OpenSSL
环境:Ubuntu 18.05
安装
sudo apt-get update
sudo apt-get install openssl
自签证书
注:自签名证书不会被公共信任机构认可,因此只能用于测试或内部环境,如果需要在公共互联网上使用SSL证书,建议从受信任的证书颁发机构(CA)购买证书。
生成私钥:运行以下命令生成一个2048位的RSA私钥:
openssl genpkey -algorithm RSA -out private.key -pkeyopt rsa_keygen_bits:2048
生成证书请求(CSR):使用私钥生成证书请求文件。运行以下命令并提供必要的信息,如果仅用来学习,一路回车就行
openssl req -new -key private.key -out csr.csr
自签名证书:使用生成的私钥和证书请求文件,生成自签名证书
openssl x509 -req -days 365 -in csr.csr -signkey private.key -out certificate.crt
以上命令将生成一个365天的自签名证书
配置到Nginx:
server {
listen 443 ssl;
server_name example.com; # 替换为您的域名
ssl_certificate /etc/nginx/ssl/certificate.crt; # 替换为您的证书路径 // ssl/certificate.crt 也可
ssl_certificate_key /etc/nginx/ssl/private.key; # 替换为您的私钥路径// ssl/private.key 也可
# 其他 HTTPS 配置...
}
注:.pem结尾、.crt结尾和.key结尾的证书
.pem、.crt和.key都是常见的证书文件扩展名,它们之间的区别如下:
-
.pem:PEM(Privacy Enhanced Mail)是一种基于ASCII编码的文件格式,可以用于存储多种类型的数据,包括证书、私钥和其他加密相关的信息。因此,.pem文件可以是证书文件、私钥文件或包含两者的文件。通常情况下,PEM格式的证书文件使用Base64编码进行处理,并以"-----BEGIN CERTIFICATE-----“和”-----END CERTIFICATE-----"标记开始和结束。
-
.crt:.crt是证书(Certificate)文件的常见扩展名。这种文件格式通常是二进制格式(DER编码),但也可以是PEM格式。证书文件(无论是PEM格式还是DER格式)用于存储公共密钥证书,其中包含与特定实体(例如网站)相关的公钥和其他相关信息。
-
.key:.key是私钥(Private Key)文件的常见扩展名。私钥文件通常包含与公钥证书相对应的私钥。私钥用于对数据进行加密和解密,以及生成数字签名等操作。私钥文件通常是二进制格式,但也可以是PEM格式。
需要注意的是,虽然.pem、.crt和.key是常见的命名约定,但实际上文件扩展名并不决定文件的内容或格式。您可以使用不同的扩展名来命名相同类型的文件,只要确保文件内容和格式正确即可,可以将certificate.crt、private.key文件都改为.pem结尾配置到nginx中也是可以的。
在配置Nginx时,您需要根据实际情况指定证书和私钥文件的路径,无论它们的扩展名是什么。确保与Nginx配置文件中的路径一致即可。