Windows.OpenSSL生成ssl证书配置到nginx

已于 2024-01-13 17:04:05 修改
阅读量1.4k 收藏 18
点赞数 19
分类专栏: https 文章标签: ssl https 网络协议 nginx windows
于 2024-01-07 16:47:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36577291/article/details/135440755
版权

一、下载OpenSSL程序安装 到E:\soft\OpenSSL-Win64

二、打开一个CMD控制台窗口,设置好openssl.cnf路径

E:
cd E:\soft\OpenSSL-Win64\bin
set OPENSSL_CONF=E:\soft\OpenSSL-Win64\bin\openssl.cnf

三、在当前目录 E:\soft\OpenSSL-Win64\bin 里创建两个子目录

mkdir certs
mkdir private

生成一个随机数

openssl rand -out private/.rand 1000

四、生成根证书

根证书是用于证书签发的,证书的签发机构都有自己的根证书。他们的根证书一般已经打包到浏览器的受信任的根证书目录里了,我们自己签发的需要手工安装到这个目录。

4.1 生成根证书私钥文件(pem文件)

OpenSSL使用PEM(Privacy Enbanced Mail)格式来保存私钥,生成私钥的命令如下:

openssl genrsa -aes256 -out private/cakey.pem 1024

这一步会提示输入密码,

Enter pass phrase for private/cakey.pem:
请输入一个容易记忆的密码,以后产生其它文件时需要输入。我输入了:123456

该命令的相关参数解释如下:
 

该命含义如下:

genrsa: 使用RSA算法产生私钥
-aes256: 使用256位密钥的AES算法对私钥进行加密
-out: 输出文件的路径
1024: 指定私钥长度

4.2 生成根证书签发申请文件(csr文件)
这一步需要使用上一步生成的私钥(pem文件),所以你需要记住上一步自己设置的密码。
生成证书请求文件(csr文件)的命令如下:
 

openssl req -new -key private/cakey.pem -out private/ca.csr -subj "/C=CN/ST=Shanghai/L=Shanghai/O=Mediasoft/OU=Mediasoft/CN=Mediasoft"

该命令含义如下:

req: 执行证书签发命令
-new: 新证书签发请求
-key: 指定私钥路径,这个是上一步产生的key文件
-out: 输出的csr文件的路径,这个是即将产生的请求文件,需要用这个文件来产生证书
-subj: 证书相关的用户信息(subject的缩写),

-subj 用于设置 Subject Name
其中 C 表示 Country or Region
ST 表示 State/Province
L 表示 Locality
O 表示 Organization
OU 表示 Organization Unit
CN 表示 Common Name

4.3 签发根证书(cer文件)

用上一步生成的csr,可以自己签发根证书:

openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey private/cakey.pem -in private/ca.csr -out certs/ca.cer

该命令的相关参数如下:

x509: 生成x509格式证书
-req: 输入csr文件
-days: 证书的有效期(天)
-sha1: 证书摘要采用sha1算法
-extensions: 按照openssl.cnf文件中配置的v3_ca项添加扩展
-signkey: 签发证书的私钥,第一步生成的Key文件
-in: 要输入的csr文件,上一步生成的csr文件
-out: 输出的cer证书文件

将在certs目录里生成的ca.cer根证书文件,根证书文件可以用于再次签发server证书,即用于nginx的服务器端证书,或client证书。 

根证书通常是用于证书签发机构签发证书与分发到支持的客户端的,例如分发到Chrome浏览器的安装程序里,大多数情况下,你无法让Google等浏览器厂家将你的根证书安装到它们浏览器的证书根目录 ,但可以自己手工安装刚才签发的根证书。手工安装步骤:步骤 1-〉2-〉3-〉4如下:

 五、用根证书签发server端证书

5.1 生成服务端证书私钥

openssl genrsa -aes256 -out private/server.key 1024
 
openssl rsa -in private/server.key -out certs/server.key

5.2 生成请求文件

openssl req -new -key private/server.key -out private/server.csr -subj "/C=CN/ST=myprovince/L=mycity/O=myo/OU=myou/CN=mycn"

-subj 用于设置 Subject Name
其中 C 表示 Country or Region
ST 表示 State/Province
L 表示 Locality
O 表示 Organization
OU 表示 Organization Unit
CN 表示 Common Name

5.3 使用根证书签发服务端证书

openssl x509 -req -days 7304 -CA certs/ca.cer -CAkey private/cakey.pem -CAserial ca.srl -CAcreateserial -in private/server.csr -out certs/server.crt

这里有必要解释一下这几个参数:

-CA:指定CA证书的路径,为第四步生成的CA证书
-CAkey: 指定CA证书的私钥路径
-CAserial: 指定证书序列号文件的路径
-CAcreateserial: 表示创建证书序列号文件(即上方提到的serial文件),创建的序列号文件默认名称为-CA,指定的证书名称后加上.srl后缀

