两台服务器

11.11.11.3     (生成证书然后到CA服务上注册)

11.11.11.4    (nginx服务、CA证书签发)

1、建立CA服务器(11.3)

、在CA上生成私钥文件 在/etc/pki/CA/private

[root@ca]# cd /etc/pki/CA/

[root@ca CA]# (umask ;openssl genrsa -out private/cakey.pem )

、在CA上生成自签署证书  必须在/etc/pki/CA目录下

[root@ca CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days

-new 为生成新的证书,会要求用户填写相关的信息

-x509 通常用于自签署证书,生成测试证书或用于CA自签署

-key私钥位置

-days申请的天数(默认30天)

-out生成位置

Country Name ( letter code) [XX]:CN

State or Province Name (full name) []:HeNan

Locality Name (eg, city) [Default City]:Zhengzhou

Organization Name (eg, company) [Default Company Ltd]:yanqi

Organizational Unit Name (eg, section) []:system

Common Name (eg, your name or your server's hostname) []:cahost.zzidc.com

Email Address []:@qq.com

[root@ca CA]# touch index.txt
[root@ca CA]# echo 01 > serial

2、给http服务器发放证书

[root@nginx ~]# mkdir /etc/nginx/ssl

[root@nginx ~]# cd /etc/nginx/ssl/

[root@nginx ssl]# (umask ; openssl genrsa -out nginx.key )

[root@nginx ssl]# openssl req -new -key nginx.key -out nginx.csr

#信息跟CA上生成的保持一致

Country Name ( letter code) [XX]:CN

State or Province Name (full name) []:HeNan

Locality Name (eg, city) [Default City]:Zhengzhou

Organization Name (eg, company) [Default Company Ltd]:yanqi

Organizational Unit Name (eg, section) []:system

Common Name (eg, your name or your server's hostname) []:cahost.zzidc.com

Email Address []:@qq.com

[root@nginx ssl]# scp nginx.csr 11.11.11.3:/tmp/

3、在CA上给http服务器签署证书

[root@ca ~]# openssl ca -in /tmp/nginx.csr -out /etc/pki/CA/certs/nginx.crt -days

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

        Serial Number:  (0x1)

        Validity

            Not Before: Feb  ::  GMT

            Not After : Feb  ::  GMT

        Subject:

            countryName               = CN

            stateOrProvinceName       = HeNan

            organizationName          = yanqi

            organizationalUnitName    = system

            commonName                = cahost.zzidc.com

            emailAddress              = @qq.com

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                :4E:B6:B5:C2:B8:B8:3F:B4:E7::::D3:E8:3A::::

            X509v3 Authority Key Identifier:

                keyid:6B::D0:CD:C9:1A::7E:3B::EC:BE:6B:AB:E4::2C::2A:

Certificate is to be certified until Feb  ::  GMT ( days)

Sign the certificate? [y/n]:y

 out of  certificate requests certified, commit? [y/n]y

Write out database with  new entries

Data Base Updated

[root@ca ~]#

4、生成完需要拷贝到http服务器上  也用scp命令

[root@ca ~]# scp /etc/pki/CA/certs/nginx.crt 11.11.11.4:/etc/nginx/ssl

5、nginx配置

[root@nginx ~]# vim /etc/nginx/conf.d/vhost_ssl.conf

server {

  listen  ssl;

  server_name cahost.zzidc.com;

  root /data/nginx/vhost1;

  access_log /var/log/nginx/vhost1_ssl_access.log main;

  ssl on;

  ssl_certificate /etc/nginx/ssl/nginx.crt;

  ssl_certificate_key /etc/nginx/ssl/nginx.key;

  ssl_protocols sslv3 TLSv1 TLSv1. TLSv1.;

  ssl_session_cache   shared:SSL:10m;    #共享session内存空间为10M,1M的会话为4千;这个是4万

  ssl_session_timeout 10m;

}

[root@nginx conf.d]# nginx -t

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok

nginx: configuration file /etc/nginx/nginx.conf test is successful

[root@nginx conf.d]# service nginx restart

Redirecting to /bin/systemctl restart nginx.service

[root@nginx conf.d]# netstat -luntp|grep

tcp               0.0.0.0:             0.0.0.0:*               LISTEN      /nginx: mas 










												


											
nginx ssl 自签证书实验的更多相关文章
	

    
								
  1. golang使用ssl自签证书通信
		
    证书是自签名生成的,另外lets encrypt证书免费发放,而且众多大厂都已经开始支持了,不过这只是个例子,无所谓验证有效和权威性了 服务器端 package main import ( " ...
    
		
    2. 
						
  2. openssl实现CA自签证书和颁发数字证书
		
    1. 测试环境准备: CA签署服务器:192.168.2.181 WEB服务器:192.168.2.180 CA安装openssl  WEB服务器使用nginx 2. CA生成自签证书: 2.1 为C ...
    
		
    3. 
						
