openssl自制证书并配置nginx

最新推荐文章于 2025-06-19 15:35:37 发布
最新推荐文章于 2025-06-19 15:35:37 发布
阅读量2.4k 收藏 18
点赞数 1
CC 4.0 BY-SA版权
文章标签: nginx https ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yangdengqi/article/details/121809798

概念

key:私钥

csr:证书申请文件,生成证书时要把这个提交给权威的证书颁发机构,颁发机构审核通过之后,再根据这些申请信息生成相应的证书。

crt:证书

一般流程

1.创建服务器私钥

2.生成证书请求文件并发送给证书颁发机构(自签代替)获取证书

3.部署

实现

生成(待部署服务器上的)证书

1.创建服务器私钥

openssl genrsa -out server.key 2048 #rsa算法    2048长度
#openssl genrsa -des3 -out server.key 2048 #-des3可选,为server.key设置密码,后续用到此文件时要输入密码

2.生成证书请求文件

openssl req -new -key server.key -out server.csr

3.发送给CA获取证书获取签名

此步骤由自制根证书签名代替,步骤如下:

自制CA根证书并模拟颁发证书

1.创建根证书私钥

openssl genrsa -out ca.key 2048

2.创建根证书

openssl req -new -x509 -sha256 -days 365 -key ca.key -out ca.crt
#填写信息的时候CN项(Common Name (e.g. server FQDN or YOUR name))填写本机的hostname即可
#它代表颁发者

#其实上述命令可拆分成两条命令理解
#1.生成证书请求
#openssl req -new -key ca.key -out ca.csr
#2.自签署
#openssl x509 -req -sha256 -days 365 -in ca.csr -signkey ca.key -out ca.crt

3.模拟根证书签名颁发证书

将待部署服务器上生成的请求文件(csr)拿过来

openssl x509 -req -sha256 -days 365 -in server.csr -CA ca.crt \
 -CAkey ca.key -CAcreateserial -out server.crt

特别注意:上述命令生成的证书使用后,浏览器还是会报错:NET::ERR_CERT_COMMON_NAME_INVALID

解决办法:创建文本文件ext.conf,内容如下:

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
IP.1 = 192.168.110.160
#如果是域名
#DNS.1=www.test.com

openssl x509 -req -sha256 -days 365 -in server.csr -CA ca.crt \
-CAkey ca.key -CAcreateserial -out server.crt -extfile ext.conf

生成的server.crt即为服务器所需的证书

部署

1.服务器部署

安装好nginx,修改配置/etc/nginx/nginx.conf


    # HTTPS server
    #
    server {
        listen       443 ssl;
        server_name  localhost;

        ssl_certificate      /userdata/caTest/server/server.crt;
        ssl_certificate_key  /userdata/caTest/server/server.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

nginx重载配置或重启服务,服务器部署完成。

2.客户端

下载ca.crt,并安装。

 

 

 将ca证书添加信任后,所有由此ca签名的server都会被信任,无需重复添加。

至此,所有配置完成。

效果图:

双向认证

1.生成客户端私钥

openssl genrsa -out client-key.key 2048

2.生成证书请求

openssl req -new -out client-req.csr -key client-key.key

3.生成客户端证书

openssl x509 -req -in client-req.csr -out client-cert.cer -signkey client-key.key -CA ca.crt -CAkey ca.key -CAcreateserial -days 365


#生成客户端p12格式根证书(密码设置)
openssl pkcs12 -export -clcerts -in client-cert.cer -inkey client-key.key -out client.p12

4.配置nginx

    # HTTPS server
    #
    server {
        listen       443 ssl;
        server_name  localhost;

        ssl_certificate      /userdata/caTest/server/server.crt;
        ssl_certificate_key  /userdata/caTest/server/server.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
        #客户端认证
        ssl_client_certificate /userdata/caTest/ca/ca.crt;
        ssl_verify_client on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

