nginx+ca+https设置

最新推荐文章于 2024-04-18 09:04:10 发布
最新推荐文章于 2024-04-18 09:04:10 发布
阅读量3.4k 收藏 11
点赞数 1
文章标签: nginx ssl https ca
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cdnight/article/details/85012612
版权

前言

https加密协议恐怕是没办法避免的了。无论苹果还是微信现在很多地方都要用到https协议。不是的话就不给过。
也是醉了。
好了,说明一下这篇文章是:
nginx+ca+https设置【草稿试验版】

中最后试验出来的,
然后大约参考了:
【HTTPS】自签CA证书 && nginx配置https服务

OpenSSL生成证书对

解决自建ca认证后浏览器警告

用openssl自做CA自签发SSL证书

openssl、x509、crt、cer、key、csr、ssl、tls 这些都是什么鬼?

使用OpenSSL生成CSR文件,并申请全球通用SSL证书

OPENSSL生成SSL自签证书

Nginx下配置Https证书详细过程

nginx配置ssl证书实现https和http共存访问

https和http共存的nginx配置

强烈推荐:【因为这一篇可以一步到位完成】
如何为nginx配置https(免费证书)

配置过程

目录准备

我们先新建一个目录:

mkdir -p /etc/pki/CA/
cd /etc/pki/CA/

为什么偏要这个目录??额,我也不知道不过,
在这里插入图片描述

这个目录想必是openssl默认位置了。放在一起方便点吧。

在这里插入图片描述

然后,值得注意的是,为了方便新建多个证书,下面我将新建了各个文件夹,譬如,localhost,

mkdir -p localhost
cd localhost

在这里插入图片描述

错误隐患以及事先预防

这里提醒一下,等下用openssl命令行的时候可能会报错误,在草稿篇里面遇到过:
然后,问题1出现:
在这里插入图片描述

ca: ./demoCA/newcerts is not a directory
./demoCA/newcerts: No such file or directory

解决方案:
在这里插入图片描述

在这里插入图片描述

于是:
你可以在这样解决

cd /etc/pki/CA/
mkdir -p demoCA/newcerts
touch  demoCA/index.txt
touch demoCA/serial
echo  '01'>demoCA/serial

在这里插入图片描述

nginx开启https需要什么证书?

之前写过一篇《tomcat https配置方法(免费证书)》的简书(想看的可以去我的主页里面看下,这两篇之间还是有许多相关联的知识的~),里面有提到过常用证书的分类,其中nginx使用的就是PEM格式的证书,我们将其拆分开就是需要两个文件,一个是.key文件,一个是.crt文件.
作者:夜_雪
链接:https://www.jianshu.com/p/9523d888cf77
來源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

生成key文件且去除密码

注意,1024位已经不安全了啊,现在要2048了,请参考:
在这里插入图片描述

cd /etc/pki/CA/localhost/
openssl genrsa -des3 -out server.key 2048

在这里插入图片描述

生成key的时候是需要密码的,不过,需要注意的是,假如直接拿这个key来用,那么每次用到它都要输一次密码,而用系统systemctl restart nginx的时候也会因为没有输入密码而导致:
在这里插入图片描述

这样的错误,所以为了方便,接下来是必然去掉密码好点的:

openssl rsa -in server.key -out server.key

在这里插入图片描述

创建服务器证书的申请文件server.csr

openssl req -new -key server.key -out server.csr

这里注意一下,
需要你输入很多内容,更有一个common name要留心,因为:

其中Country Name填CN,Common Name填主机名也可以不填,如果不填浏览器会认为不安全.(例如你以后的url为https://abcd/xxxx…这里就可以填abcd),其他的都可以不填.
作者:夜_雪
链接:https://www.jianshu.com/p/9523d888cf77
來源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

另外已经有兄弟遇到过了:
解决自建ca认证后浏览器警告

在这里插入图片描述

所以我们这样来做:

在这里插入图片描述

现在已经有私钥key,然后成功生成了csr — 证书签名申请 文件,接下来就是创建ca证书了

创建CA证书

openssl req -new -x509 -key server.key -out ca.crt -days 3650

在这里插入图片描述

ca的证书拿到手了,然后给自己做一个证书吧。

创建自当前日期起有效期为期十年的服务器证书server.crt

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt

在这里插入图片描述

ls你的文件夹,可以看到一共生成了5个文件:
ca.crt ca.srl server.crt server.csr server.key
其中,server.crt和server.key就是你的nginx需要的证书文件.

nginx配置

这里,只作为本地测试,我就配置为http和https共存。

在这里插入图片描述

注意,我们没有生成pem文件,ssl_certificate_key用的是 key文件。

当然你可以参考一下下文作者:

打开你的nginx配置文件,搜索443找到https的配置,去掉这段代码的注释.或者直接复制我下面的这段配置:

server {

    listen       443;
        server_name  localhost;
        ssl                  on;
        ssl_certificate     /root/Lee/keys/server.crt;#配置证书位置
        ssl_certificate_key  /root/Lee/keys/server.key;#配置秘钥位置
        #ssl_client_certificate ca.crt;#双向认证
        #ssl_verify_client on; #双向认证
 
        ssl_session_timeout  5m;
        ssl_protocols  SSLv2 SSLv3 TLSv1;
        ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
        ssl_prefer_server_ciphers   on;

将ssl_certificate改为server.crt的路径,将ssl_certificate_key改为server.key的路径.
nginx -s reload 重载配置
至此,nginx的https就可以使用了,默认443端口.
作者:夜_雪
链接:https://www.jianshu.com/p/9523d888cf77
來源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

这里我的配置是:

在这里插入图片描述

重启服务,查看结果

在这里插入图片描述

注意,如果你的nginx没有开启ssl功能,那么就只能自己编译了。

http访问:
在这里插入图片描述

https访问:

在这里插入图片描述

在这里插入图片描述

大功告成。

码农下的天桥
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx_CA证书创建
01-20
nginx 自建CA证书 //第一步,为服务器端和客户端准备公钥、私钥 #生成服务器端私钥 openssl genrsa -out server.key 1024 #生成服务器端公钥 openssl rsa -in server.key -pubout -out server.pem //第二步,生成 CA 证书 #生成 CA 私钥 openssl genrsa -out ca.key 1024 #X.509 Certificate Signing Request (CSR) Management. ca证书签名请求 #要求填写一些资料。Common Name是能访问的域名 openssl
Ubuntu18.04 Openssl生成自签SSL证书
qq_40156159的博客
11-27 4785
Openssl生成自签SSL证书安装openssl生成证书 安装openssl 方法一 sudo apt-get install openssl sudo apt-get install libssl-dev 方法二 在openssl官网下载压缩包 http://www.openssl.org/source/ 终端输入sudo su获取root权限 下载安装包并解压 tar zxvf openss安装包 解压后终端进入文件,并输入make make install 生成证书 找到openssl.c
Nginx】如何使用自签CA配置HTTPS加密反向代理访问?看了这篇我会了!!
最新发布
2301_79963818的博客
04-18 393
出于安全访问考虑,采用的CA是本机Openssl自签名生成的,因此无法通过互联网工信Root CA验证,所以会出现该网站不受信任或安全证书无效的提示,直接跳过,直接访问即可!HTTPS的原理和访问过程。
服务器错误统计
记忆的博客
08-15 342
服务器错误统计一、K8S证书(No resources found.)报错信息:kubectl get csr报错分析问题解决二、使用步骤1.引入库2.读入数据总结 一、K8S证书(No resources found.) 证书有效期,突然没有找到任何资源。 报错信息:kubectl get csr No resources found. 报错分析 master端接收不到node申请加入kubernetes的请求信息 问题解决 通过查看日志文件发现是kubelet没有启动成功,筛选kubelet发现没
例说图解TCP/IP协议族--PKI与证书(5)利用openssl制作自签发证书
123¥567
05-04 1527
1 制作前搞清楚一些概念 (1)何为自签发证书 自签发证书,顾名思义就是证书的拥有者和颁发者(CA)都是自己。自签发证书的好处是,随时随地可以签发。 不好之处是,但当用户访问自签发证书的设备时,会不信任该证,需要用户干预是否信任本证书。当然用户可以提前把设备的证书存放下来,放在自己的证书信任列表(CTL)里面。 这样虽然不会每次弹出是否信任证书的窗口,但是每当用户访...
nginx+ca+https设置【草稿试验版】
一名普通码农的菜地
12-13 2622
添加链接描述
Nginx+SSL搭建 HTTPS 网站
09-30
Nginx+SSL搭建HTTPS网站】是指使用Nginx web服务器配置SSL(Secure Sockets Layer)证书,以实现HTTPS(HyperText Transfer Protocol Secure)安全通信。HTTPS是一种基于HTTP协议的加密版本,它通过SSL/TLS协议来...
nginx+tomcat8 ssl使用https访问
06-10
标题 "nginx+tomcat8 ssl使用https访问" 涉及到的是在互联网服务中配置安全套接字层(SSL)以实现HTTPS访问的过程。HTTPS是HTTP协议的安全版本,通过SSL/TLS协议加密数据传输,保护用户隐私和网站数据安全。在这个...
利用nginx + node在阿里云部署https的步骤详解
08-28
【利用nginx + node在阿里云部署https的步骤详解】 在当今互联网环境中,为了保障用户数据的安全,越来越多的网站选择使用HTTPS协议。HTTPS基于SSL/TLS协议,能够提供数据加密、服务器身份验证和消息完整性检查,...
nginx https 配置
11-23
"nginx https 配置"这个主题涉及到的是如何在Nginx设置HTTPS服务,以实现网站的安全访问。HTTPS是HTTP协议的安全版本,通过使用SSL/TLS协议来加密数据传输,确保用户与服务器之间的通信不被中间人攻击。 首先,...
ssl证书(nginx+tomcat+java代码适用)
07-09
ssl自制全套证书(包含服务器端、客户端、ca端的证书,格式有.crt,.key,.truststore,.keystore,.p12,.cer,.pem等类型),当时要配置webservice接口、tomcanginx通过ssl访问的证书,弄了好久才生成了一套能使用的。...
demoCA.rar
09-01
windows版Win64OpenSSL_Light-1_1_0k生成https证书的时候,最后颁发证书命令: openssl ca -policy policy_anything -days 3652 -cert ca.crt -keyfile ca.key -in server.csr -out server.crt 会报错,这是demoCA文件夹里面缺少部分文件引起的。解压缩该文件并覆盖demoCA目录就可以解决。
./demoCA/newcerts: No such file or directory
swanabin的专栏
09-14 9152
转自VC错误:http://www.vcerror.com/?p=2029 问题描述: 用生成的CA的证书为server.csr与client.csr文件签名; openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf openssl ca -in client.cs
OpenSSL 制作证书时出现的错误的解决办法
07-19 6522
在制作证书的过程中遇到的问题及解决办法: 出现:I am unable to access the ./demoCA/newcerts directory ./demoCA/newcerts:Nosuch file or directory 解决:修改openssl.cnf 在42行:dir = ./demoCA修改为 dir = ./ 出现:failed t...
如何配置SpringCloud Dubbo SSL/TLS 双向认证?
weixin_38067745的博客
12-13 1335
当微服务所部署的服务器不在一个内网,或者内网不是很安全,担心dubbo的远程调用被中间人窃听,或者担心dubbo调用不受控制,被恶意调用。那么就需要搭建Dubbo SSL/TLS双向认证,服务提供方需要校验消费方的身份,消费方也需要校验服务提供方的身份
openssl生成CA证书
热门推荐
cowbin2012的专栏
08-29 2万+
什么是x509证书链 x509证书一般会用到三类文件,key,csr,crt。 key是私用密钥,openssl格式,通常是rsa算法。 csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。 crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。 概念 证书类别 根证书 ...
openssl制作证书
xiaoyang2626的博客
04-15 399
出现以下错误时,touch /etc/pki/CA/index.txt is not a directory。出现以下错误时,touch /etc/pki/CA/serial is not a directory。注意: 生成三个证书时Common Name参数不能一样。删掉server.crt中的certificate信息。删掉client.crt中的certificate信息。向文件中写入01,并且第二行空一行。
Nginx配置ssl证书部署https网站详解(自定义CA证书)
但行好事,莫问前程
06-28 3449
本文介绍的是使用自己生成的ca证书去部署https网站,本实验只限于在局域网、或者做实验用,如果要对外访问的话还是要去ca证书提供商购买,当然买的很贵,网上也有一些机构做免费的ca证书,有兴趣的小伙伴可以自己查找。本文重点是ca证书的一些操作,所以web应用就直接yum装的nginx,希望能给大家带来帮助, 概念介绍 什么是CACA, Certificate Authority 即颁发数...
PKI - 借助Nginx 实现Https_使用CA签发证书
小工匠
02-11 3273
使用 CA 签发的证书可以建立信任关系,客户端可以信任由公认的 CA 颁发的证书,从而确保与服务器之间的通信是安全可靠的。CA 对证书申请者进行身份验证,并在验证通过后签发证书。这样,服务器可以通过 CA 签发的证书来证明自己的身份,确保客户端与合法的服务器进行通信,防止中间人攻击。证书中包含了公钥,可以用于加密通信数据。使用 CA 签发的证书可以保护通信数据的机密性,防止数据被窃取或篡改。证书中包含了数字签名,可以用于验证通信数据的完整性。使用 CA 签发的证书可以确保通信数据在传输过程中没有被篡改。
nginx+https
08-25
Nginx是一个高性能的开源Web服务器和反向代理服务器,它支持HTTP、HTTPS和其他协议。如果你想在Nginx上启用HTTPS,你需要进行以下步骤: 1. 获取SSL证书:你需要从一个受信任的证书颁发机构(CA)获取SSL证书,或者你可以自己生成自签名证书。 2. 配置Nginx:在Nginx的配置文件中,你需要添加一些配置来启用HTTPS。首先,你需要配置监听端口为443,并指定SSL证书的路径和密钥文件的路径。例如: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/ssl_certificate.crt; ssl_certificate_key /path/to/ssl_certificate.key; // 其他配置... } ``` 确保替换`example.com`为你的域名,并将`/path/to/ssl_certificate.crt`和`/path/to/ssl_certificate.key`替换为你实际证书的路径。 3. 重启Nginx:保存配置文件后,重启Nginx服务以使更改生效。你可以使用以下命令重启Nginx: ``` sudo service nginx restart ``` 这样就完成了在Nginx上启用HTTPS的过程。当用户访问你的网站时,Nginx将使用SSL证书对通信进行加密保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值