给Nginx配置一个自签名的SSL证书

最新推荐文章于 2025-06-10 23:39:33 发布
最新推荐文章于 2025-06-10 23:39:33 发布
阅读量180 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/3242075/blog/1844570
本文介绍了HTTPS的基本原理及两种验证模式,并详细展示了如何通过openssl创建自签名SSL证书的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

     要保证Web浏览器到服务器的安全连接,HTTPS几乎是唯一选择。HTTPS其实就是HTTP over SSL,也就是让HTTP连接建立在SSL安全连接之上。

     SSL使用证书来创建安全连接。有两种验证模式:

  1. 仅客户端验证服务器的证书,客户端自己不提供证书;

  2. 客户端和服务器都互相验证对方的证书。

     显然第二种方式安全性更高,一般用网上银行会这么搞,但是,普通的Web网站只能采用第一种方式。客户端如何验证服务器的证书呢?服务器自己的证书必须经过某“权威”证书的签名,而这个“权威”证书又可能经过更权威的证书签名,这么一级一级追溯上去,最顶层那个最权威的证书就称为根证书。根证书直接内置在浏览器中,这样,浏览器就可以利用自己自带的根证书去验证某个服务器的证书是否有效。下图为chrome的系统根证书:

09fd7f5973dac278138b2ce3ffe4ac9453f.jpg

下面简单介绍如何创建一个自签名的SSL证书。

创建自签名证书需要安装openssl,使用以下步骤:

  1. 创建Key;

  2. 创建签名请求;

  3. 将Key的口令移除;

  4. 用Key签名证书。

为HTTPS准备的证书需要注意,创建的签名请求的CN必须与域名完全一致,否则无法通过浏览器验证。

以上步骤命令繁琐,所以我做了一个shell脚本:

#!/bin/sh

      # create self-signed server certificate:

      read -p "Enter your domain [www.example.com]: " DOMAIN

      echo "Create server key..."

      openssl genrsa -des3 -out $DOMAIN.key 1024

      echo "Create server certificate signing request..."

      SUBJECT="/C=US/ST=Mars/L=iTranswarp/O=iTranswarp/OU=iTranswarp/CN=$DOMAIN"

      openssl req -new -subj $SUBJECT -key $DOMAIN.key -out $DOMAIN.csr

      echo "Remove password..."

      mv $DOMAIN.key $DOMAIN.origin.key
      openssl rsa -in $DOMAIN.origin.key -out $DOMAIN.key

      echo "Sign SSL certificate..."

      openssl x509 -req -days 3650 -in $DOMAIN.csr -signkey $DOMAIN.key -out $DOMAIN.crt

      echo "TODO:"
      echo "Copy $DOMAIN.crt to /etc/nginx/ssl/$DOMAIN.crt"
      echo "Copy $DOMAIN.key to /etc/nginx/ssl/$DOMAIN.key"
      echo "Add configuration in nginx:"
      echo "server {"
      echo "    ..."
      echo "    listen 443 ssl;"
      echo "    ssl_certificate     /etc/nginx/ssl/$DOMAIN.crt;"
      echo "    ssl_certificate_key /etc/nginx/ssl/$DOMAIN.key;"
      echo "}"
$ ./gencert.sh 
Enter your domain [www.example.com]: www.test.com          
Create server key...
Generating RSA private key, 1024 bit long modulus
.................++++++
.....++++++
e is 65537 (0x10001)
Enter pass phrase for www.test.com.key:输入口令
Verifying - Enter pass phrase for www.test.com.key:输入口令
Create server certificate signing request...
Enter pass phrase for www.test.com.key:输入口令
Remove password...
Enter pass phrase for www.test.com.origin.key:输入口令
writing RSA key
Sign SSL certificate...
Signature ok
subject=/C=US/ST=Mars/L=iTranswarp/O=iTranswarp/OU=iTranswarp/CN=www.test.com
Getting Private key
TODO:
Copy www.test.com.crt to /etc/nginx/ssl/www.test.com.crt
Copy www.test.com.key to /etc/nginx/ssl/www.test.com.key
Add configuration in nginx:
server {
    ...
    ssl on;
    ssl_certificate     /etc/nginx/ssl/www.test.com.crt;
    ssl_certificate_key /etc/nginx/ssl/www.test.com.key;
}

 