5.客户端证书导入

下载client.p12到客户端,导入到浏览器。

设置->安全 ->证书管理->个人->导入->client.p12

Ydengqi
关注
OpenSSL创建SSL证书
悦分享
06-03 5512
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名,证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
openssl生成证书nginx配置ssl证书
weixin_44153121的博客
03-30 1832
一般情况下,使用ssl证书需要三个操作步骤:1.生成密钥对;2.生成证书请求文件;3.生成证书文件。从单纯的开发者角度来说,可以使用开源的openssl生成密钥和证书,且通过openssl的req命令,可以一个命令完成上述3个操作
openssl建立证书,非常详细配置ssl+apache
weixin_34106122的博客
05-04 4871
一,什么是ssl SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览...
openssl 自签证书生成步骤
最新发布
AnalogElectronic的博客
06-19 979
命令ext.cnf文件[req]commonName = 10.11.111.11 # 必须与访问IP一致[v3_req]subjectAltName = @alt_names # 关键SAN配置# 必须同时声明 IP 和 DNS 格式IP.1 = 10.11.111.11 # IP 地址格式DNS.1 = 10.11.111.11 # DNS 格式(解决 DNSNames 错误的核心)参考。
openssl 生成nginx自签名的证书
qq_26408545的博客
02-23 2319
openssl req命令主要的功能有,生成证书请求文件, 查看验证证书请求文件,还有就是生成自签名证书。主要参数主要命令选项:-new :说明生成证书请求文件-x509 :说明生成自签名证书-key :指定已有的秘钥文件生成秘钥请求,只与生成证书请求选项-new配合。-newkey :-newkey是与-key互斥的,-newkey是指在生成证书请求或者自签名证书的时候自动生成密钥,然后生成的密钥名称由-keyout参数指定。
使用OpenSSL生成证书-nginx
weixin_34059951的博客
12-16 263
为什么80%的码农都做不了架构师?>>> ...
Windows.OpenSSL生成ssl证书配置nginx
qq_36577291的博客
01-07 3225
所谓的序列号是一个包含一个十六进制正整数的文件,在默认情况下,该文件的名称为输入的证书名称加上.srl后缀,比如输入的证书文件为ca.cer,那么指令会试图从ca.srl文件中获取序列号,可以自己创建一个ca.srl文件,也可以通过-CAcreateserial选项来生成一个序列号文件。-CAcreateserial: 表示创建证书序列号文件(即上方提到的serial文件),创建的序列号文件默认名称为-CA,指定的证书名称后加上.srl后缀。根证书是用于证书签发的,证书的签发机构都有自己的根证书
openssl生成自签的证书且使用nginx配置https证书_openssl生产证书nginx ssl
2401_83947353的博客
04-12 598
这里要输入省市区信息,给出一个图片参考。
本地电脑基于nginxhttps单向认证和双向认证(自制证+nginx配置)保姆级
cshongye的专栏
09-22 3098
基于nginxhttps单向认证和双向认证(自制证+nginx配置)保姆级
界面化实现https证书生成nginx配置
07-31
标题“界面化实现https证书生成nginx配置”指的是一个通过Java程序实现的工具,它能够帮助用户方便地生成HTTPS证书自动配置Nginx服务器以启用HTTPS服务。这个工具简化了通常涉及命令行操作的SSL/TLS证书创建...
nginx制作和添加ssl证书nginx制作证书访问https
weixin_68100450的博客
07-09 948
修改配置完成后,重启 nginx 服务 nginx -s reload //使配置生效 使用 https 协议访问你的域名,如 https://test.com检查是否成功,如果地址栏出现绿色带安全字样的锁头标志,说明 SSL 配置已成功。在编译安装php7.4及其以上版本的时候,需要高版本的OpenSSLopenssl genrsa -out test.key 2048 制作证书 openssl req -new -x509 -days 365 -key test.key -out test.crt。
nginx配置https详细步骤,从安装OpenSSLNginx,到生成证书nginx配置(包括配置http请求转发到https)等
07-31
网络上很难找到非常详细的关于nginx配置https的全流程,大多都是一小段,要么缺A要么缺B。 本文档通过真实的实践经验,从安装OpenSSLNginx,到利用openssl生成证书配置nginxhttps(包括配置http请求转发到https)等,详细总结出nginx配置https的步骤,最终能帮助你配置成功。
生成Nginx用的OpenSSL证书
tangxinzhuan
12-02 3328
# 1) 生成RSA私钥 openssl genrsa -des3 -out server.key 1024 # 2) 生成签名 openssl req -new -key server.key -out server.csr # 3) 根据已生成的RSA私钥输出无加密的私钥 openssl rsa -in server.key -out server_nopass.key
Openssl生成证书-nginx使用ssl
m0_52369979的博客
11-03 1537
上面的过程其实是模拟了各大https证书厂商生成https证书的过程,其中涉及到了根证书等等一些概念,如果你不是太明白也没有关系,我们还有B方案,我只想要证书,不想搞得太深,那么请使用如下方法,简便快捷。6、根据CA机构的自签名证书ca.crt或者叫根证书生、CA机构的私钥ca.key、服务器的证书申请文件server.csr生成服务端证书。5、生成自签名证书,CA机构用自己的私钥和证书申请文件生成自己签名的证书,俗称自签名证书,这里可以理解为根证书。4、生成CA机构自己的证书申请文件。