 在x509指令中,有多种方式可以指定一个将要生成证书的序列号,可以使用set_serial选项来直接指定证书的序列号,也可以使用-CAserial选项来指定一个包含序列号的文件。所谓的序列号是一个包含一个十六进制正整数的文件,在默认情况下,该文件的名称为输入的证书名称加上.srl后缀,比如输入的证书文件为ca.cer,那么指令会试图从ca.srl文件中获取序列号,可以自己创建一个ca.srl文件,也可以通过-CAcreateserial选项来生成一个序列号文件。
 

六、使用server证书

如果是Nginx,将以上certs目录里生成的 server.key与server.crt复制到证书相关目录下并进行相关设置即可。

server {
        listen       443 ssl;
        server_name  i569.cn;
 
        ssl_certificate      ssl/server.crt;
        ssl_certificate_key  ssl/server.key;
 
        ...
}

七:浏览器打开域名链接 显示不安全   

     NET::ERR_CERT_COMMON_NAME_INVALID错误。

可以使用扩展文件来在证书里嵌入扩展信息,例如DNS信息,IP信息,DNS信息的文件样本如下(手工生成的一个文件:private/server.dns.ext):

keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName=@SubjectAlternativeName
 
[SubjectAlternativeName]
DNS.1=test.domain.com

  IP扩展信息的样本如下(手工生成的一个文件:private/server.ip.ext):

keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName=@SubjectAlternativeName
 
[SubjectAlternativeName]
IP.1=172.0.0.1

嵌入DNS信息以支持解决Chrome浏览器备用名的命令如下:

openssl x509 -req -days 7304 -CA certs/ca.cer -CAkey private/cakey.pem -CAserial ca.srl -CAcreateserial -in private/server.csr -out certs/server.crt -extfile private/server.dns.ext

 -extfile   使用 server.dns.ext (域名访问)或者 server.ip.ext (ip 直接访问)

八:linux nginx 配置命令

查看nginx 执行文件地址  ps -ef|grep nginx
查看nginx.conf文件地址 locate  nginx.conf
测试配置文件 /usr/sbin/nginx  -tc  /etc/nginx/nginx.conf 
启动nginx /usr/sbin/nginx  -c  /etc/nginx/nginx.conf 
重启nginx /usr/sbin/nginx -s reload -c  /etc/nginx/nginx.conf 
停止nginx  kill -9 nginxPid

九:参考nginx.conf配置

include /etc/nginx/myconfig/*.conf;
server {
     listen 80;
     server_name i569.cn;
     rewrite ^(.*)$ https://${server_name}$1 permanent;
}
server {
     listen 80;
     server_name www.i569.cn;
      rewrite ^/(.*)$ https://i569.cn/$1 permanent;
}

server {
        listen 443;
        server_name i569.cn; #填写绑定证书的域名
        ssl on; #1.21.5版本需将该行注释
        ssl_certificate /etc/nginx/myconfig/i569.cn.pem; #或者.crt文件
        ssl_certificate_key  /etc/nginx/myconfig/i569.cn.key; 
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; 
        ssl_prefer_server_ciphers on;
        location / {
             proxy_pass http://127.0.0.1:569;
        }
}

