通過openssl生成證書
(1)設置server.key,這里需要設置兩遍密碼:
openssl genrsa -des3 -out server.key 1024
(2)參數設置,首先這里需要輸入之前設置的密碼:
openssl req -new -key server.key -out server.csr
然后需要輸入如下的信息
Country Name (2 letter code) [AU]: 國家名稱
State or Province Name (full name) [Some-State]: 省
Locality Name (eg, city) []: 城市
Organization Name (eg, company) [Internet Widgits Pty Ltd]: 公司名
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []: 網站域名
Email Address []: 郵箱
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: 這里要求輸入密碼
An optional company name []:
(3)寫RSA秘鑰(這里也要求輸入之前設置的密碼):
openssl rsa -in server.key -out server_nopwd.key
(4)獲取證書
openssl x509 -req -days 365 -in server.csr -signkey server_nopwd.key -out server.crt
(5)完成這一步之后就得到了我們需要的證書文件和RSA私鑰了
- server.crt
- server_nopwd.key
配置nginx服務器,支持https訪問
把前面一步生成的文件拷貝出來,然后修改nginx配置文件,添加ssl支持。
在nginx配置文件新增server節點以便用於支持https的443端口。
server {
listen 443 ssl;
server_name 127.0.0.1; #域名
ssl on; #如果強制HTTPs訪問,這行要打開
ssl_certificate /ssl/server.crt; #分別將路徑指向證書文件和密匙文件
ssl_certificate_key /ssl/server_nopwd.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
# 指定密碼為openssl支持的格式
ssl_protocols SSLv2 SSLv3 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5; # 密碼加密方式
ssl_prefer_server_ciphers on; # 依賴SSLv3和TLSv1協議的服務器密碼將優先於客戶端密碼
# 定義首頁索引目錄和名稱
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
#重定向錯誤頁面到 /50x.html
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
后記
自簽證書是不會被瀏覽器所信任的證書,用戶在訪問自簽證書時,瀏覽器會警告用戶此證書不受信任,需要人工確認是否信任此證書。所有使用自簽證書的網站都明確地告訴用戶出現這種情況,用戶必須點信任並繼續瀏覽!這就給中間人攻擊造成了可之機。