转载自灏玮的博客
用openssl生成nginx.key
1.key的生成
openssl genrsa -des3 -out server.key 2048
这样是生成rsa私钥,des3算法,openssl格式,2048位强度。server.key是密钥文件名。为了生成这样的密钥,需要一个至少四位的密码。可以通过以下方法生成没有密码的key:
openssl rsa -in server.key -out server.key
server.key就是没有密码的版本了。
2.生成CA的crt
openssl req -new -x509 -key server.key -out ca.crt -days 3650
生成的ca.crt文件是用来签署下面的server.csr文件。
3.csr的生成方法
openssl req -new -key server.key -out server.csr
需要依次输入国家,地区,组织,email。最重要的是有一个common name,可以写你的名字或者域名。如果为了https申请,这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。
4.crt生成方法
CSR文件必须有CA的签名才可形成证书,可将此文件发送到verisign等地方由它验证,要交一大笔钱,何不自己做CA呢。
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt
输入key的密钥后,完成证书生成。-CA选项指明用于被签名的csr证书,-CAkey选项指明用于签名的密钥,-CAserial指明序列号文件,而-CAcreateserial指明文件不存在时自动生成。
最后生成了私用密钥:server.key和自己认证的SSL证书:server.crt
证书合并:
cat server.key server.crt > server.pem
其中第一步生成的无密码key就是我们想要的nginx.key
使用StartSSL免费SSL证书:
登录网站:https://www.startssl.com
找到StartSSL Free,点击Start Now
这里提示需要登录,通过邮箱进行注册并登录
然后在Validations Wizard这里选择要进行网站认证还是邮箱认证
按照网站提示一步一步进行
提交nginx.key生成nginx.crt证书:
在StartSSL审核通过后,会提示输入本地key
我们的需求是要配置nginx的SSL验证,将前面用openssl生成nginx.key添加到网站指定的输入框中,提交审核,等待网站审核通过
网站审核通过后,会提示可以在Tool Box中下载以生成的证书
下载后,得到一个以认证域名命名的压缩包
解压缩后,包内有ApacheServer.zip, IISServer.zip, NginxServer.zip, OtherServer.zip
我们需要的文件在NginxServer.zip中,解压后得到1_gjtest.parteam.cn_bundle.crt文件
得到crt证书后,服务器上的设置:
在服务器/etc/nginx/ssl/文件夹下创建gjtest.parteam.cn.crt文件,用命令行cat命令查看1_gjtest.parteam.cn_bundle.crt文件,并将内容拷贝到gjtest.parteam.cn.crt中。
在服务器/etc/nginx/ssl/文件夹下创建gjtest.parteam.cn.key文件,将开始生成的nginx.key内容拷贝进去。
在nginx配置文件/etc/nginx/conf.d/**.conf的443端口监听server中,设置SSL安全监测:
ssl_certificate ssl/gjtest_parteam_cn.crt;
ssl_certificate_key ssl/gjtest_parteam_cn.key;
重新启动nginx服务,使得新的修改生效。
可能会出现以下错误信息:
error:nginx[15608]: nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/nginx/ssl/gjtest_parteam_cn.ke
PS:检查ssl文件夹中的key和crt文件是否对照成对