1.要生成一個根證書私鑰
des3代表加密算法,還可以選擇-aes256等
2048代表加密強度
-passout pass:123456 這里直接輸入密碼
openssl genrsa -passout pass:123456 -des3 -out server.key 2048
2.使用根證書私鑰生成csr(證書簽名請求)
openssl req -passin pass:123456 -new -key server.key -out server.csr -subj "/C=CN/ST=ST/L=CITY/O=o/OU=ou/CN=www. test000001.com"
3.使用根證書私鑰和csr生成根證書
-days后面是天數,盡可能填大一點
天數后面是使用的算法,不要選擇sha1,谷歌瀏覽器會認為不安全
-extensions表示擴展屬性
-extfile表示擴展屬性所在的文件
openssl x509 -req -passin pass:123456 -days 18250 -sha256 -signkey server.key -extensions v3_ca -extfile /etc/pki/tls/openssl.cnf -in ca.csr -out ca.crt
4.去除密碼防止更新及登陸需要密碼驗證
openssl rsa -in server.key -out server.key.unsecure
提示輸入密碼,輸入上面配置的私鑰密碼
5.nginx配置文件:
server {
listen 443 default ssl; #監聽443端口
server_name www.test000001.com;
ssl_certificate /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key.unsecure;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
location / {
root /test_code;
index index.html;
}
}
# http訪問80端口自動跳轉到https
server {
listen 80;
server_name www.test000001.com;
rewrite ^(.*) https://www.test000001.com$1 permanent;
}
6.nginx -t -----檢測語法
nginx -s reload ------重新加載配置文件
7.www.test000001.com 訪問會提示不安全,高級---繼續訪問,導航欄可以看到是https訪問