openssl 自己制作ssl證書：自己簽發免費ssl證書，為nginx生成自簽名ssl證書

server {
listen 80;
listen 443 ssl;
server_name ~^((cloud)|(demo-cloud)|(demo2-cloud)|(approval1))((\.it1alent\.link)|(\.ita1lent-inc\.cn))$;
ssl on;
ssl_certificate ./ssl/ssl.crt;
ssl_certificate_key ./ssl/ssl.key;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 SSLv2 SSLv3;
ssl_prefer_server_ciphers on;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_session_timeout 5m;

location / {
index index.html index.htm;
proxy_pass http://127.0.0.1:8088;
proxy_http_version 1.1;
proxy_connect_timeout 9990;
proxy_send_timeout 9990;
proxy_read_timeout 9990;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection keep-alive;
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header x-ssl-enabled true;
proxy_set_header X-Nginx-Proxy true;
}
}

 

這里說下Linux 系統怎么通過openssl命令生成 證書。

首先執行如下命令生成一個key
openssl genrsa -des3 -out ssl.key 1024
然后他會要求你輸入這個key文件的密碼。不推薦輸入。因為以后要給nginx使用。每次reload nginx配置時候都要你驗證這個PAM密碼的。
由於生成時候必須輸入密碼。你可以輸入后 再刪掉。

mv ssl.key xxx.key
openssl rsa -in xxx.key -out ssl.key
rm xxx.key
然后根據這個key文件生成證書請求文件
openssl req -new -key ssl.key -out ssl.csr
以上命令生成時候要填很多東西 一個個看着寫吧（可以隨便，畢竟這是自己生成的證書）

最后根據這2個文件生成crt證書文件

openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt
這里365是證書有效期 推薦3650哈哈。這個大家隨意。最后使用到的文件是key和crt文件。

如果需要用pfx 可以用以下命令生成 openssl pkcs12 -export -inkey ssl.key -in ssl.crt -out ssl.pfx 在需要使用證書的nginx配置文件的server節點里加入以下配置就可以了。

server {
listen 443;
server_name bbs.nau.edu.cn;

if ($uri !~ "/logging.php$") {
rewrite ^/(.)$ http://$host/$1 redirect;
}
ssl on;
ssl_certificate /home/ssl.crt;
ssl_certificate_key /home/ssl.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;

}
然后重啟nginx就大功告成了

Windows下用Nginx配置https服務器

 

以Windows 10系統為例。

一、安裝OpenSSL

先到http://slproweb.com/products/Win32OpenSSL.html 去下載OpenSSL（根據系統選擇32位或者64位版本下載安裝）。

然后安裝在C:\OpenSSL-Win64下。

然后配置環境變量。在系統環境變量中添加環境變量：

變量名：OPENSSL_HOME

變量值：C:\OpenSSL-Win64\bin;

（變量值為OPENSSL安裝位置下的bin目錄）

並在Path變量結尾添加一條： %OPENSSL_HOME%

二、安裝Nginx

到Nginx官網下載Nginx，我這里下載的是 nginx/Windows-1.12.0 這個版本。

把下載好的壓縮包解壓出來，拷貝其中的nginx-1.12.0目錄到c:\下。並將文件夾名字修改為nginx。這樣，Nginx就被安裝到了c:\nginx目錄下。

進入到C:\nginx目錄下，雙擊nginx.exe文件即可啟動服務器。在瀏覽器地址欄輸入http://localhost，如果可以成功訪問到Nginx的歡迎界面，則說明安裝成功。

