因为最近我的ios司机们说要启用https,不然应用要下架,直接一身冷汗出来了。
走了一些冤路,但最终结果是实现了,把相关的步聚记录下来,希望对有需要的朋友有所帮助。
一、服务端生成密钥
1、生成一个RSA密钥
$ openssl genrsa -des3 -out api.xxx.key 2048
2、拷贝一个不需要输入密码的密钥文件
$ openssl rsa -in api.xxx.key -out api.xxx_nopass.key
但这里我最后写nopass.key启动还是报错,又重新生成了一次,不知道为什么。
3、生成一个证书请求
$ openssl req -new -key api.xxx.key -out api.xxx.csr
www.startssl.com提供的执行命令是:
openssl req -newkey rsa:2048 -keyout api.xxx.key -out api.xxx.csr
4、自己签发证书——这一步应该由认证服务器来处理
$ openssl x509 -req -days 365 -in api.xxx.csr -signkey api.xxx.key -out api.xxx.crt
二、第三方签发证书(www.startssl.com例)
对于英盲很困难。。。。。。
1、验证域名
由于域名已经认证过了,所以这里就不作下一步操作了。主要是准备好跟域名一样后缀的邮件就好了。
2、签发证书
三、合并生成pem
cat api.xxx.crt api.xxx.key > api.xxx.pem
四、配置nginx
server {
listen 443 ssl;
server_name xxx.xxx.com.cn;
ssl_certificate /usr/local/nginx/ssl/xxd.pem;
ssl_certificate_key /usr/local/nginx/ssl/xxd.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
ssl_prefer_server_ciphers on;
}启动时报错
启动时报错,因为我先用的是nopass.key,最好先切换到初始化key里面去启动一下是否正常,如果正常在重新生成一下nopass.key证书,启动nginx的时候免输入密码。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
