两台服务器

11.11.11.3     (生成证书然后到CA服务上注册)

11.11.11.4    (nginx服务、CA证书签发)

1、建立CA服务器(11.3)

、在CA上生成私钥文件 在/etc/pki/CA/private

[root@ca]# cd /etc/pki/CA/

[root@ca CA]# (umask ;openssl genrsa -out private/cakey.pem )

、在CA上生成自签署证书  必须在/etc/pki/CA目录下

[root@ca CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days

-new 为生成新的证书,会要求用户填写相关的信息

-x509 通常用于自签署证书,生成测试证书或用于CA自签署

-key私钥位置

-days申请的天数(默认30天)

-out生成位置

Country Name ( letter code) [XX]:CN

State or Province Name (full name) []:HeNan

Locality Name (eg, city) [Default City]:Zhengzhou

Organization Name (eg, company) [Default Company Ltd]:yanqi

Organizational Unit Name (eg, section) []:system

Common Name (eg, your name or your server's hostname) []:cahost.zzidc.com

Email Address []:@qq.com

[root@ca CA]# touch index.txt
[root@ca CA]# echo 01 > serial

2、给http服务器发放证书

[root@nginx ~]# mkdir /etc/nginx/ssl

[root@nginx ~]# cd /etc/nginx/ssl/

[root@nginx ssl]# (umask ; openssl genrsa -out nginx.key )

[root@nginx ssl]# openssl req -new -key nginx.key -out nginx.csr

#信息跟CA上生成的保持一致

Country Name ( letter code) [XX]:CN

State or Province Name (full name) []:HeNan

Locality Name (eg, city) [Default City]:Zhengzhou

Organization Name (eg, company) [Default Company Ltd]:yanqi

Organizational Unit Name (eg, section) []:system

Common Name (eg, your name or your server's hostname) []:cahost.zzidc.com

Email Address []:@qq.com

[root@nginx ssl]# scp nginx.csr 11.11.11.3:/tmp/

3、在CA上给http服务器签署证书

[root@ca ~]# openssl ca -in /tmp/nginx.csr -out /etc/pki/CA/certs/nginx.crt -days

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

        Serial Number:  (0x1)

        Validity

            Not Before: Feb  ::  GMT

            Not After : Feb  ::  GMT

        Subject:

            countryName               = CN

            stateOrProvinceName       = HeNan

            organizationName          = yanqi

            organizationalUnitName    = system

            commonName                = cahost.zzidc.com

            emailAddress              = @qq.com

        X509v3 extensions:

            X509v3 Basic Constraints:

                CA:FALSE

            Netscape Comment:

                OpenSSL Generated Certificate

            X509v3 Subject Key Identifier:

                :4E:B6:B5:C2:B8:B8:3F:B4:E7::::D3:E8:3A::::

            X509v3 Authority Key Identifier:

                keyid:6B::D0:CD:C9:1A::7E:3B::EC:BE:6B:AB:E4::2C::2A:

Certificate is to be certified until Feb  ::  GMT ( days)

Sign the certificate? [y/n]:y

 out of  certificate requests certified, commit? [y/n]y

Write out database with  new entries

Data Base Updated

[root@ca ~]#

4、生成完需要拷贝到http服务器上  也用scp命令

[root@ca ~]# scp /etc/pki/CA/certs/nginx.crt 11.11.11.4:/etc/nginx/ssl

5、nginx配置

[root@nginx ~]# vim /etc/nginx/conf.d/vhost_ssl.conf

server {

  listen  ssl;

  server_name cahost.zzidc.com;

  root /data/nginx/vhost1;

  access_log /var/log/nginx/vhost1_ssl_access.log main;

  ssl on;

  ssl_certificate /etc/nginx/ssl/nginx.crt;

  ssl_certificate_key /etc/nginx/ssl/nginx.key;

  ssl_protocols sslv3 TLSv1 TLSv1. TLSv1.;

  ssl_session_cache   shared:SSL:10m;    #共享session内存空间为10M,1M的会话为4千;这个是4万

  ssl_session_timeout 10m;

}

[root@nginx conf.d]# nginx -t

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok

nginx: configuration file /etc/nginx/nginx.conf test is successful

[root@nginx conf.d]# service nginx restart

Redirecting to /bin/systemctl restart nginx.service

[root@nginx conf.d]# netstat -luntp|grep

tcp               0.0.0.0:             0.0.0.0:*               LISTEN      /nginx: mas 










												


											
nginx ssl 自签证书实验的更多相关文章
	

    
								
  1. golang使用ssl自签证书通信
		
    证书是自签名生成的,另外lets encrypt证书免费发放,而且众多大厂都已经开始支持了,不过这只是个例子,无所谓验证有效和权威性了 服务器端 package main import ( " ...
    
		
    2. 
						
  2. openssl实现CA自签证书和颁发数字证书
		
    1. 测试环境准备: CA签署服务器:192.168.2.181 WEB服务器:192.168.2.180 CA安装openssl  WEB服务器使用nginx 2. CA生成自签证书: 2.1 为C ...
    
