一 、證書自簽發和給web 服務簽發證書
.ssl 證書加密文件 ****************************** 建立私有CA openCA openssl 證書申請及簽署步驟 1.生成證書申請請求 2.RA 效驗 3.CA 簽署 4. 獲取證書 openssl 默認配置文件:/etc/pki/tls/openssl.cnf 1.創建所需要的文件 文件serial和index.txt分別用於存放下一個證書的序列號和證書信息數據庫。 文件serial填寫第一個證書序列號(如10000001),之后每前一張證書,序列號自動加1。 touch index.txt echo 01 > serial 2.CA 自簽發證書 生成私鑰: (umask 077; openssl genrsa -out private/cakey.pem 2048) 生成新證書: openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out cacert.pem -new :生成新的證書簽署文件 -x509 :專用於CA 自簽發證書 -key :私鑰 -days :有效期 -out : 證書的保存路徑 然后根據信息填完可以生成新的證書了 3.發證 1.主機生成證書請求文件 2.將請求文件發給CA 3.CA 效驗請求文件 4.簽發 給httpd 服務器簽發證書。 創建私鑰: (umask 077;openssl genrsa -out httpd.key 2048) 創建證書請求文件 openssl req -new -key httpd.key -days 365 -out httpd.csr 簽發證書 openssl ca -in /etc/httpd/ssl/httpd.csr -out httpd.crt -days 365 查看證書中的信息: openssl x509 -in /path/cert_file -noout -text
二、 nginx 配置
server { listen 443 ssl; server_name nginx.test; #設置 host 名稱必須與證書中的 ssl_certificate /etc/pki/CA/nginx/httpd.crt; ssl_certificate_key /etc/pki/CA/nginx/httpd.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; } }
三、 測試
提示不安全是Chrome 安全性比較高,這種證書合規性不好