红色部分是输入,注意4次输入的口令都是一样的。

在当前目录下会创建出4个文件:

  • www.test.com.crt:自签名的证书
  • www.test.com.csr:证书的请求
  • www.test.com.key:不带口令的Key
  • www.test.com.origin.key:带口令的Key

Web服务器需要把www.test.com.crt发给浏览器验证,然后用www.test.com.key解密浏览器发送的数据,剩下两个文件不需要上传到Web服务器上。

以Nginx为例,需要在server {...}中配置:

server {
    ...
    ssl on;
    ssl_certificate     /etc/nginx/ssl/www.test.com.crt;
    ssl_certificate_key /etc/nginx/ssl/www.test.com.key;
}

访问:https://www.test.com

0e5119d6ada26eb3b21ebe4338ec35040b4.jpg

标记此证书为受信任的证书。

注:访问https://www.test.com时出现如下页面:

d70e5e0215af3e9a987904935240dd9008b.jpg

是因为本地电脑开启了vpn,关了vpn后一切正常。

转载于:https://my.oschina.net/u/3242075/blog/1844570

chipa8836
关注
nginx生成自签名SSL证书配置HTTPS
qq11771258的博客
07-15 1836
在浏览器访问https//xxx.xxx.xxx.xxx:443。
Nginx 生成、配置SSL证书&让浏览器信任证书
rkmhr_sef的博客
12-30 1601
注:-extfile private.ext -extensions SAN 是指告诉OpenSSL从private.ext文件中读取[SAN]下扩展的定义,并将其应用到正在生成的证书中。下面 以上文 “模拟CA机构方式生成证书(生成证书方式二,推荐)” 方式安装CA证书到本地,让浏览器信任证书。注:在访问网站使用的IP或者域名,必须是 subjectAltName 下指定的域名或者IP。正常情况下,用浏览器访问自签名证书网站,那么浏览器会提示当前网站不安全,证书不受信任。安装证书,让浏览器信任证书
Nginx自签证书HTTPS配置
最新发布
qq_37805832的博客
06-10 632
自签证书允许您在开发环境或内部网络中启用HTTPS,而无需从CA购买证书。虽然浏览器会显示安全警告,但对于开发和测试环境来说是完全可行的解决方案。✅ 生成自签SSL证书配置Nginx支持HTTPS✅ 设置HTTP到HTTPS重定向✅ 优化SSL安全参数✅ 处理常见问题现在您可以在开发环境中安全地使用HTTPS了!记住:自签证书仅适用于开发和测试环境,生产环境请使用CA签发的正式证书
nginx配置自签名ssl证书(轻松实现https连接)
Mr.ACO的专栏
04-16 1万+
在我们的博客搭建好了之后呢,通过域名访问会提示不安全,那么怎么解决这个问题呢。我们可以通过对我们的域名申请ssl证书来解决。还是以视频为主,这个文字更多的是一些用到的指令的罗列吧。 在开始之前我们要保证etc/ssl目录存在,用于保存我们的私钥和证书文件。 没有则新建目录etc/ssl 1 mkdir etc/ssl 编辑nginx配置文件 1 vim /usr/local/nginx/conf/nginx.
Nginx生成一个自签名SSL证书脚本
11-18
Nginx生成一个自签名SSL证书脚本
Nginx配置ssl自签名证书
lijunliang2017的博客
04-26 4654
1、生成ssl自签名证书 1)生成RSA密钥(过程需要设置一个密码,记住这个密码) $ openssl genrsa -des3 -out domain.key 1024 2)拷贝一个不需要输入密码的密钥文件 $ openssl rsa -in domain.key -out domain_nopass.key 3)生成一个证书请求 $ openssl req -new -key domain.key -out domain.csr 4)这里会提示输入国家,地区组织,email等信息.最
Nginx配置SSL自签名证书的方法
09-30
完成以上步骤后,Nginx应该已经配置好使用自签名SSL证书。访问你的网站时,浏览器可能会发出警告,因为这不是一个受信任的CA签署的证书。在生产环境中,为了消除这个警告,你应该使用由受信任CA签署的证书。但在开发...
nginx快速配置自签SSL域名证书
平庸
04-30 1459
为域名配置自签的SSL证书
Nginx实现自签名SSL证书生成与配置
热门推荐
云计算之路
04-30 1万+
本文讲解了如何创建自签名SSL证书,并讲解了什么是公钥、私钥、加密私钥以及签名和证书的概念,详细讲解了如何生成公钥、私钥、加密私钥以及如何签名生成证书,并且讲解了如何通过nginx配置实现https的功能。提供了使用私钥的报错及解决方法
