nginxのは、開いているポートを確認するために行う前に構築する必要があります
まず、インストールopensslのかどうかを確認します
[ルート@ localhostの〜]#回転数-qaのopenssl のopenssl-1.0.2k-16.el7_6.1.x86_64
第二に、ルートCA証明書を作成
1、CA秘密鍵を生成します
[ルート@ localhostののopensslの]#opensslのgenrsa -out local.key 2048 RSA秘密鍵を生成、2048ビット長のモジュラス .......................... +++ ... ............................................ ........................ +++ eは65537(0x10001)である
[ルート@ localhostののopensslの]# LS local.key
2、CA証明書生成要求
[ルート@ localhostののopensslの]#1のopenssl reqを-new -key local.key -out local.csr あなたは組み込まれます情報を入力するように要求されようとしている 証明書要求にを。 あなたが入ろうとしていることは、識別名またはDNと呼ばれるものです。 そこかなりの数のフィールドがありますが、あなたには、いくつかの空白のままにしておくことができ 、デフォルトの値になりますが、いくつかのフィールドで ユーザーが入力した場合は「」、フィールドを空白のままになります。 ----- 国名(2文字コード)[XX]:中国の 文字列は、それが長い未満2バイトである必要があり、長すぎる CN //国家:国名(2文字コード)[XX] 都道府県名(フルネーム)[]:北京//省 地域名(例えば、都市)[デフォルト市]:北京//城市 組織名(例えば、会社)[デフォルトの企業株式会社]: 組織単位の名前(例えば、セクション)[]:テスト//部门 共通名(例えば、自分の名前や、サーバーのホスト名)[]:テスト//主机名 メールアドレス[]:[email protected] //邮箱 入力してください。以下の'余分'は属性 証明書要求を送信することが tanxiao //密码:チャレンジパスワード[] オプションの会社名[]:tanxiao //公司名[ルート@ localhostののopensslの]#LSをlocal.csr local.key
3、生成されたCAのルート証明書
コマンド知ってもらうことは容易ではないCA証明書の生成 1.証明書要求ファイル鍵の生成 、最終的な証明書を生成すること2.証明書要求ファイルを 指定された秘密鍵-signkey、証明書要求ファイルを使用して証明書を生成-Inを
REQ:証明書生成要求書は、CA証明書を検証し、ルートを作成し -new:新世代は、証明書要求を表す 直接出力証明書:-x509 -key:使用するプライベートキーファイルを生成する際に証明書要求 -out:出力ファイル
[ルート@ローカルホストのOpenSSL]#のOpenSSL X509 -req -in local.csr -extensions v3_ca -signkey local.keyアウトlocal.crt 署名OK 被写体= / C = CN / ST =北京/ L =北京/ O =デフォルト・カンパニーLtd/OU=test/CN=test/[email protected]は、 プライベートキーを取得します
第三に、CAのルート証明書に基づいて、サーバのルート証明書を作成
1、秘密鍵生成サーバ
[ルート@ localhostののopensslの]#opensslのgenrsa -out my_server.key 2048 RSA秘密鍵を生成、2048ビット長のモジュラス .. +++ ..................... ............................... +++ eは65537(0x10001)であります
図2に示すように、サーバ証明書要求を生成します
[ルート@ localhostののopensslの]#1のopenssl reqを-new -key my_server.key -out my_server.csr あなたは組み込まれます情報を入力するように要求されようとしている 証明書要求にを。 あなたが入ろうとしていることは、識別名またはDNと呼ばれるものです。 そこかなりの数のフィールドがありますが、あなたには、いくつかの空白のままにしておくことができ 、デフォルトの値になりますが、いくつかのフィールドで ユーザーが入力した場合は「」、フィールドを空白のままになります。 ----- 国名(2文字コード)[XX]:CN 都道府県名(フルネーム)[]:北京 地域名(例えば、都市)[デフォルト市]:北京 組織名(例えば、会社)[デフォルトの企業株式会社]: 組織単位名(例えば、セクション)[]:テスト 共通名(例えば、自分の名前や、サーバーのホスト名)[]:テスト メールアドレス[]:[email protected] 属性以下「エクストラ」を入力してください あなたの証明書要求を送信することが tanxiao:[]チャレンジパスワード オプションを会社名[]:tanxiao [ルート@ localhostののopensslの]#lsの local.crt local.csr local.key my_server.csr my_server.key
3、生成されたサーバ証明書
[ルート@のローカルホストのOpenSSL]#のOpenSSL X509 -days 365 -req -in my_server.csr -extensions v3_req -CAkey local.key -CA local.crt -CAcreateserialアウトmy_server.crt 署名OK 被写体= / C = CN / ST =北京/ L =北京/ O =デフォルトの企業Ltd/OU=test/CN=test/[email protected]は、 CA秘密鍵を取得します
nginxのSSLをサポートするために配置された4つの、(nginxのを構成する際に、SSLモジュールがインストールされなければなりません)
[ルート@ localhostのは〜]#のVimの/usr/local/nginx/conf/nginx.confの
サーバーは、{ 80を聞きます。 443デフォルトのSSLを聞きます。 100 keepalive_timeout; ssl_certificate /root/local.crt; ssl_certificate_key /root/local.key; ssl_session_cache共有:SSL:10メートルを。 ssl_session_timeout 10メートル; HIGHのssl_ciphers:aNULL:!MD5; ssl_prefer_server_ciphers上; サーバー名はlocalhost。 文字セットUTF-8; }
ファイブテスト
https://www.cnblogs.com/tanxiaojuncom/