		
    3. 
						
  3. nginx ssl
		
    SSL 私钥/etc/pki/CA/ (umask 077;openssl genrsa -out private/cakey.pem 2048) 自签证书 openssl req -new -x50 ...
    
		
    4. 
						
  4. Nginx SSL配置
		
    一.SSL 原理 ① 客户端( 浏览器 )发送一个 https 请求给服务器② 服务器要有一套证书,其实就是公钥和私钥,这套证书可以自己生成,也可以向组织申请,服务器会把公钥传输给客户端③ 客户端收到 ...
    
		
    5. 
						
  5. Ubuntu 18.04使用OpenSSL自签证书(证书支持多IP及多域名,谷歌浏览器无警告)
		
    前言 在HTTPS数据传输的过程中,需要用SSL/TLS对数据进行加密和解密,以保证网络传输过程中数据的机密性.HTTPS协议可以大致分为两个部分:其一是协商密钥,首先当Client向Web Serv ...
    
		
    6. 
						
  6. nginx + SSL优化配置
		
    nginx + SSL优化配置: #http段添加如下配置项: http { ssl_prefer_server_ciphers on; #设置协商加密算法时,优先使用我们服务端的加密套件,而不是客户 ...
    
		
    7. 
						
  7. nginx - ssl 配置 - globelsign ssl
		
    前提: 3个文件 - domain.csr.domain.key.xxx.cer 简述: 1. 本地生成 .key文件  [附件] 2. 再利用key文件,生成csr(certificate Secu ...
    
		
    8. 
						
  8. 0109 ubuntu nginx ssl
		
    1. sudo apt-get install openssl libssl-dev # ./configure --with-http_stub_status_module --with-http_ ...
    
		
    9. 
						
  9. nginx+ssl 服务器 双向认证
		
    项目后台服务器采用nginx+tomcat 负载均衡架构  不久 访问协议有http升级为https 对服务器认证采用沃通的ssl证书 nginx ssl证书安装 参照沃通官方文档 他们有技术支持沟通 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Android多线程编程<一>Android中启动子线程的方法
			
          我们知道在Android中,要更新UI只能在UI主线程去更新,而不允许在子线程直接去操作UI,但是很多时候,很多耗时的工作都交给子线程去实现,当子线程执行完这些耗时的工作后,我们希望去修改 ...
    
			
    2. 
						
  2. [java核心技术01]__继承与多态、重载与重写、抽象类与接口
			
    前言 前面简单学习了面向对象的知识,知道了其两个重要的特性,继承与多态,今天就围绕着面向对象的这两个特性,将继承与多态及相关的几个几个定义重载与重写,抽象类与接口的相关知识具体学习一下. 类的继承 关 ...
    
			
    3. 
						
  3. Deep learning with Python 学习笔记(9)
			
    神经网络模型的优化 使用 Keras 回调函数 使用 model.fit()或 model.fit_generator() 在一个大型数据集上启动数十轮的训练,有点类似于扔一架纸飞机,一开始给它一点推 ...
    
			
    4. 
						
  4. #7   Python顺序、条件、循环语句
			
    前言 上一节讲解了Python的数据类型和运算,本节将继续深入,涉及Python的语句结构,相当于Python的语法,是以后编写程序的重要基础! 一.顺序语句 顺序语句很好理解,就是按程序的顺序逻辑编 ...
    
			
    5. 
						
  5. [JZOJ5837] Omeed
			
    Description Solution 有两种做法 一种是线段树维护一次方程系数,一种是线段树维护矩阵 准备都写一写 维护系数 首先把式子推出来 \[CS=B\times \sum\limits_{ ...
    
			
    6. 
						
  6. git+github/码云+VSCode (转载)
			
    VSCode中使用git,参见. Git安装   在初次使用时如果本地没有安装git会提示先安装git,然后重启vscode. 一.本地操作项目前提: 1)若本地没有git拉取下来的项目,用git克隆 ...
    
			
    7. 
						
  7. PowerDesigner 参照完整性约束(转载)
			
    PowerDesigner 参照完整性约束: 限制(Restrict):不允许进行修改或删除操作.若修改或删除主表的主键时,如果子表中存在子记录,系统将产生一个错误提示.这是缺省的参照完整性设置. 置 ...
    
			
    8. 
						
  8. 【Java并发编程】13、forkjoin
			
    http://www.infoq.com/cn/articles/fork-join-introduction http://www.importnew.com/14506.html Java7中的F ...
    
			
    9. 
						
  9. Harbor 搭建
			
    环境:centos7.4 docker-ce 18.06.0-ce docker-compose version 1.18.0 harbor 版本: 1.5.2 harbor 安装参考 https:/ ...
    
			
    10. 
						
  10. 【pygame游戏编程】第四篇-----打字测速游戏
			
    下面我们一起用pygame编写一个打字测速游戏 这是一个很实用的有趣的小游戏: 开始之前先来学习几个小函数: 1. ord(ch) python内置函数,传入一个字符,返回字符的ascii码 2.ch ...
    
			
    11.