nginx生成自签名证书
weixin_33806300的博客
05-18 199
https://blog.youkuaiyun.com/qq_26819733/article/details/53431662 https://www.liaoxuefeng.com/article/0014189023237367e8d42829de24b6eaf893ca47df4fb5e000 https://blog.youkuaiyun.com/thc1987/article/details/527122...
Nginx配置使用自签名证书
m2_34567的博客
08-24 1077
Nginx配置使用自签名证书 openssl和keytool生成证书有什么区别 自签名证书和CA机构颁发的证书的区别 使用openssl创建自签名证书步骤 生成CA根证书 1) 创建私钥(rootCA.key) openssl genrsa -out rootCA.key 2048 2) 创建CA根证书(rootCA.crt) openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt ## 输
openssl 生成nginx自签名证书
qq_26408545的博客
02-23 2321
openssl req命令主要的功能有,生成证书请求文件, 查看验证证书请求文件,还有就是生成自签名证书。主要参数主要命令选项:-new :说明生成证书请求文件-x509 :说明生成自签名证书-key :指定已有的秘钥文件生成秘钥请求,只与生成证书请求选项-new配合。-newkey :-newkey是与-key互斥的,-newkey是指在生成证书请求或者自签名证书的时候自动生成密钥,然后生成的密钥名称由-keyout参数指定。
nginx自签名证书以及http跳https
s7827462的博客
09-11 296
自签名 自签名 编译安装需的话需要加--with-http_ssl_module模块 自签名CA证书 openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 365 -out ca.crt Country Name (2 letter code) [AU]:CN #国家代码 State or Province Name (full name) [Some-State]:GuangDong #省份 Lo
[运维] 生成nginx 自签名ssl证书
梦醒贰零壹柒
07-16 699
将 /path/to/csr.csr 替换为 CSR 文件的路径和文件名,将 /path/to/private.key 替换为私钥文件的路径和文件名,将 /path/to/certificate.crt 替换为你想要保存证书文件的实际路径和文件名。将 /path/to/private.key 替换为私钥文件的路径和文件名,将 /path/to/csr.csr 替换为你想要保存 CSR 文件的实际路径和文件名。将 /path/to/private.key 替换为你想要保存私钥文件的实际路径和文件名。
Nginx配置Https自定义签名证书
weixin_51788950的博客
02-13 1304
Nginx配置Https自定义签名证书
Nginx自签名证书配置
xtkinglong的专栏
08-19 6070
配置了需要输入密码的key后,nginx一直启动不成功,使用的是centos7(PS:不知道和版本什么的有关系没)有如下两种方法进行签名,通过私钥进行签名,输入密码;签名:使用私钥key与公钥csr进行证书server.crt生成的过程称为签名。因为浏览器内置了CA颁发的证书,我们是使用自签名进行证书的生成。需要输入密码,刚生成私钥key设置的,111111;如果采用4.2,则不用。然后将key配置改为3、生成解密的私钥key,nginx成功启动。吾日更日省吾身,软件的世界话不多说,撸起袖子敲代码,即可!
Nginx 配置自签证书、负载均衡及现代化生产级配置模板指南
欢迎来到烟火气知识小天地!这里记录生活、工作中的 “小麻烦”,从软件故障到生活难题,我会毫无保留分享解决思路与方法,愿成为你排忧解难时的温暖参考,伴你在解决问题路上稳步前行。
11-11 2196
OpenSSL证书生成与Nginx现代化配置指南:首先介绍在Ubuntu系统安装OpenSSL的方法,随后详细讲解生成加密私钥、CSR请求和自签名证书的完整流程,强调Docker环境下需确保SSL文件挂载到容器卷。重点提供Nginx现代化配置方案,包括TLS优化参数、HTTP/2和HTTP/3同端口支持、Gzip压缩设置,以及80端口自动跳转HTTPS的实现。配置涵盖了安全增强措施(隐藏版本号、会话缓存优化)、多域名代理处理、负载均衡设置等企业级特性,并特别说明Windows系统需注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值