Nginx生成自签名证书和配置Nginx HTTPS(准备证书和私钥)
准备证书和私钥
- 生成私钥
openssl genrsa -des3 -out server.key 2048
这会生成一个加密的私钥文件server.key。
执行openssl genrsa命令时,使用-des3参数会要求设置一个密码来加密生成的私钥。为了安全起见,密码应该足够复杂和长。使用-des3生成受密码保护的私钥也是更安全的做法。
另外,在后续生成证书过程中,需要输入同样的密码才能使用这个受密码保护的私钥。
- 生成证书签名请求(CSR)
openssl req -new -key server.key -out server.csr
按提示输入域名、公司信息等,生成CSR文件。
- 生成自签名证书
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt
这里将有效期设置为3650天,约等于10年。
- 将私钥改为不加密
openssl rsa -in server.key -out server.key
这样就可以得到server.crt证书文件和server.key私钥文件。
在生成私钥时使用 -des3 参数会给私钥设置一个密码保护,这样私钥被盗用的风险会降低。
但是在 Nginx 中直接使用带密码的私钥会比较麻烦,每次启动都需要输入解密密码。
所以这里的第4步“将私钥改为不加密”的目的是移除私钥的密码保护,使其变成未加密的普通私钥。
好处:
-
省去了每次启动Nginx都需要输入私钥解密密码的麻烦。
-
简化了Nginx的配置和启动流程。
-
避免了操作时输入错误密码导致Nginx启动失败的问题。
-
内存中载入的私钥不再被加密,可以明文使用,增加一些效率。
-
在Nginx中配置使用
server {
listen 443 ssl;
server_name www.example.com;
ssl_certificate /path/to/server.crt;
ssl_certificate_key /path/to/server.key;
}
将证书和私钥文件路径配置到Nginx配置中,就可以使用HTTPS了。