自簽名證書可以在自己的內網環境或者非對外環境使用,保證通信安裝
1、生產證書
直接使用腳本生產:
中途會提示書如1次域名和4次密碼,把一下文件保存為sh文件,賦予x權限后 直接執行,根據提示輸入。
#!/bin/sh # create self-signed server certificate: read -p "Enter your domain [www.example.com]: " DOMAIN echo "Create server key..." openssl genrsa -des3 -out $DOMAIN.key 1024 echo "Create server certificate signing request..." SUBJECT="/C=US/ST=Mars/L=iTranswarp/O=iTranswarp/OU=iTranswarp/CN=$DOMAIN" openssl req -new -subj $SUBJECT -key $DOMAIN.key -out $DOMAIN.csr echo "Remove password..." mv $DOMAIN.key $DOMAIN.origin.key openssl rsa -in $DOMAIN.origin.key -out $DOMAIN.key echo "Sign SSL certificate..." openssl x509 -req -days 3650 -in $DOMAIN.csr -signkey $DOMAIN.key -out $DOMAIN.crt echo "TODO:" echo "Copy $DOMAIN.crt to /etc/nginx/ssl/$DOMAIN.crt" echo "Copy $DOMAIN.key to /etc/nginx/ssl/$DOMAIN.key" echo "Add configuration in nginx:" echo "server {" echo " ..." echo " listen 443 ssl;" echo " ssl_certificate /etc/nginx/ssl/$DOMAIN.crt;" echo " ssl_certificate_key /etc/nginx/ssl/$DOMAIN.key;" echo "}"
2、拷貝證書到nginx指定位置
上述腳本執行完成后會在當前目錄生產4個文件,例如我的:
我們只小crt和key證書,拷貝走存放到nginx安裝目錄下一個單獨目錄即可,沒有強制要求,一會nginx配置文件寫真實路徑即可。
3、增加nginx ssl文件
server { listen 443; ssl on; server_name www.zhangbei.com; root /usr/local/nginx/html/; ssl_certificate /usr/local/nginx/conf/ssl/www.zhangbei.com.crt; ssl_certificate_key /usr/local/nginx/conf/ssl/www.zhangbei.com.key; }
配置完成后重新加載nginx配置文件
nginx -s reload
4、使用https加上你的域名訪問即可
地址欄前面會提示危險,不用理會,只是不可信而已,但是我們已經實現了ssl加密訪問
5、強制轉換http訪問為http
修改nginx默認配置文件
增加如下rewrite操作,並從新加載nginx配置文件,這樣就實現了http訪問自動調整到https訪問,保證訪問安全。
