两台服务器

11.11.11.3     (生成证书然后到CA服务上注册)

11.11.11.4    (nginx服务、CA证书签发)

1、建立CA服务器(11.3)

、在CA上生成私钥文件 在/etc/pki/CA/private

[root@ca]# cd /etc/pki/CA/

[root@ca CA]# (umask ;openssl genrsa -out private/cakey.pem )

、在CA上生成自签署证书  必须在/etc/pki/CA目录下

[root@ca CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days

-new 为生成新的证书,会要求用户填写相关的信息

-x509 通常用于自签署证书,生成测试证书或用于CA自签署

-key私钥位置

-days申请的天数(默认30天)

-out生成位置

Country Name ( letter code) [XX]:CN

State or Province Name (full name) []:HeNan

Locality Name (eg, city) [Default City]:Zhengzhou

Organization Name (eg, company) [Default Company Ltd]:yanqi

Organizational Unit Name (eg, section) []:system

Common Name (eg, your name or your server's hostname) []:cahost.zzidc.com

Email Address []:@qq.com

[root@ca CA]# touch index.txt
[root@ca CA]# echo 01 > serial

2、给http服务器发放证书

[root@nginx ~]# mkdir /etc/nginx/ssl

[root@nginx ~]# cd /etc/nginx/ssl/

[root@nginx ssl]# (umask ; openssl genrsa -out nginx.key )

[root@nginx ssl]# openssl req -new -key nginx.key -out nginx.csr

#信息跟CA上生成的保持一致

Country Name ( letter code) [XX]:CN

State or Province Name (full name) []:HeNan

Locality Name (eg, city) [Default City]:Zhengzhou

Organization Name (eg, company) [Default Company Ltd]:yanqi

Organizational Unit Name (eg, section) []:system

Common Name (eg, your name or your server's hostname) []:cahost.zzidc.com

Email Address []:@qq.com

[root@nginx ssl]# scp nginx.csr 11.11.11.3:/tmp/

3、在CA上给http服务器签署证书

[root@ca ~]# openssl ca -in /tmp/nginx.csr -out /etc/pki/CA/certs/nginx.crt -days

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

        Serial Number:  (0x1)

        Validity

            Not Before: Feb  ::  GMT

            Not After : Feb  ::  GMT

        Subject:

            countryName               = CN

            stateOrProvinceName       = HeNan

            organizationName          = yanqi

            organizationalUnitName    = system

            commonName                = cahost.zzidc.com

            emailAddress              = @qq.com

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                :4E:B6:B5:C2:B8:B8:3F:B4:E7::::D3:E8:3A::::

            X509v3 Authority Key Identifier:

                keyid:6B::D0:CD:C9:1A::7E:3B::EC:BE:6B:AB:E4::2C::2A:

Certificate is to be certified until Feb  ::  GMT ( days)

Sign the certificate? [y/n]:y

 out of  certificate requests certified, commit? [y/n]y

Write out database with  new entries

Data Base Updated

[root@ca ~]#

4、生成完需要拷贝到http服务器上  也用scp命令

[root@ca ~]# scp /etc/pki/CA/certs/nginx.crt 11.11.11.4:/etc/nginx/ssl

5、nginx配置

[root@nginx ~]# vim /etc/nginx/conf.d/vhost_ssl.conf

server {

  listen  ssl;

  server_name cahost.zzidc.com;

  root /data/nginx/vhost1;

  access_log /var/log/nginx/vhost1_ssl_access.log main;

  ssl on;

  ssl_certificate /etc/nginx/ssl/nginx.crt;

  ssl_certificate_key /etc/nginx/ssl/nginx.key;

  ssl_protocols sslv3 TLSv1 TLSv1. TLSv1.;

  ssl_session_cache   shared:SSL:10m;    #共享session内存空间为10M,1M的会话为4千;这个是4万

  ssl_session_timeout 10m;

}

[root@nginx conf.d]# nginx -t

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok

nginx: configuration file /etc/nginx/nginx.conf test is successful

[root@nginx conf.d]# service nginx restart

Redirecting to /bin/systemctl restart nginx.service

[root@nginx conf.d]# netstat -luntp|grep

tcp               0.0.0.0:             0.0.0.0:*               LISTEN      /nginx: mas 










												


											
nginx ssl 自签证书实验的更多相关文章
	

    
								
  1. golang使用ssl自签证书通信
		
    证书是自签名生成的,另外lets encrypt证书免费发放,而且众多大厂都已经开始支持了,不过这只是个例子,无所谓验证有效和权威性了 服务器端 package main import ( " ...
    
		
    2. 
						
  2. openssl实现CA自签证书和颁发数字证书
		
    1. 测试环境准备: CA签署服务器:192.168.2.181 WEB服务器:192.168.2.180 CA安装openssl  WEB服务器使用nginx 2. CA生成自签证书: 2.1 为C ...
    
		
    3. 
						
