两台服务器

11.11.11.3     (生成证书然后到CA服务上注册)

11.11.11.4    (nginx服务、CA证书签发)

1、建立CA服务器(11.3)

、在CA上生成私钥文件 在/etc/pki/CA/private

[root@ca]# cd /etc/pki/CA/

[root@ca CA]# (umask ;openssl genrsa -out private/cakey.pem )

、在CA上生成自签署证书  必须在/etc/pki/CA目录下

[root@ca CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days

-new 为生成新的证书,会要求用户填写相关的信息

-x509 通常用于自签署证书,生成测试证书或用于CA自签署

-key私钥位置

-days申请的天数(默认30天)

-out生成位置

Country Name ( letter code) [XX]:CN

State or Province Name (full name) []:HeNan

Locality Name (eg, city) [Default City]:Zhengzhou

Organization Name (eg, company) [Default Company Ltd]:yanqi

Organizational Unit Name (eg, section) []:system

Common Name (eg, your name or your server's hostname) []:cahost.zzidc.com

Email Address []:@qq.com

[root@ca CA]# touch index.txt
[root@ca CA]# echo 01 > serial

2、给http服务器发放证书

[root@nginx ~]# mkdir /etc/nginx/ssl

[root@nginx ~]# cd /etc/nginx/ssl/

[root@nginx ssl]# (umask ; openssl genrsa -out nginx.key )

[root@nginx ssl]# openssl req -new -key nginx.key -out nginx.csr

#信息跟CA上生成的保持一致

Country Name ( letter code) [XX]:CN

State or Province Name (full name) []:HeNan

Locality Name (eg, city) [Default City]:Zhengzhou

Organization Name (eg, company) [Default Company Ltd]:yanqi

Organizational Unit Name (eg, section) []:system

Common Name (eg, your name or your server's hostname) []:cahost.zzidc.com

Email Address []:@qq.com

[root@nginx ssl]# scp nginx.csr 11.11.11.3:/tmp/

3、在CA上给http服务器签署证书

[root@ca ~]# openssl ca -in /tmp/nginx.csr -out /etc/pki/CA/certs/nginx.crt -days

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

        Serial Number:  (0x1)

        Validity

            Not Before: Feb  ::  GMT

            Not After : Feb  ::  GMT

        Subject:

            countryName               = CN

            stateOrProvinceName       = HeNan

            organizationName          = yanqi

            organizationalUnitName    = system

            commonName                = cahost.zzidc.com

            emailAddress              = @qq.com

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                :4E:B6:B5:C2:B8:B8:3F:B4:E7::::D3:E8:3A::::

            X509v3 Authority Key Identifier:

                keyid:6B::D0:CD:C9:1A::7E:3B::EC:BE:6B:AB:E4::2C::2A:

Certificate is to be certified until Feb  ::  GMT ( days)

Sign the certificate? [y/n]:y

 out of  certificate requests certified, commit? [y/n]y

Write out database with  new entries

Data Base Updated

[root@ca ~]#

4、生成完需要拷贝到http服务器上  也用scp命令

[root@ca ~]# scp /etc/pki/CA/certs/nginx.crt 11.11.11.4:/etc/nginx/ssl

5、nginx配置

[root@nginx ~]# vim /etc/nginx/conf.d/vhost_ssl.conf

server {

  listen  ssl;

  server_name cahost.zzidc.com;

  root /data/nginx/vhost1;

  access_log /var/log/nginx/vhost1_ssl_access.log main;

  ssl on;

  ssl_certificate /etc/nginx/ssl/nginx.crt;

  ssl_certificate_key /etc/nginx/ssl/nginx.key;

  ssl_protocols sslv3 TLSv1 TLSv1. TLSv1.;

  ssl_session_cache   shared:SSL:10m;    #共享session内存空间为10M,1M的会话为4千;这个是4万

  ssl_session_timeout 10m;

}

[root@nginx conf.d]# nginx -t

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok

nginx: configuration file /etc/nginx/nginx.conf test is successful

[root@nginx conf.d]# service nginx restart

Redirecting to /bin/systemctl restart nginx.service

[root@nginx conf.d]# netstat -luntp|grep

tcp               0.0.0.0:             0.0.0.0:*               LISTEN      /nginx: mas 










												


											
nginx ssl 自签证书实验的更多相关文章
	

    
								
  1. golang使用ssl自签证书通信
		
    证书是自签名生成的,另外lets encrypt证书免费发放,而且众多大厂都已经开始支持了,不过这只是个例子,无所谓验证有效和权威性了 服务器端 package main import ( " ...
    
		
    2. 
						
  2. openssl实现CA自签证书和颁发数字证书
		
    1. 测试环境准备: CA签署服务器:192.168.2.181 WEB服务器:192.168.2.180 CA安装openssl  WEB服务器使用nginx 2. CA生成自签证书: 2.1 为C ...
    
