启就测试就不会有错误提示了。

因为之前我们在生成key的时候用了密码。你会发现配置好nginx证书后，在重启nginx时，会提示你输入密码，输入密码后才能启动。如何取消证书的密码呢？

有两种方式：
1）把带密码的key转成不带密码的：
openssl rsa -in server.key -out server2.key

2)在第一步生成key时不带-des3参数：
openssl genrsa -out www_shinezone_com.key 1024

阅读(1295) | 评论(2) | 转发(0) |

上一篇：Linux下让Apache支持SSL

下一篇：时间段日志分析

给主人留下些什么吧！~~

chinaunix网友2010-04-03 16:26:01

YOUR_DOMAINNAME_HERE已改为我的域名，而且运行了kill -HUP `cat /usr/local/nginx/logs/nginx.pid`以重启nginx

回复 | 举报

chinaunix网友2010-04-03 16:23:41

我用如下命令设置https,为什么设置https无效呢？ $ cd /usr/local/nginx/conf $ openssl genrsa -des3 -out server.key 1024 $ openssl req -new -key server.key -out server.csr $ cp server.key server.key.org $ openssl rsa -in server.key.org -out server.key $ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt Configure the new certificate into nginx.conf: server { server_name YOUR_DOMAINNAME_HERE; listen 443; ssl on; ssl_certificate /usr/local/nginx/conf/server

回复 | 举报

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6