  3. nginx ssl
		
    SSL 私钥/etc/pki/CA/ (umask 077;openssl genrsa -out private/cakey.pem 2048) 自签证书 openssl req -new -x50 ...
    
		
    4. 
						
  4. Nginx SSL配置
		
    一.SSL 原理 ① 客户端( 浏览器 )发送一个 https 请求给服务器② 服务器要有一套证书,其实就是公钥和私钥,这套证书可以自己生成,也可以向组织申请,服务器会把公钥传输给客户端③ 客户端收到 ...
    
		
    5. 
						
  5. Ubuntu 18.04使用OpenSSL自签证书(证书支持多IP及多域名,谷歌浏览器无警告)
		
    前言 在HTTPS数据传输的过程中,需要用SSL/TLS对数据进行加密和解密,以保证网络传输过程中数据的机密性.HTTPS协议可以大致分为两个部分:其一是协商密钥,首先当Client向Web Serv ...
    
		
    6. 
						
  6. nginx + SSL优化配置
		
    nginx + SSL优化配置: #http段添加如下配置项: http { ssl_prefer_server_ciphers on; #设置协商加密算法时,优先使用我们服务端的加密套件,而不是客户 ...
    
		
    7. 
						
  7. nginx - ssl 配置 - globelsign ssl
		
    前提: 3个文件 - domain.csr.domain.key.xxx.cer 简述: 1. 本地生成 .key文件  [附件] 2. 再利用key文件,生成csr(certificate Secu ...
    
		
    8. 
						
  8. 0109 ubuntu nginx ssl
		
    1. sudo apt-get install openssl libssl-dev # ./configure --with-http_stub_status_module --with-http_ ...
    
		
    9. 
						
  9. nginx+ssl 服务器 双向认证
		
    项目后台服务器采用nginx+tomcat 负载均衡架构  不久 访问协议有http升级为https 对服务器认证采用沃通的ssl证书 nginx ssl证书安装 参照沃通官方文档 他们有技术支持沟通 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Spring Boot + Spring Cloud 构建微服务系统(十):配置中心(Spring Cloud Bus)
			
    技术背景 我们在上一篇讲到,Spring Boot程序只在启动的时候加载配置文件信息,这样在GIT仓库配置修改之后,虽然配置中心服务器能够读取最新的提交信息,但是配置中心客户端却不会重新读取,以至于不 ...
    
			
    2. 
						
  2. 基于redis的分布式ID生成器
			
    基于redis的分布式ID生成器  
    
			
    3. 
						
  3. go import使用及. _的作用解析
			
    go中import用于导入包.导入之后就可以使用包中的代码. 比如: import( "fmt" ) 在代码中就可以使用fmt包中的方法,如: fmt.Println(" ...
    
			
    4. 
						
  4. git第八节---git 撤销和回滚
			
    # git 撤销 1. 未添加进暂存区的撤销  --未git add 2.添加进暂存区的撤销--  已git add 未git commit 未添加进暂存区的撤销命令:git checkout --  ...
    
			
    5. 
						
  5. vue里碰到 $refs 的问题
			
    记录困惑自己一个简单的问题...(瞬间感觉官方文档的强大) 在自己做的一个项目中,遇到一个列表页,根据id能进入详情页(动态匹配路由),详情页是单独的一个组件,在这个详情的组件里,我想获取内容给你区域 ...
    
			
    6. 
						
  6. Django 学习笔记(三) --- HTML 模版加载 css、js、img 静态文件
			
    人生苦短 ~ Tips:仅适用于 Python 3+(反正差别不大,py2 改改也能用).因为据 Python 之父 Guido van Rossum 说会在 2020 年停止对 Python 2 的 ...
    
			
    7. 
						
  7. #13    让代码变得Pythonic
			
    前言 在学习Python的过程中,肯定听说过这么一个词:Pythonic,它的意思是让你的代码很Python! 一.列表生成式 前面有一节专门讲解了Python的列表,其灵活的使用方法一定让你陶醉其中 ...
    
			
    8. 
						
  8. Jmeter接口测试——跨线程组调用参数(token为例)
			
    昨天学会了动态获取token,今天测试接口时希望能够实现跨线程调用token值. 实现原理: jmeter本身的“__setProperty”函数可以把某参数的值设置成jmeter本身的内置属性,而j ...
    
			
    9. 
						
  9. 从零搭建生产环境的ghost2.0博客
			
    当前安装过程是在ghost cli 1.9.2上的,由于ghost更新特别快,我安装我个人博客cmlanche.com的时候还是1.9.1,当时没碰到啥问题,到1.9.2就有一点点不一样了,所以要注意 ...
    
			
    10. 
						
  10. nexus-3.2.0-01.zip安装以及如何启动服务
			
    1. 在之前的版本中,启动nexus服务都是在cmd中输入 nexus install来安装服务,nexus start来启动服务. 2. 在nexus-3.2.0-01中,直接在nexus根目录下的 ...
    
			
    11.