1)下載安裝mkcert
wget -O mkcert https://github.com/FiloSottile/mkcert/releases/download/v1.4.3/mkcert-v1.4.3-linux-amd64
為二進制文件添加可執行權限,並移動到 $PATH 中:
chmod +x mkcert
mv mkcert /usr/local/bin/
檢查 mkcert 的版本:
mkcert -version
如果版本顯示正常,說明安裝無誤。接下來,我們看看 mkcert 是如何創建證書的。
2)為nginx中的域名配置證書
mkcert -cert-file /etc/nginx/ssl/dev.crt -key-file /etc/nginx/ssl/dev.key dev.sleepyocean.cn
如果ssl目錄不存在,創建ssl目錄即可。
3)修改域名的https的nginx配置
server {
listen 443 ssl;
server_name dev.sleepyocean.cn;
ssl on;
ssl_certificate /etc/nginx/ssl/dev.crt;
ssl_certificate_key /etc/nginx/ssl/dev.key;
ssl_session_timeout 10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://web.sleepyocean.cn;
}
}
刷新nginx配置
nginx -s reload
4)在需要訪問該域名的機器上安裝證書
# 查看證書路徑
> mkcert -CAROOT
/root/.local/share/mkcert
# 查看證書
> ls /root/.local/share/mkcert
rootCA-key.pem rootCA.pem
下載rootCA.pem文件到PC上,重命名為rootCA.crt,然后安裝證書。