文章目录

前言
声明
安装OpenSSL工具
- 下载OpenSSL
- 安装OpenSSL
生成服务端证书
- 查看Win系统已存证书
- 生成证书
自建CA对证书进行签名
Nginx配置服务端证书
客户端安装CA根证书

前言

在现代互联网应用中，网上诈骗、垃圾邮件、数据泄露的现象时有发生。为了数据安全，我们都会选择采用https技术。甚至iOS开发调用接口的时候，必须是https接口，才能调用。现在有部分浏览器也开始强制要求网站必须使用https，网站网页基于https已经势不可挡，https的时代已经到来。

声明

由于CA机构收费，本文自建CA完成免费的HTTPS配置，实际应用中直接在权威的CA机构购买证书直接配置服务器即可。

安装OpenSSL工具

在客户端（Windows）生成证书，然后安装到服务端（Linux），OpenSSL中包含生成证书的工具和各类加密算法。

下载OpenSSL

Windows：http://slproweb.com/products/Win32OpenSSL.html

Linux：https://www.openssl.org/source/

安装OpenSSL

Windows安装：

双击运行，安装到指定目录即可。

Linux安装（从1.0.x升级）：

1.查看版本命令

openssl version 
openssl version -a

2.下载指定版本的 openssl 软件，两种方式

https://www.openssl.org/source/
wget https://www.openssl.org/source/openssl-1.1.1o.tar.gz

3.解压压缩包

tar -zxvf openssl-1.1.1o.tar.gz

4.进入解压后的文件夹执行以下命令编译安装

./config shared zlib
make && make install

5.备份原来的软链接

mv /usr/bin/openssl /usr/bin/openssl.bak
mv /usr/include/openssl /usr/include/openssl.bak
find / -name openssl

6.重新建立软链接

ln -s /usr/local/bin/openssl /usr/bin/openssl
ln -s /usr/local/include/openssl /usr/include/openssl
echo "/usr/local/lib64/" >> /etc/ld.so.conf
ldconfig

// 验证安装
openssl version -a

生成服务端证书

在Windows系统中生成服务端证书，然后再把相关文件上传到服务器。

查看Win系统已存证书

certmgr.msc

证书中的信息

Country Name (2 letter code) [XX]:CN #请求签署人的信息

State or Province Name (full name) []: #请求签署人的省份名字

Locality Name (eg, city) [Default City]:# 请求签署人的城市名字

Organization Name (eg, company) [Default Company Ltd]:#请求签署人的公司名字

Organizational Unit Name (eg, section) []:#请求签署人的部门名字

Common Name (eg, your name or your server’s hostname) []:#这里一般填写请求人的服务器域名

key：私钥

csr：证书签名请求文件，即待签名证书

crt：证书

生成证书

1.生成私钥：.key

找到OpenSSL安装目录下的/bin目录中的OpenSSL.exe

执行命令（注意目录的访问权限，下同）

openssl genrsa -des3 -out c:/dev/server.key

生成私钥，需要提供一个至少4位，最多1023位的密码

2.由私钥创建待签名证书：.csr

openssl.exe req -new -key c:/dev/server.key -out c:/dev/pub.csr

需要依次输入国家，地区，城市，组织，组织单位，Common Name和Email。其中Common Name，可以写自己的名字或者域名，如果要支持https，Common Name应该与域名保持一致，否则会引起浏览器警告。

3.查看证书中的内容

openssl.exe req -text -in c:/dev/pub.csr -noout

生成内容清单：

server.key：服务器私钥

pub.csr：服务器待签名证书

自建CA对证书进行签名

我们用的操作系统（windows, linux, unix ,android, ios等）都预置了很多信任的根证书，比如我的windows中就包含VeriSign的根证书，那么浏览器访问服务器比如支付宝www.alipay.com时，SSL协议握手时服务器就会把它的服务器证书发给用户浏览器，而这本服务器证书又是比如VeriSign颁发的，自然就验证通过了。

由于费用的原因，我们需要自建CA机构，来给我们自己的证书进行签名。所谓“CA机构”的本质，其实也是一套证书，只不过这套证书具有“公信力”，可以用来给别人签名。

创建CA私钥

openssl.exe genrsa -out c:/dev/myca.key 2048

生成CA待签名证书

openssl.exe req -new -key c:/dev/myca.key -out c:/dev/myca.csr

生成CA根证书

openssl.exe x509 -req -in c:/dev/myca.csr -extensions v3_ca -signkey c:/dev/myca.key -out c:/dev/myca.crt

对服务器证书签名

对服务端 待签名证书（.csr） 进行签名，需要用到本CA机构的 私钥（.key） 和证书（.crt） 作为参数：

openssl x509 -days 365 -req -in c:/dev/pub.csr -extensions v3_req -CAkey c:/dev/myca.key -CA c:/dev/myca.crt -CAcreateserial -out c:/dev/server.crt

生成内容清单：

myca.key：ca机构私钥

myca.csr：ca机构待签名证书

myca.crt：ca机构证书，即根证书

server.crt：服务器证书，被ca机构签名过的证书

Nginx配置服务端证书

将生成好的服务端证书上传到服务器指定目录，并在Nignx中进行配置

     server {
    
    
             listen       443 ssl;
             server_name  aa.abc.com;

             ssl_certificate      /data/cert/server.crt;
             ssl_certificate_key  /data/cert/server.key;

     }

再次声明：实际应用中直接在权威的CA机构购买证书直接配置服务器即可。

客户端安装CA根证书

在当前系统中双击myca.crt安装CA证书，安装成功后通过浏览器访问Nginx服务就会显示为受信任站点。

HTTPS 使用流程