		
    3. 
						
  3. nginx ssl
		
    SSL 私钥/etc/pki/CA/ (umask 077;openssl genrsa -out private/cakey.pem 2048) 自签证书 openssl req -new -x50 ...
    
		
    4. 
						
  4. Nginx SSL配置
		
    一.SSL 原理 ① 客户端( 浏览器 )发送一个 https 请求给服务器② 服务器要有一套证书,其实就是公钥和私钥,这套证书可以自己生成,也可以向组织申请,服务器会把公钥传输给客户端③ 客户端收到 ...
    
		
    5. 
						
  5. Ubuntu 18.04使用OpenSSL自签证书(证书支持多IP及多域名,谷歌浏览器无警告)
		
    前言 在HTTPS数据传输的过程中,需要用SSL/TLS对数据进行加密和解密,以保证网络传输过程中数据的机密性.HTTPS协议可以大致分为两个部分:其一是协商密钥,首先当Client向Web Serv ...
    
		
    6. 
						
  6. nginx + SSL优化配置
		
    nginx + SSL优化配置: #http段添加如下配置项: http { ssl_prefer_server_ciphers on; #设置协商加密算法时,优先使用我们服务端的加密套件,而不是客户 ...
    
		
    7. 
						
  7. nginx - ssl 配置 - globelsign ssl
		
    前提: 3个文件 - domain.csr.domain.key.xxx.cer 简述: 1. 本地生成 .key文件  [附件] 2. 再利用key文件,生成csr(certificate Secu ...
    
		
    8. 
						
  8. 0109 ubuntu nginx ssl
		
    1. sudo apt-get install openssl libssl-dev # ./configure --with-http_stub_status_module --with-http_ ...
    
		
    9. 
						
  9. nginx+ssl 服务器 双向认证
		
    项目后台服务器采用nginx+tomcat 负载均衡架构  不久 访问协议有http升级为https 对服务器认证采用沃通的ssl证书 nginx ssl证书安装 参照沃通官方文档 他们有技术支持沟通 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. PostgreSQL Json字段作为查询条件案例
			
    业务扩展字段在数据库中经常会使用json格式的数据来存储,这就涉及到一个头疼的问题,假设要使用扩展字段里的某个值作为查询条件怎么办,原来PostgreSQL本身就支持这种查询方式. 例子:假设业务扩展 ...
    
			
    2. 
						
  2. Python程序每日一练习
			
    问题一:做为Apple Store App独立开发者,你要搞限时促销,为你的应用生成激活码(或者优惠券),使用Python如何生成200个激活码(或者优惠券)? 简介:通用唯一识别码(英语:Unive ...
    
			
    3. 
						
  3. Cordova - 彻底搞定IOS编译!
			
    操作系统:OSX10.14 XCode:10.1 Cordova:8.1.2 假设已经配置好了Cordova开发环境,Apple ID你也有,XCode也可以正常工作了,那么就可以继续看这篇文章了!  ...
    
			
    4. 
						
  4. Owin 自寄宿  asp.net web api
			
    http://owin.org/ Owin 定义了webserver和webapplication之间的标准接口,目标就是为了解耦webapplication对webserver的依赖, 就是说以后可 ...
    
			
    5. 
						
  5. DotNetCore学习-1.读取Json配置并绑定到配置类实例
			
    DotNetCore的程序的配置不再完全局限于XML文件,增加更加通用的Json配置. 读取Json配置文件的类主要在Microsoft.Extensions.Configuration命名空间下,创 ...
    
			
    6. 
						
  6. js 提交数组到后端(C#)
			
    JS 代码: <script src="~/Scripts/jquery-1.8.2.min.js"></script> <script> // ...
    
			
    7. 
						
  7. 【WebSocket No.1】实现服务端webSocket连接通讯
			
    前言 现阶段socket通信使用TCP.UDP协议,其中TCP协议相对来说比较安全稳定!本文也是来讲解TCP为主(恕在下学艺不精). 下面是个人理解的tcp/ip进行通讯之间的三次握手! 1.客户端先 ...
    
			
    8. 
						
  8. JavaSE 异常抛光解析
			
    异常 异常指的是程序中的不正常现象,一般异常都是由第三方数据的使用造成的.java中每种异常现象都会有一个对应的异常类.java对异常的处理方式就是终止程序.异常机制其实是为了帮助我们找到程序中的问题 ...
    
			
    9. 
						
  9. 做webApp遇到的一些坑及解决方案
			
    1.问题:手机端click事件会有大约300ms的延迟 原因:手机端事件touchstart-->touchmove-->touchend or touchcancel-->clic ...
    
			
    10. 
						
  10. ES 5 中 判断数组的方法
			
    源代码: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF- ...
    
			
    11.