三、生成證書　　

1、首先在Nginx安裝目錄中創建ssl文件夾用於存放證書。比如我的文件目錄為 C:\nginx\ssl

在控制台中執行：

cd C:\nginx\ssl 

2、創建私鑰

在命令行中執行命令：

openssl genrsa -des3 -out buduhuisi.key 1024 # buduhuisi文件名是自己隨便起即可 

輸入密碼后，再次重復輸入確認密碼。記住此密碼，后面會用到。

3、創建csr證書

在命令行中執行命令：

openssl req -new -key buduhuisi.key -out buduhuisi.csr 

其中key文件為剛才生成的文件。

執行上述命令后，需要輸入一系列的信息。輸入的信息中最重要的為Common Name，這里輸入的域名即為我們要使用https訪問的域名 ，比如我輸入的是localhost。其它的內容隨便填即可。

以上步驟完成后，ssl文件夾內出現兩個文件：buduhuisi.csr 和 buduhuis.key

4、去除密碼。

在加載SSL支持的Nginx並使用上述私鑰時除去必須的口令，否則會在啟動nginx的時候需要輸入密碼。

復制buduhuisi.key並重命名為buduhuisi.key.org。

在命令行中執行如下命令以去除口令：

openssl rsa -in buduhuisi.key.org -out buduhuisi.key 

然后輸入密碼，這個密碼就是上文中在創建私鑰的時候輸入的密碼。

5、生成crt證書

在命令行中執行此命令：

openssl x509 -req -days 365 -in buduhuisi.csr -signkey buduhuisi.key -out buduhuisi.crt 

至此，證書生成完畢。我們發現，ssl文件夾中一共生成了4個文件。下面，配置https服務器的時候，我們需要用到的是其中的buduhuisi.crt和buduhuisi.key這兩個文件。

四、修改Nginx的nginx.conf配置文件

我的這個文件在C:\nginx\conf目錄下。用任意一個編輯器（如Sublime Text之類）打開這個nginx.conf文件。

找到HTTPS server配置的那一段（即包含有listen 443 ssl配置那一段）。我們發現這段代碼被注釋掉了。所以，首先我們把該段代碼前面的#號去掉。然后分別修改其中的ssl_certificate和ssl_certificate_key配置項為剛才所生成的buduhuisi.crt和buduhuisi.key這兩個文件的目錄。並配置server_name為localhost。修改后的該段配置如下：

server { listen 443 ssl; server_name localhost; ssl_certificate C://nginx//ssl//buduhuisi.crt; # 這個是證書的crt文件所在目錄 ssl_certificate_key C://nginx//ssl//buduhuisi.key; # 這個是證書key文件所在目錄 ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root html; # 這個是指定一個項目所在目錄 index index.html index.htm; # 這個是指定首頁的文件名 } } 

注意一下那兩個證書的文件路徑的寫法。

五、Nginx的常用操作

在繼續后面的內容之前，先簡單介紹下Windows命令行中操作Nginx的幾個常用的語句：

start nginx               # 啟動Nginx nginx.exe -s stop # 快速停止Nginx，可能並不保存相關信息 nginx.exe -s quit # 完整有序的停止Nginx，並保存相關信息 nginx.exe -s reload # 重新載入Nginx，當配置信息修改，需要重新載入這些配置時使用此命令。 nginx.exe -s reopen # 重新打開日志文件 nginx -v # 查看Nginx版本 

因為修改了配置文件，所以需要退出控制台，並重新打開一個控制台。執行如下命令：

cd c:\nginx nginx.exe -s quit start nginx 

即退出Nginx，然后再重新啟動它。這時候，在瀏覽器地址欄輸入https://localhost並回車。

這時候，你可能看到“您的連接不是私密連接”的提示，單擊頁面中的“高級”，並接着單擊“繼續前往m.test.com（不安全）”，就可以看到Nginx的歡迎界面了。說明https服務器已經配置成功了。

如果你只想用https://localhost訪問這個https服務器，那么下面的內容你就不用接着往下看了。

但是，也許你可能還想要用一個別的域名（例如：https://m.test.com）來訪問這個服務器。那么怎么做呢？這就需要繼續往下看了。

六、修改hosts配置，實現域名映射

要想用別的域名來訪問上文配置好的https服務器，也很簡單，修改hosts配置就可以了。你可以到這里下載一個hosts管理工具——SwitchHosts。安裝號好之后，以管理員身份運行它。並添加上一個hosts項：

