在開發環境及私有環境下需要使用SSL,於是創建自簽發證書,而必須支持多域名、泛域名、直接IP訪問:
1、使用openssl,反正這個在centos是標配了,所以自己直接在centos中操作
2、因為要多個域名和IP,故而需要編輯一個配置文件,如下:
[req] default_bits = 2048 default_keyfile = privkey.pem distinguished_name = req_distinguished_name encrypt_key = no default_md = sha256 req_extensions = req_ext [req_distinguished_name] commonName_default = www.flymote.com commonName_max = 64 organizationName_default = flymote Technology Co.,Ltd. organizationalUnitName_default = IT Support Dept localityName_default = NanChang stateOrProvinceName_default = JiangXi countryName_default = CN [req_ext] subjectAltName = @alt_names [alt_names] DNS.1 = flymote.com DNS.2 = *.flymote.com DNS.3 = www.flymot.com DNS.4 = *.flymot.com IP.1 = 192.168.0.198 IP.2 = 192.168.1.198
其中:
commonName_default: 證書的主域名
organizationName_default: 企業/單位名稱
organizationalUnitName_default:企業部門
localityName_default: 城市
stateOrProvinceName_default: 省份
countryName_default: 國家代碼,一般都是CN(大寫)
[alt_names]: 后面為備用名稱列表,這個alt_names(包括req_ext)可以自己改,需req中調用
配置好該文件后,保存為san.conf (名字隨意定,下面用)
3、創建根證書
創建秘鑰
openssl genrsa -out LocalRootCA.key 2048
生成證書並自簽名
openssl req -sha256 -new -x509 -days 3650 -key LocalRootCA.key -out LocalRootCA.crt -subj "/CN=LocalRootCA"
4、使用前面的配置文件生成證書
openssl req -new -nodes -out myreq.csr -config san.conf -subj "/" -batch
最后域名CSR文件在myreq.csr中,域名私鑰在private.pem中,這樣域名的CSR 就產生了。
5、下面用根證書簽發
openssl x509 -req -in myreq.csr -CA LocalRootCA.crt -CAkey LocalRootCA.key -CAcreateserial -days 3560 -out mycom.crt -extfile san.conf -extensions req_ext
6、使用問題
WEB服務器不要忘記加載SSL的模塊!
防火牆不用忘記打開SSL端口!
配置WEB服務器時,使用
mycom.crt 和 private.pem (apache還需要用上
LocalRootCA.crt
)
將自己的CA證書
LocalRootCA.crt,添加到操作系統的信任證書里面就OK了!可以域名、泛域名、IP訪問SSL了