前言:
給http協議申請ssl免費證書,還是比較主流的一種方式,但是逐漸得一些瀏覽器不支持自簽名的證書了。畢竟這是為了使用者及平台都變得安全的方式,所以無可厚非的,而且也有很多網站即使不使用商業付費證書也可以免費申請自己網站的ssl證書的。所以這種方式只是作為一種記錄和參考或者可以在某些老版本或者個別瀏覽器上使用這種自簽名https證書。
正文:
如果你使用了nginx作為反向代理,那么本文可以教你如何將https配置在nginx,這樣即使你的后端服務是http也完全沒有問題.
一、我們需要什么證書
之前寫過一篇《tomcat https配置方法(免費證書)》的簡書(想看的可以去我的主頁里面看下,這兩篇之間還是有許多相關聯的知識的~),里面有提到過常用證書的分類,其中nginx使用的就是PEM格式的證書,我們將其拆分開就是需要兩個文件,一個是.key文件,一個是.crt文件.
二、怎樣獲取免費證書
第一種:如果你是windows用戶,且有.keystore格式的證書
那么你可以使用JKS2PFX轉換工具,將你的keystore證書轉換為PEM證書,操作方法為:cd到工具目錄,然后運行命令:
$ JKS2PFX <KeyStore文件> <KeyStore密碼> <Alias別名> <導出文件名>
第二種:如果你是Linux或者OSX系統
- 生成秘鑰key,運行:
$ openssl genrsa -des3 -out server.key 2048
會有兩次要求輸入密碼,輸入同一個即可
輸入密碼
然后你就獲得了一個server.key文件.
以后使用此文件(通過openssl提供的命令或API)可能經常回要求輸入密碼,如果想去除輸入密碼的步驟可以使用以下命令:
$ openssl rsa -in server.key -out server.key
- 創建服務器證書的申請文件server.csr,運行:
$ openssl req -new -key server.key -out server.csr
其中Country Name填CN,Common Name填主機名也可以不填,如果不填瀏覽器會認為不安全.(例如你以后的url為https://abcd/xxxx....這里就可以填abcd),其他的都可以不填.
- 創建CA證書:
$ openssl req -new -x509 -key server.key -out ca.crt -days 3650
此時,你可以得到一個ca.crt的證書,這個證書用來給自己的證書簽名.
- 創建自當前日期起有效期為期十年的服務器證書server.crt:
$ openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt
- ls你的文件夾,可以看到一共生成了5個文件:
ca.crt ca.srl server.crt server.csr server.key
其中,server.crt和server.key就是你的nginx需要的證書文件.
三、如何配置nginx
- 打開你的nginx配置文件,搜索443找到https的配置,去掉這段代碼的注釋.或者直接復制我下面的這段配置:
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /root/Lee/keys/server.crt;#配置證書位置
ssl_certificate_key /root/Lee/keys/server.key;#配置秘鑰位置
#ssl_client_certificate ca.crt;#雙向認證
#ssl_verify_client on; #雙向認證
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
- 將ssl_certificate改為server.crt的路徑,將ssl_certificate_key改為server.key的路徑.
- nginx -s reload 重載配置
至此,nginx的https就可以使用了,默認443端口.