Nginx配置SSL自簽名證書的方法

2024-08-30 12:29:36

字體：大中小

來源：轉載

供稿：網友

生成自簽名SSL證書

生成RSA密鑰(過程需要設置一個密碼,記住這個密碼)

$ openssl genrsa -des3 -out domain.key 1024

拷貝一個不需要輸入密碼的密鑰文件

$ openssl rsa -in domain.key -out domain_nopass.key

生成一個證書請求

$ openssl req -new -key domain.key -out domain.csr

這里會提示輸入國家,地區組織,email等信息.最重要的一個是"common name",需要與網站域名相同.

Enter pass phrase for domain.key:              # 之前設置的密碼-----Country Name (2 letter code) [XX]:CN            # 國家State or Province Name (full name) []:Jilin         # 地區或省份Locality Name (eg, city) [Default City]:Changchun      # 地區局部名Organization Name (eg, company) [Default Company Ltd]:Python # 機構名稱Organizational Unit Name (eg, section) []:Python      # 組織單位名稱Common Name (eg, your name or your server's hostname) []:domain.com # 網站域名Email Address []:[email protected]               # 郵箱A challenge password []:                  # 私鑰保護密碼,可直接回車An optional company name []:                # 一個可選公司名稱,可直接回車

輸入完這些就會生成一個domain.csr文件,提交給ssl提供商的時候就是這個csr文件.當然這里并沒有向任何證書提供商申請,而是自己簽發證書.

使用上面的密鑰和CSR對證書簽名

$ openssl x509 -req -days 365 -in domain.csr -signkey domain.key -out domain.crt

Nginx下ssl配置方法

檢測nginx是否支持SSL:

$ nginx -V

如果有顯示-with-http_ssl_module表示已編譯openssl,支持安裝ssl.

如果沒有,請重新編譯安裝nginx

$ ./ configure --with-http_ssl_module --with-http_stub_status_module$ make & make install

配置文件:

server {  listen 80;  listen 443 ssl;        # 監聽443端口, 開啟ssl(必須)  server_name domain.com;    # ssl on;   # 不建議使用! 該指令與listen中ssl參數功能相同.  # 引用ssl證書(必須,如果放在nginx/conf/ssl下可以用相對路徑,其他位置必須用絕對路徑)  ssl_certificate   /home/user/domain.com/conf/ssl/domain.crt;  ssl_certificate_key /home/user/domain.com/conf/ssl/domain_nopass.key;  # 協議優化(可選,優化https協議,增強安全性)  ssl_protocols    TLSv1 TLSv1.1 TLSv1.2  ssl_ciphers     ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;  ssl_prefer_server_ciphers on;  ssl_session_cache  shared:SSL:10m;  ssl_session_timeout 10m;  # 自動跳轉到HTTPS  if ($server_port = 80) {    rewrite ^(.*)$ https://$host$1 permanent;  }  # 其他配置信息...}

配置完成后檢查niginx配置文件是否可用: