https-OPenSSL证书生成及自签名证书

目录

SSL/TLS

1、搭建OPenssl服务器

1.1、下载

 1.2、安装下载好的exe程序

2、服务器端证书-生成key、CSR、CRT

2.1、进入如下目录，执行cmd

 2.2、生成一个私钥key

 2.3、由生成的私钥key生成一个待签名的CSR证书文件(公钥)

 2.4、查看证书内容

3、自建CA证书

3.1、创建CA私钥

3.2、生成CA证书

3.3、生成CA根证书

3.4、对服务器证书签名

4、nginx配置ssl，支持https

---

注意：以下内容有参考其它资料。

SSL/TLS

TLS(Transport Layer Security) 是SSL(Secure Socket Layer) 的后续版本

证书生成以及自签名证书
查看系统已存证书：certmgr.msc，运行中输入可以查看证书管理器win+r。
CSR：证书签名请求文件，一个文件的后缀。
CRT：证书
key： 私钥，由key生成CSR，等待被签名。
 

1、搭建OPenssl服务器

1.1、下载

OPenSSL自签名下载：http://slproweb.com/products/Win32OpenSSL.html

 1.2、安装下载好的exe程序

2、服务器端证书-生成key、CSR、CRT

2.1、进入如下目录，执行cmd

 2.2、生成一个私钥key

使用openssl工具生成一个私钥key：

openssl.exe genrsa -des3 -out d:/a/server.key 

生成了一个key文件：

 2.3、由生成的私钥key生成一个待签名的CSR证书文件(公钥)

openssl.exe req -new -key d:/a/server.key -out d:/a/server.csr

-key：生成的私钥文件

-new：新创建一个文件

这个证书不能直接使用，需要签名生成一个CRT证书才能使用。

证书中信息：

·Country Name ( 2 letter code) [XX] :CN #请求签署人的信息

·State or Province Name(fullname) []：#请求签署人的省份名字

·Locality Name(eg， city) [Default City] ：#请求签署人的城市名字

·Organization Name(eg， company) [Default Company Ltd] ：#请求签署人的公司

·OrganizationalUnit Name(eg， section) []：#请求签署人的部门名字

·CommonName(eg， your name or your servers hostname) []：#这里一般填写服务器域名

 

 2.4、查看证书内容

openssl.exe req -text -in d:/a/server.csr

3、自建CA证书

自建CA
我们用的操作系统(windows， linux， unix， android， ios等) 都预置了很多信任的根证书， 比如我的windows中就包含VeriSign的根证书， 那么浏览器访问服务器比如支付宝www.alipay.com时， SSL协议握手时服务器就会把它的服务器证书发给用户浏览器， 而这本服务器证书又比如是VeriSign颁发的，自然就验证通过了。

3.1、创建CA私钥

openssl.exe genrsa -out d:/a/myca.key 2048

3.2、生成CA证书

openssl.exe req -new -key d:/a/myca.key -out d:/a/myca.csr

3.3、生成CA根证书

openssl.exe x509 -req -in d:/a/myca.csr -extensions v3_ca -signkey d:/a/myca.key -out d:/a/myca.crt

3.4、对服务器证书签名

openssl x509 -days 365 -req -in d:/a/server.csr -extensions v3_req -CAkey d:/a/myca.key -CA d:/a/myca.crt -CAcreateserial -out d:/a/server.crt

用CA的key对服务器端的公钥做签名。

4、nginx配置ssl，支持https

需要服务端的证书CRT和私钥key，所以需要把上面生成的服务端证书server.key和server.crt传输到nginx所在的服务器。

需要在nginx.conf文件中添加：

server {
        listen 443 ssl;
        server_name localhost;
        ssl_certificate /opt/cer/server.crt;
        ssl_certificate_key /opt/cer/server.key;
        location /ftp {
            root   /home/ftpadmin;
            index  index.html index.htm;
        }

    }

server {
        listen       8080;
        server_name  localhost;
        
        rewrite ^/(.*)$ https://localhost:443/$1 permanent;

    }

配置后重新启动需要输入密码，这里自己定义的server.key的密码是：123456

配置完，重启nginx服务，访问如下：

 如果想让https访问时不再提示不安全，需要把ca的crt证书安装到浏览器所在服务器的证书管理器中，因为这个证书时自己给自己签名的，是不受信任的，要想被信任，需要双击安装到受信任的根证书颁发机构存储区。从下图可以看出自己给自己颁发的。

5、一个免费的ssl证书网站

FreeSSL首页 - FreeSSL.cn一个提供免费HTTPS证书申请的网站