蹦跶de芝麻
关注
  • 19
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows创建自签名SSL证书所需工具
04-08
制作windows自签名证书所需要的工具openssl-0.9.8k_WIN32,解压后参考此篇文件进行制作:https://blog.csdn.net/u013992330/article/details/89090380
Win64OpenSSL
05-17
Win64OpenSSL
window安装OpenSSL 生成https证书
qq_25547755的博客
10-17 356
非源码方式使用 OpenSSL
windows环境安装openssl工具
最新发布
大华的程序人生
03-23 965
建议,不要拷贝到系统目录下,如果其他软件使用的OpenSSL版本与你安装这个版本不同,可能导致该软件无法使用。Win64 OpenSSL v1.1.1i Light,安装Win64 OpenSSL v1.1.1i最常用的软件包。Win32 OpenSSL v1.1.1i Light,安装Win32 OpenSSL v1.1.1i最常用的软件包。Win64 OpenSSL v1.1.1i,安装Win64 OpenSSL v1.1.1i完整软件包。直接在cmd中,输入命令,查看OpenSSL版本。
windows下用nginx配置https服务器​
VMLINUZ的专栏
10-03 2251
文章转发ldsweely详细的分享。
openssl生成自签的证书并且使用nginx配置https证书
以择人之心择己,以恕己之心恕人。
08-25 1321
1.首先需要安装opensslopenssl-devel yum install openssl yum install openssl-devel 2.生成私钥文件 openssl genrsa -des3 -out server.key 1024 3.依据私钥文件生成csr证书文件 openssl req -new -key server.key -out server.csr 这里要输入省市区信息,给出一个图片参考 4.为了不需要在每次重启nginx的时候都输入密码 cp serv
Nginx开启Https访问,OpenSSL生成https证书Windows
EnjoySelfLife的博客
08-29 533
OpenSSL生成证书Nginx开启https访问
HTTPS】通过OpenSSLWindows生成Https证书
命运之手
11-08 2608
证书生成完毕后,记得双击crt证书文件,将其安装到【受信任的根证书颁发机构】可以去百度下载OpenSSL Win64,也可以从下面的地址下载。切换到openssl/bin目录,执行以下指令生成证书。Pass Phrase:操作密码,可以用123456。Common Name:主机名,可以用域名或IP。所有证书和中间文件,会保存到crt目录当中。中间会要求输入许多的信息,都可以跳过。只有操作密码和主机名,是必须输入的。
openssl生成https证书nginx https配置
爱兰河少
05-31 1810
一、nginx根目录下创建 cert 目录,用于存放https证书。二、openssl生成https证书证书。三、nginx配置https
如何在windows上安装Openssl环境
天山锦有的博客
07-10 6023
openssl windows版安装
Nginx使用openssl证书开启https服务
alun550的博客
11-19 3671
Nginx开启https服务OpensslSSL原理HTTP通信SSLHTTPS下载安装生成证书Nginx配置                 Openssl   SSL原理 基本术语: 加密 —— 使用公钥对数据进行加密的过程 私钥 —— 使用私钥对加密过的数据进行解密的过程 签名 —— 使用私钥对数据进行加密的过程 验证签名 —— 使用公钥对加密过的数据进行解密的过程   注:公钥和私钥均可对数据
OpenSSL生成ssl证书
01-11
通过OpenSSL生成ssl证书,用于windows下用nginx配置https服务器( OpenSSL创建证书) 无需再下载OpenSSL配置OpenSSL相关环境,在进行命令生成证书
Linux下Nginx安全证书ssl配置方法
01-20
分享下我是如何一步步在Nginx配置SSL的。首先,确保安装了OpenSSL库,并且安装Nginx时使用了–with-http_ssl_module参数。 初学者或者菜鸟建议使用LNMP进行一键安装。 生成证书:进入要生成证书的目录cd /usr/...
Linux 生成SSL证书nginx使用
09-13
这里说下Linux 系统怎么通过openssl命令生成 证书。 首先执行如下命令生成一个key
Nginx服务器的SSL证书配置以及对SSL的反向代理配置
01-10
NginxSSL证书配置 1、使用openssl实现证书中心 由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同 Country Name State or Province Name Locality Name...
Nginx配置SSL自签名证书的方法
01-10
生成自签名SSL证书 生成RSA密钥(过程需要设置一个密码,记住这个密码) $ openssl genrsa -des3 -out domain.key 1024 拷贝一个不需要输入密码的密钥文件 $ openssl rsa -in domain.key -out domain_nopass.key ...
详解Nginx SSL快速双向认证配置(脚本)
01-11
本着能用配置解决就绝不用代码解决的原则,在Nginx上做一下限制和修改即可。 这种需求其实实现方式很多,经过综合评估考虑,觉得SSL双向认证方案对用户使用最简单,遂决定用此方案。 注: 本方案在Ubuntu Server ...
Nginx配置SSL证书部署HTTPS网站的方法(颁发证书
01-11
xshell登录服务器,使用openssl生成RSA密钥及证书 # 生成一个RSA密钥 $ openssl genrsa -des3 -out tfjybj.key 1024 # 拷贝一个不需要输入密码的密钥文件 $ openssl rsa -in dmsdbj.key -out tfjybj_nopass.key # ...
详解nginx使用ssl模块配置HTTPS支持
01-10
默认情况下ssl模块并未被安装,如果要使用该模块则需要在编译时指定–with-http_ssl_module参数,安装模块依赖于OpenSSL库和一些引用文件,通常这些文件并不在同一个软件包中。通常这个文件名类似libssl-dev。 生成...
openssl生成证书配置nginx
07-15
您好!要在Nginx配置使用OpenSSL生成证书,您可以按照以下步骤进行操作: 1. 首先,确保您已经安装了OpenSSL工具和Nginx服务器。 2. 使用以下命令生成私钥文件(key.pem)和证书签名请求(CSR)文件(cert.csr): ``` openssl req -newkey rsa:2048 -nodes -keyout key.pem -out cert.csr ``` 在这个过程中,您需要输入一些证书相关的信息,如国家、组织、通用名称等。 3. 使用以下命令生成证书文件(cert.pem): ``` openssl x509 -req -days 365 -in cert.csr -signkey key.pem -out cert.pem ``` 这将使用私钥文件和证书签名请求文件来生成一个有效期为365天的自签名证书。 4. 将生成的私钥文件(key.pem)和证书文件(cert.pem)移动到Nginx服务器配置目录中。通常情况下,这个目录是`/etc/nginx/`。 5. 打开Nginx配置文件(通常是`/etc/nginx/nginx.conf`),找到您要配置HTTPS的服务器块。 6. 在服务器块中添加以下配置项: ``` listen 443 ssl; ssl_certificate /etc/nginx/cert.pem; ssl_certificate_key /etc/nginx/key.pem; ``` 这将告诉Nginx服务器使用指定的证书和私钥来启用HTTPS。 7. 保存并关闭Nginx配置文件。 8. 重新启动Nginx服务器,以使配置生效: ``` sudo service nginx restart ``` 现在,您的Nginx服务器应该已经配置了使用OpenSSL生成证书。请确保您的域名解析正确,并且防火墙允许流量通过443端口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值