openssl免费生成ssl证书,并在docker nginx 下安装
简单描述
在这里记录一下自己生成一个免费ssl证书所遇到的一些坑吧,希望能够对各位爱学习的朋友能有一些帮助
环境配置
Centos7
docker --> nginx
1、安装nginx镜像
$docker pull nginx
$docker run --detach \
--name nginx --privileged=true \
-p 443:443 \
-p 80:80 \
-v /mydata/nginx/html:/usr/share/nginx/html:rw \
-v /mydata/nginx/config/conf.d/:/etc/nginx/conf.d/:rw \
-v /mydata/nginx/logs:/var/log/nginx/:rw \
-v /mydata/nginx/ssl:/ssl/:rw \
-d nginx
ssl证书生成前避坑
#openssl的目录为/ect/pki/
#证书目录 /etc/pki/CA
#在生成证书时需要有:index.txt serial
#indext.txt是记录生成ssl证书的信息的,根据里面的信息来判断证书是否重复
#--Serial Number 序列号
$cd /etc/pki/CA/
$touch index.txt
$echo 00 > serial
#在生成服务端,客户端证书前,需要先将 CA根证书的生成步骤生成CA私钥(.key) 放到CA/private目录下,因为在openssl.cnf中的配置是在此路径下找,如果放到别处,将要修改配置文件
#生成客户端证书和服务端证书时,commonname名字不能相同,否则会报 openssl TXT_DB error number 2 failed to update database 错误
#密钥不能设置成1024的,因为太短了,会报 nginx:SSL: error:140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small 错误
证书生成步骤
- 生成自有证书
CA根证书的生成步骤生成CA私钥(.key)–>生成CA证书请求(.csr)–>自签名得到根证书(.crt)(CA给自已颁发的证书)
# Generate CA private key
$openssl genrsa -out ca.key 2048
# Generate CSR
$openssl req -new -key ca.key -out ca.csr
# Generate Self Signed certificate(CA 根证书)
$openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt
在生成csr证书的时候,需要输入密码,密码需要跟后面输入的密码一致
Country Name (2 letter code) [AU]: 国家名称
State or Province Name (full name) [Some-State]: 省
Locality Name (eg, city) []: 城市
Organization Name (eg, company) [Internet Widgits Pty Ltd]: 公司名
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []: 网站域名(这里需要填写)
Email Address []: 邮箱
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: 这里输入密码可以不输
An optional company name []:
- 生成私钥(.key)–>生成证书请求(.csr)–>用CA根证书签名得到证书(.crt)
服务器端用户证书:
# private key
$openssl genrsa -des3 -out server.key 2048
# generate csr
$openssl req -new -key server.key -out server.csr
# generate certificate
$openssl ca -in server.csr -out server.crt -cert ca.crt -key ca.key
客户端用户证书:
$openssl genrsa -des3 -out client.key 2048
$openssl req -new -key client.key -out client.csr
$openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key
生成pem格式证书:
有时需要用到pem格式的证书,可以用以下方式合并证书文件(crt)和私钥文件(key)来生成
$cat client.crt client.key> client.pem
$cat server.crt server.key > server.pem
结果:
服务端证书:
ca.crt, server.key, server.crt, server.pem
客户端证书:
ca.crt, client.key, client.crt, client.pem
nginx配置ssl证书
#由于将server.key直接放入到nginx内时,启动需要nginx输入密码,会进行报错
cannot load certificate key "D:/work_dir/CA/mqtt/server.key": PEM_read_bio_PrivateKey() failed (
SSL: error:2807106B:UI routines:UI_process:processing error:
while reading strings error:0906406D:PEM routines:PEM_def_callback:
problems getting password error:0906A068:
PEM routines:PEM_do_header:bad password read
)
#因此需要进行解密处理 并修改配置文件
$openssl rsa -in server.key -out server_unsecure.key
- 将生成的证书放到nginx - ssl 目录下
mv server* /mydata/nginx/ssl
- 配置nginx.conf
#运行nginx的用户
user nginx;
#启动进程设置成和CPU数量相等
worker_processes 1;
#全局错误日志及PID文件的位置
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
#工作模式及连接数上限
events {
#单个后台work进程最大并发数设置为1024
worker_connections 1024;
}
http {
#设定mime类型
include /etc/nginx/mime.types;
default_type application/octet-stream;
#设定日志格式
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
#tcp_nopush on;
#设置连接超时的事件
keepalive_timeout 65;
#开启GZIP压缩
#gzip on;
include /etc/nginx/conf.d/*.conf;
}
- 在conf.d目录下,建立default.conf
server {
listen 443 ssl;
server_name www.lxtx.com; #域名
# 增加ssl
ssl on; #如果强制HTTPs访问,这行要打开
ssl_certificate /ssl/server.crt;
ssl_certificate_key /ssl/server.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
# 指定密码为openssl支持的格式
ssl_protocols SSLv2 SSLv3 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5; # 密码加密方式
ssl_prefer_server_ciphers on; # 依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码
# 定义首页索引目录和名称
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
#重定向错误页面到 /50x.html
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
最后的坑:
什么都搞完了,最后你却发现娘的,访问不了啊,这是什么鬼玩意儿,终于我是在网上找到了这个问题的说法,是因为我的域名是不没有备案的,也就是说网络上不承认呀,哎,还得去买一个域名!!!!!!!!!!!!!!!!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
