2020年最后一篇博文收官,提前祝各位園友新年快樂
現在的后端開發,動不動就是需要https,或者說是需要ssl證書,既然沒有正版的證書,那么我們只能自己制作ssl的證書了。
說明:證書的制作采用的是openssl工具,如果沒有,可以自行安裝下,因為筆者是在linux(ubuntu)下制作,所以一般是使用包管理工具(apt)安裝好了的
如果覺得證書制作比較麻煩,這里是本文制作好的證書:https://pan.baidu.com/s/1MJ5YmuZiLBnf-DfNR_6D7A (提取碼:c6tj),密碼都是:123456
園友可下載證書,然后根據后文nginx和IIS的使用方法來使用證書。
制作SSL證書
好了,先創建一個空目錄,在這個空目錄下開始制作:
1、生成私鑰Key
執行下面的命令生成私鑰Key:
sudo openssl genrsa -des3 -out demo.key 1024
# openssl genrsa 命令是會用來生成RSA私有秘鑰,不會生成公鑰,因為公鑰提取自私鑰
# -des3 指定加密私鑰文件用的算法,可以不用指定加密算法(自己測試用的話推薦不指定加密算法),可選:-des|-des3|-idea
# -out demo.key 將生成的私鑰保存至指定文件
# 1024 指定要生成的私鑰的長度(單位 bit),默認為1024,一般要么就是1024或者2048
生成過程中會讓輸入密碼,這里我測試使用的,直接輸入了:123456
注:上面生成的demo.key中使用了-des3加密算法參數,所以在部署使用后,如果需要重啟,可能會要求輸入密碼確認,比如nginx -s reload時,這樣在自己測試使用時就很麻煩了
解決辦法有兩個:
a.生成密碼后再刪除密碼
比如上面生成了一個demo.key的私鑰文件,執行下面的命令可以重置:
sudo openssl rsa -in demo.key -out temp.key && sudo rm demo.key && sudo mv temp.key demo.key
b.在生成私鑰是不要指定-des3參數
比如上面的生成demo.key的命令換成:
sudo openssl genrsa -out demo.key 1024
2、生成證書請求文件
執行下面的命令生成證書請求文件:
sudo openssl req -new -key demo.key -out demo.csr
# openssl req 命令主要的功能有,生成證書請求文件, 查看驗證證書請求文件,還有就是生成自簽名證書
# -new 說明生成證書請求文件
# -key demo.key 指定已有的秘鑰文件生成秘鑰請求,只與生成證書請求選項-new配合。
# -out demo.csr 指定生成的證書請求或者自簽名證書名稱
命令執行后會讓輸入一些證書信息,具體可參考下圖:
3、生成crt證書文件
執行下面的命令生成證書文件:
sudo openssl x509 -req -days 36500 -in demo.csr -signkey demo.key -out demo.crt
# openssl x509 命令主要用於輸出證書信息,簽署證書請求文件、生成自簽名證書、轉換證書格式等
# -req 表明后面輸入的是一個證書請求文件
# -days 36500 證書的有效期,單位是天(一百年后我們再見吧)
# -in demo.csr 指定輸入文件
# -signkey demo.key 簽名證書秘鑰
# -out demo.crt 指定證書的輸出文件
如果提示類似如下,說明生成成功了:
4、生成pfx證書安裝包
執行下面命令生成安裝包文件:
sudo openssl pkcs12 -export -inkey demo.key -in demo.crt -out demo.pfx
# openssl pkcs12 命令用於生成和分析pkcs12文件
# -export 指定了一個PKCS#12文件將會被創建
# -inkey demo.key 指定私鑰文件的位置。如果沒有被指定,私鑰必須在-in filename中指定
# -in demo.crt 指定私鑰和證書讀取的文件
# -out demo.pfx 指定輸出的pkcs12文件
執行命令后會輸入密碼,這里我輸入同樣是:123456
至此,證書就制作完成了,我們得到4個文件:
demo.crt:crt證書文件,nginx配置時可以用到
demo.csr:crt證書請求文件,現在基本上沒什么用了
demo.key:私鑰,nginx配置時可以用到
demo.pfx:證書安裝包,iis部署時可以用到
Nginx配置使用證書
創建一個nginx配置配置文件:
server { listen 4430 ssl; listen [::]:4430 ssl; ssl on; ssl_certificate /home/feng/ssl/demo.crt; #crt證書文件 ssl_certificate_key /home/feng/ssl/demo.key; #私鑰文件 ssl_session_timeout 5m; ssl_protocols SSLv3 SSLv2 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; ssl_prefer_server_ciphers on; root /var/www/html; index index.html index.htm index.nginx-debian.html; server_name _; location / { try_files $uri $uri/ =404; } }
注意,這里我為了區分,沒有使用默認的443端口,而是使用了4430端口
接着使用 nginx -t 驗證和使用 nginx -s reload 重新加載后,使用瀏覽器訪問4430可訪問到了,只不過會提示存在風險,畢竟證書是自己制作的,如下圖:
點擊高級=》接受風險就可以了
IIS配置使用證書
IIS配置證書需要pfx證書安裝包(demo.pfx),這里以IIS7為例:
打開IIS,在主頁中點擊【服務器證書】
點擊右邊操作的【導入】,選擇創建好的pfx證書文件,輸入創建文件時輸入的密碼(上面第4步創建pfx文件時輸入的密碼,這里是123456):
接着選擇你要設置添加https請求類型的網站,在右邊操作中點擊【綁定】,然后按照下圖操作:
然后重啟一下站點,在指定的端口使用https請求了
注:如果你的電腦安裝了VMware等工具,443端口可能啟動報錯,可能提示:另一個程序正在使用此文件,進程無法訪問。解決辦法參考:http://www.youxia.org/2018/01/36418.html
程序中使用證書
有時,我們還可能需要在程序中使用證書,比如在使用Grpc,我們默認是使用https的,或者我們只是想使用https請求,那么我們可能需要在程序中使用證書來操作,比如.net core中使用自制證書來生成https請求的項目:
我們創建一個.net core的web項目,使用上面創建的demo.pfx,修改Program.cs:
public class Program { public static void Main(string[] args) { CreateHostBuilder(args).Build().Run(); } public static IHostBuilder CreateHostBuilder(string[] args) => Host.CreateDefaultBuilder(args) .ConfigureWebHostDefaults(webBuilder => { webBuilder.ConfigureKestrel(options => { options.ListenAnyIP(5000, listenOptions => { listenOptions.UseHttps(@"C:\inetpub\wwwroot\demo.pfx", "123456"); }); }); webBuilder.UseStartup<Startup>(); }); }
啟動之后就可以使用https請求訪問了