  3. nginx ssl
		
    SSL 私钥/etc/pki/CA/ (umask 077;openssl genrsa -out private/cakey.pem 2048) 自签证书 openssl req -new -x50 ...
    
		
    4. 
						
  4. Nginx SSL配置
		
    一.SSL 原理 ① 客户端( 浏览器 )发送一个 https 请求给服务器② 服务器要有一套证书,其实就是公钥和私钥,这套证书可以自己生成,也可以向组织申请,服务器会把公钥传输给客户端③ 客户端收到 ...
    
		
    5. 
						
  5. Ubuntu 18.04使用OpenSSL自签证书(证书支持多IP及多域名,谷歌浏览器无警告)
		
    前言 在HTTPS数据传输的过程中,需要用SSL/TLS对数据进行加密和解密,以保证网络传输过程中数据的机密性.HTTPS协议可以大致分为两个部分:其一是协商密钥,首先当Client向Web Serv ...
    
		
    6. 
						
  6. nginx + SSL优化配置
		
    nginx + SSL优化配置: #http段添加如下配置项: http { ssl_prefer_server_ciphers on; #设置协商加密算法时,优先使用我们服务端的加密套件,而不是客户 ...
    
		
    7. 
						
  7. nginx - ssl 配置 - globelsign ssl
		
    前提: 3个文件 - domain.csr.domain.key.xxx.cer 简述: 1. 本地生成 .key文件  [附件] 2. 再利用key文件,生成csr(certificate Secu ...
    
		
    8. 
						
  8. 0109 ubuntu nginx ssl
		
    1. sudo apt-get install openssl libssl-dev # ./configure --with-http_stub_status_module --with-http_ ...
    
		
    9. 
						
  9. nginx+ssl 服务器 双向认证
		
    项目后台服务器采用nginx+tomcat 负载均衡架构  不久 访问协议有http升级为https 对服务器认证采用沃通的ssl证书 nginx ssl证书安装 参照沃通官方文档 他们有技术支持沟通 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 移动端自动化测试-AppiumApi接口详解
			
    Appium 初始化配置信息(Desired Capabilities),Desired Capabilities实际上就是一个字典,它主要用于向Appium Server提供初始化配置参数,如:想要 ...
    
			
    2. 
						
  2. Python 【web框架】之Flask
			
    flask 是Python实现的轻量级web框架.没有表单,orm等,但扩展性很好.很多Python web开发者十分喜欢.本篇介绍flask的简单使用及其扩展. 文中示例源码已经传到github:h ...
    
			
    3. 
						
  3. python 浅析模块,包及其相关用法
			
    今天买了一本关于模块的书,说实话,模块真的太多了,小编许多也不知道,要是把模块全讲完,可能得出本书了,所以小编在自己有限的能力范围内在这里浅析一下自己的见解,同时讲讲几个常用的模块. 这里是2018. ...
    
			
    4. 
						
  4. Debatching(Splitting) XML Message in Orchestration using DefaultPipeline - BizTalk 2010
			
    Debatching(Splitting) XML Message in Orchestration using DefaultPipeline - BizTalk 2010   In this po ...
    
			
    5. 
						
  5. SpringBoot(2)  Json框架 -- Jackson返回结果处理
			
    一.常用框架 阿里 fastjson,谷歌gson等 JavaBean序列化为Json,性能:Jackson > FastJson > Gson > Json-lib 同个结构 Ja ...
    
			
    6. 
						
  6. 【学习笔记】剖析MVVM框架,简单实现Vue数据双向绑定
			
    前言: 学习前端也有半年多了,个人的学习欲望还比较强烈,很喜欢那种新知识在自己的演练下一点点实现的过程.最近一直在学vue框架,像网上大佬说的,入门容易深究难.不管是跟着开发文档学还是视频教程,按步骤 ...
    
			
    7. 
						
  7. Linux中重命名乱码文件
			
    Linux下,如何将一个乱码的文件进行重命名 方法一: 命令格式:mv $(ls |egrep "[^a-zA-Z0-9.-]") tandao.tx [root@nb o]# l ...
    
			
    8. 
						
  8. Spark集群的任务提交执行流程
			
    本文转自:https://www.linuxidc.com/Linux/2018-02/150886.htm 一.Spark on Standalone 1.spark集群启动后,Worker向Mas ...
    
			
    9. 
						
  9. [android] 手机卫士绑定sim卡
			
    更新: 收不到启动广播,查看知乎,好像是说高版本的系统都禁止了 还可以通过adb发送开机广播 adb shell am broadcast -a android.intent.action.BOOT_ ...
    
			
    10. 
						
  10. 【Spring】8、Spring框架中的单例Beans是线程安全的么
			
    看到这样一个问题:spring框架中的单例Beans是线程安全的么? Spring框架并没有对单例bean进行任何多线程的封装处理.关于单例bean的线程安全和并发问题需要开发者自行去搞定.但实际上, ...
    
			
    11.