httpsに自己署名証明書のhttpにジャンプし、構成nginxのを修正

その他 2020-01-26 16:32:50 訪問数: null

証明書の生成

1.チェックインインストールのOpenSSL:
OpenSSLのバージョン-a

2.(あなたがCAを生成する必要がある場合は、コマンドを実行する)CA証明書を生成します

opensslのgenrsa -out ca.key 2048
opennssl REQ -key ca.key -subj "/C=CN/ST=Chongqing/CN=183.230.102.40" -new -x509 -days 3650 -out ca.crt

3.自己署名SSL証明書と秘密鍵の作成
最初のステップは:秘密鍵生成
#のgenraは、RSA秘密鍵を生成する
#-des3 DES3アルゴリズム
#-out server.keyの生成した秘密鍵ファイル名を
#2048の長さの秘密鍵
opensslのgenrsa -des3 -out server.pass.key 2048

4つのパスワード以上を入力します。

4.秘密鍵のパスワードを削除する
opensslのRSA -in server.pass.key -out server.keyの
注:プライベートキーがパスワードserver.pass.keyで、パスワードは秘密鍵server.keyのではありません

生成されたCSRは、(証明書署名要求)
#は、証明書署名要求REQを生成
-new新しく生成された#
#キーファイルに-key
生成されたCSRファイル-out#
#-subj証明書の生成パラメータCSR
のopenssl reqを-new -key server.keyのを-out server.csr -subj "/C=CN/ST=Chongqing/L=Chongqing/O=Cm/OU=CmIot/CN=xxx.xxx.xxx.xxx(ipアドレス)"
フィールド意味例
/ C =国国家CN
/ ST =都道府県重慶省
/ L =場所や都市の都市重慶
/ O =組織団体や企業xdevops
/ OU =組織単位部門xdevops
/ CN =ドメイン名または名前の共通IP gitlab.xdevops.cn(ドメイン名) / IPアドレス(192.168.1.11)

6.自己署名SSL証明書の生成
#-days証明書が有効である
(無CA certificateコマンド)のOpenSSL X509 -req -IN server.csr -signkey server.keyの-days 3650 -outをserver.crt
X.509証明書は、3つのファイルで構成されています。キー、CSR、CRT。
opensslのX509 -req -in server.csr -CAkey ca.key -CA ca.crt -CAcreateserial -days 3650 -outをserver.crt

キーは、クライアントデータの暗号化に送信するために使用されるサーバー上の秘密鍵ファイルです、とクライアントのから受信したデータの復号化
CSRは、証明書に署名する認証局(CA)に提出する証明書署名要求ファイルであります
証明書の署名機関(CA)によるCRTの証明書、または自己署名証明書の開発者、証明書所有者の情報が含まれ、公開鍵の所有者、および署名者の署名やその他の情報
注:暗号技術でで、X.509は、公開鍵、証明書失効リスト、認証証明書、証明書パス検証アルゴリズムの標準仕様です。

2つの構成nginxの変更

{サーバー
        DEFAULT_SERVER 443聞く;
        聴く[::]を:443 DEFAULT_SERVER;
        サーバ名www.test.com;
        access_logのログ/ ssl.access.log主検定;
        
        SSL ON、オープンに#SSLプロトコルの必要
        ssl_certificateのをserver.crt;#注:証明書の生成および経路一貫性に対応する証明書へのnginxのパス、ホームディレクトリに生成されたそのような証明書、nginxの/home/server.crt ssl_certificateするように構成され
        ssl_certificate_key server.key-; #keyが発生ホームディレクトリ、例えば真であります証明書、nginxのを_key /home/server.key ssl_certificateするように構成され、
        
        #プロトコル最適化(オプションHTTPSプロトコル最適化、セキュリティ強化)
        ON ssl_prefer_server_ciphers;
        ssl_session_cache共有:SSL:10メートル;
        ssl_session_timeout 10メートル。
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:NULL:aNULL:MD5:ADH:!の!!!!RC4。
        ssl_protocolsのTLSv1 TLSv1.1 TLSv1.2; #ssl_protocols协议参数
        
    
   }

nginxのチェックの設定:./ nginxの-t

nginxの再起動:./ nginxの-sリロード

カールます。https:// IP /ディレクトリに対応

fighting545847013
リリース9件のオリジナルの記事 ウォンの賞賛1 ビュー233
プライベートの手紙の 懸念

おすすめ

転載: blog.csdn.net/weixin_43857096/article/details/103721821
おすすめ
大規模な言語モデルに基づくオープンソースのナレッジベースの質問と回答システムである MaxKB GitHub Star の数が 5,000 を超えました。
ランキング
短线选股的一种方法
Javaクライアントでのユーバーのリズムワークフローで睡眠時間をキャンセルし、再スケジュール
CALIPSOデータバッチダウンロード方式
LeetCode アルゴリズム再帰クラス - ソードはオファー 26 を参照します。 ツリーの部分構造
HTMLのインポート外部CSS、JavaScriptの論文
PostgreSQL 13.1、12.5、11.10、10.15、9.6.20、および9.5.24がリリースされました
アップルは、エラーメッセージがポテトに接続されていた実行する方法ポテトポテトショーをダウンロードすることができません
あなたは空腹で突然電話を切っていますか?これはテクノロジーの裏側ですか、それともテスト用の銃ですか?
VIMエディタのヒント
動的計画法の最長共通部分列(LCS)
アーカイブ
もっと
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)

コードワールド

© 2018 codetd.com