127.0.0.1 m.test.com 

這樣，你就可以通過https://m.test.com來訪問配置好的https服務器了。

順便提一下，關於Mac環境下如何映射一個http路徑到一個https路徑，可以通過Charles工具來實現。參見這里。

 

使用OpenSSL為Nginx配置HTTPS證書

作者:admin    時間:2017-4-5 12:3:17    瀏覽: 3555

 

OpenSSL官方推薦win32可執行文件版下載：

 

一、證書制作

1、制作CA證書：

ca.key CA私鑰：

• openssl genrsa -des3 -out ca.key 2048

制作解密后的CA私鑰（一般無此必要）：

• openssl rsa -in ca.key -out ca_decrypted.key

ca.crt CA根證書（公鑰）：

• openssl req -new -x509 -days 7305 -key ca.key -out ca.crt

2、制作生成網站的證書並用CA簽名認證

在這里，假設網站域名為www.webkaka.com

生成www.webkaka.com證書私鑰：

• openssl genrsa -des3 -out www.webkaka.com.pem 1024

制作解密后的www.webkaka.com證書私鑰：

• openssl rsa -in www.webkaka.com.pem -out www.webkaka.com.key

生成簽名請求：

• openssl req -new -key www.webkaka.com.pem -out www.webkaka.com.csr

在common name中填入網站域名，如www.webkaka.com即可生成改站點的證書，同時也可以使用泛域名如*.webkaka.com來生成所有二級域名可用的網站證書。

用CA進行簽名：

• openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in www.webkaka.com.csr -out www.webkaka.com.crt

其中，policy參數允許簽名的CA和網站證書可以有不同的國家、地名等信息，days參數則是簽名時限。

如果在執行簽名命令時，出現“I am unable to access the ../../CA/newcerts directory”

修改 /etc/pki/tls/openssl.cnf 中“dir = ./CA”

然后：

• mkdir -p CA/newcerts
• touch CA/index.txt
• touch CA/serial
• echo "01" > CA/serial

再重新執行簽名命令。

最后，把ca.crt的內容粘貼到www.webkaka.com.crt后面。這個比較重要！因為不這樣做，可能會有某些瀏覽器不支持。

好了，現在https需要到的網站私鑰www.webkaka.com.key和網站證書www.webkaka.com.crt都准備完畢。接下來開始配置服務端。

二、配置Nginx服務器

新開一個虛擬主機，並在server{}段中設置：

• listen 443;
• ssl on;
• ssl_certificate /path/to/www.webkaka.com.crt;
• ssl_certificate_key /path/to/www.webkaka.com.key;

其中的路徑是剛剛生成的網站證書的路徑。

然后使用一下命令檢測配置和重新加載nginx：

    檢測配置：

• nginx -t

    重新加載：

• nginx -s reload

三、優化nginx配置

1、優化nginx性能

在http{}中加入：

• ssl_session_cache shared:SSL:10m;
• ssl_session_timeout 10m;

據官方文檔所述，cache中的1m可以存放4000個session。

在配置https的虛擬主機server{}中加入：

• keepalive_timeout 70;

2、有時在phpMyAdmin等程序登入后會錯誤地跳轉http的問題。

解決方法是定位至 “location ~ .*\.(php|php5)?${}” 在include fcgi.conf;或者在fastcgi_param配置后面加上：

• fastcgi_param HTTPS on;
• fastcgi_param HTTP_SCHEME https;

在這里是nginx官方的關於https的文檔：

 

 

 參考：

https://www.cnblogs.com/weifeng1463/p/7943633.html

http://www.webkaka.com/tutorial/server/2017/040516/

https://www.cnblogs.com/chasewade/p/7661290.html