openssl生成证书配置nginx,OpenSSL生成自签名证书,同时解决chrome浏览器中的不安全访问
weixin_49098230的博客
04-16 2475
自己签发CA证书再签发服务器证书的场景非常简单。把根CA证书导入到浏览器后,就可以信任由这个根CA直接签发的服务器证书。但是实际上网站使用的证书肯定都不是由根CA直接签发的,比如像优快云这种,网站使用的证书就是由二级CA颁发的证书
openssl证书配置
weixin_30609331的博客
01-21 427
我的环境是:Linux+Apache+MySQL+PHP 1.下载openssl 及相关依赖 #yum install -y openssl 2.进入目录 /etc/pki/tls/certs #cd /etc/pki/tls/certs 3.生成私钥文件(key) #openssl genrsa -des3 -out server.key 1024   在提...
Nginx使用openssl生成证书文件
Leon_Jinhai_Sun的博客
11-04 713
方式二:使用openssl生成证书 先要确认当前系统是否有安装openssl openssl version 安装下面的命令进行生成 mkdir /root/cert cd /root/cert openssl genrsa -des3 -out server.key 1024 openssl req -new -key server.key -out server.csr cp server.key server.key.org openssl rsa -in server.key.org -
nginx配置openssl证书
weixin_30865427的博客
06-25 731
引用出处: https://blog.youkuaiyun.com/liuchunming033/article/details/48470575 证书生成基本步骤:生成私钥(.key)-->生成证书请求(.csr)-->用CA根证书签名得到证书(.crt) CA根证书生成步骤 生成CA私钥(.key)-->生成CA证书请求(.csr)-->自签名得到根证书(.c...
Nginx 生成配置SSL证书&让浏览器信任证书
jianghuchuang的博客
11-07 1867
OpenSSL生成证书时,-CAkey 选项用于指定 CA(证书颁发机构)的私钥文件。这个私钥文件用于签署生成证书,从而证明证书是由该 CA 颁发的。希望这个示例能帮助你理解如何在 OpenSSL 中使用 -CAkey 选项生成证书生成完毕后,实际有用的只有 server.key 和 server.crt文件。生成证书时,需要 CA 的私钥来签署 CSR,从而生成最终证书。注:上文是使用自签名方式生成证书,你也可以先证书一个。-CAkey 选项用于指定 CA 的私钥文件。
nginx配置自制ssl证书
05-30
### 配置Nginx使用自签名SSL证书Nginx配置自签名SSL证书的过程主要包括以下几个方面:生成自签名证书、安装Nginx确保其支持SSL模块、配置Nginx以加载证书和私钥,以及测试HTTPS连接。以下是详细的说明: #### 1. 确保Nginx支持SSL模块 在配置自签名SSL证书之前,必须确认Nginx编译时启用了`--with-http_ssl_module`模块。可以通过以下命令检查Nginx的编译参数: ```bash nginx -V ``` 如果输出中包含`--with-http_ssl_module`,则表示Nginx支持SSL功能[^5]。 #### 2. 生成自签名SSL证书 可以使用OpenSSL工具生成自签名SSL证书及其对应的私钥。运行以下命令: ```bash openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout server.key -out server.crt ``` 上述命令将生成一个有效期为365天的自签名证书(`server.crt`)和私钥文件(`server.key`)。在执行过程中,需要填写一些信息,如国家代码、组织名称等[^2]。 #### 3. 安装Nginx启动服务 在CentOS 7上安装Nginx启动服务,可以运行以下命令: ```bash yum install epel-release -y yum install nginx -y systemctl start nginx ``` 这将安装Nginx启动服务[^3]。 #### 4. 配置Nginx以加载SSL证书 编辑Nginx的主配置文件(通常位于`/etc/nginx/nginx.conf`或`/etc/nginx/sites-available/default`),添加或修改以下内容: ```nginx server { listen 443 ssl; server_name localhost; ssl_certificate /path/to/server.crt; # 替换为实际的证书路径 ssl_certificate_key /path/to/server.key; # 替换为实际的私钥路径 location / { root /usr/share/nginx/html; index index.html index.htm; } } ``` 确保将`ssl_certificate`和`ssl_certificate_key`的路径替换为实际生成证书和私钥文件的位置[^4]。 #### 5. 测试配置重启Nginx 保存配置文件后,测试Nginx配置是否正确: ```bash nginx -t ``` 如果没有错误,重启Nginx服务以应用更改: ```bash systemctl restart nginx ``` #### 6. 访问HTTPS页面 打开浏览器访问`https://<服务器IP地址>`,应该能够看到由自签名证书保护的HTTPS页面。由于是自签名证书,浏览器可能会显示安全警告,但可以忽略继续访问[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值