ssl证书生成需要先下载openssl,不然无法使用openssl命令,也有用java自带的key.tool工具,不过我开始就是用的openssl。所以就使用这个来讲解。下载链接如下,本文是参考:https://www.cnblogs.com/micro-chen/p/11794248.html
openssl工具可以到https://oomake.com/download/openssl 下载,也可以用我下面的百度网盘下载
链接:https://pan.baidu.com/s/1YoybZSgKYnFgUxaCtdECdA
提取码:o3jd
三、生成证书
1、首先在Nginx安装目录中创建ssl文件夹用于存放证书。比如我的文件目录为 C:\nginx\ssl
在控制台中执行:
cd C:\nginx\ssl
2、创建私钥
在命令行中执行命令:
openssl genrsa -des3 -out buduhuisi.key 1024 # buduhuisi文件名是自己随便起即可
输入密码后,再次重复输入确认密码。记住此密码,后面会用到。
3、创建csr证书
在命令行中执行命令:
openssl req -new -key buduhuisi.key -out buduhuisi.csr
其中key文件为刚才生成的文件。
执行上述命令后,需要输入一系列的信息。输入的信息中最重要的为Common Name,这里输入的域名即为我们要使用https访问的域名 ,比如我输入的是localhost。其它的内容随便填即可。
以上步骤完成后,ssl文件夹内出现两个文件:buduhuisi.csr 和 buduhuis.key
4、去除密码。
在加载SSL支持的Nginx并使用上述私钥时除去必须的口令,否则会在启动nginx的时候需要输入密码。
复制buduhuisi.key并重命名为buduhuisi.key.org。
在命令行中执行如下命令以去除口令:
openssl rsa -in buduhuisi.key.org -out buduhuisi.key
然后输入密码,这个密码就是上文中在创建私钥的时候输入的密码。
5、生成crt证书
在命令行中执行此命令:
openssl x509 -req -days 365 -in buduhuisi.csr -signkey buduhuisi.key -out buduhuisi.crt
至此,证书生成完毕。我们发现,ssl文件夹中一共生成了4个文件。下面,配置https服务器的时候,我们需要用到的是其中的buduhuisi.crt和buduhuisi.key这两个文件。
四、修改Nginx的nginx.conf配置文件
我的这个文件在C:\nginx\conf目录下。用任意一个编辑器(如Sublime Text之类)打开这个nginx.conf文件。
找到HTTPS server配置的那一段(即包含有listen 443 ssl配置那一段)。我们发现这段代码被注释掉了。所以,首先我们把该段代码前面的#号去掉。然后分别修改其中的ssl_certificate和ssl_certificate_key配置项为刚才所生成的buduhuisi.crt和buduhuisi.key这两个文件的目录。并配置server_name为localhost。修改后的该段配置如下:
server {
listen 443 ssl;
server_name localhost;
ssl_certificate C://nginx//ssl//buduhuisi.crt; # 这个是证书的crt文件所在目录
ssl_certificate_key C://nginx//ssl//buduhuisi.key; # 这个是证书key文件所在目录
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html; # 这个是指定一个项目所在目录
index index.html index.htm; # 这个是指定首页的文件名
}
}
注意一下那两个证书的文件路径的写法。
五、Nginx的常用操作
在继续后面的内容之前,先简单介绍下Windows命令行中操作Nginx的几个常用的语句:
start nginx # 启动Nginx
nginx.exe -s stop # 快速停止Nginx,可能并不保存相关信息
nginx.exe -s quit # 完整有序的停止Nginx,并保存相关信息
nginx.exe -s reload # 重新载入Nginx,当配置信息修改,需要重新载入这些配置时使用此命令。
nginx.exe -s reopen # 重新打开日志文件
nginx -v # 查看Nginx版本
因为修改了配置文件,所以需要退出控制台,并重新打开一个控制台。执行如下命令:
cd c:\nginx
nginx.exe -s quit
start nginx
即退出Nginx,然后再重新启动它。这时候,在浏览器地址栏输入https://localhost并回车。
这时候,你可能看到“您的连接不是私密连接”的提示,单击页面中的“高级”,并接着单击“继续前往m.test.com(不安全)”,就可以看到Nginx的欢迎界面了。说明https服务器已经配置成功了。
如果你只想用https://localhost访问这个https服务器,那么下面的内容你就不用接着往下看了。
注:NGINX配置好后,有可能启动不起来,此时需要自己查看是否被端口占用,netstat -aon|findstr "443" 查看443端口,如果被占用,就在任务管理器中找到该端口对应的进程并停止掉。
springboot配置https请求
用命令生成keystore,keytool是java自带的工具。 keytool -genkey -alias tomcat -keyalg RSA -keystore ssl.keystore 注意这里我用的别名是Tomcat,一会配置也要用这个。配置文件配置如下,在springboot的yml或者property文件配置即可
server.ssl.key-store=C:/Users/J/Desktop/ssl/ssl.keystore //秘钥位置
server.ssl.key-store-password=123456 //生成秘钥时输入的密码
server.ssl.key-alias=tomcat //别名
配置完后重启项目,比如原来的访问为 http://localhost:8081 现在需要访问 https://localhost:8081
为了不让其他访问都进行改变路径所以需要添加一个配置,将之前的http协议转成https协议,这里会有个问题是原始的8081端口只能当监听端口,项目的端口要变一个不能再用8081,虽然改变了但不影响原始的外来访问。
@Bean
public TomcatServletWebServerFactory servletContainer() {
TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() {
@Override
protected void postProcessContext(Context context) {
SecurityConstraint constraint = new SecurityConstraint();
constraint.setUserConstraint("CONFIDENTIAL");
SecurityCollection collection = new SecurityCollection();
collection.addPattern("/*");
constraint.addCollection(collection);
context.addConstraint(constraint);
}
};
tomcat.addAdditionalTomcatConnectors(httpConnector());
return tomcat;
}
@Bean
public Connector httpConnector() {
Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
connector.setScheme("http");
//Connector监听的http的默认端口号
connector.setPort(8081);
connector.setSecure(false);
//监听到http的端口号后转向到的https的端口号,也就是项目配置的port
connector.setRedirectPort(8082);
return connector;
}
726
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
