利用OpenSSL給Nginx自簽名證書

2022-06-21 19:30:14 字數 1519 閱讀 7915

以下為 centos7 環境下生成自簽名ssl證書的具體過程:

修改 openssl 配置檔案

vi /etc/pki/tls/openssl.cnf
match 表示後續生成的子證書的對應項必須和建立根證書時填的值一樣,否則報錯。以下配置只規定子證書的 countryname 必須和根證書一致。

[policy_match] 段配置改成如下:

countryname = match

stateorprovincename = optional

organizationname = optional

organizationalunitname = optional

commonname = supplied

emailaddress = optional

在伺服器 pki 的 ca 目錄下新建兩個檔案

cd /etc/pki/ca && touch index.txt serial && echo 01 > serial
生成ca根證書金鑰

cd /etc/pki/ca/ && openssl genrsa -out private/cakey.pem 2048 && chmod 400 private/cakey.pem
生成根證書(根據提示輸入資訊,除了 country name 選項需要記住的,後面的隨便填)

openssl req -new -x509 -key private/cakey.pem -out cacert.pem
生成金鑰檔案

openssl genrsa -out nginx.key 2048
生成證書請求檔案(csr):

openssl req -new -key nginx.key -out nginx.csr
使用 openssl 簽署 csr 請求,生成證書

openssl ca -in nginx.csr -cert /etc/pki/ca/cacert.pem -keyfile /etc/pki/ca/private/cakey.pem -days 365 -out nginx.crt
引數項說明:

-in: csr 請求檔案

-cert: 用於簽發的根 ca 證書

-keyfile: 根 ca 的私鑰檔案

-days: 生成的證書的有效天數

-out: 生成證書的檔名

至此自簽名證書生成完成,最終需要:nginx.key 和 nginx.crt

8. 配置nginx使用自簽名證書

server 


server 


}

利用OpenSSL生成證書檔案

利用openssl生成庫和命令程式,在生成的命令程式中包括對加 解密演算法的測試,openssl程式,ca程式.利用openssl,ca可生成用於c s模式的證書檔案以及ca檔案.下面以c s模式說明證書檔案的生成步驟 證書檔案生成 一.伺服器端 1.生成伺服器端的私鑰 key檔案 openssl ...

利用openssl建立私有CA

本次利用openssl建立私有ca,實現https加密通訊.openssl由三部分組成 加密演算法和協議 對稱加密演算法和協議 公鑰體系 分為公鑰和私鑰 des data encryption standard ibm研發 3des triple des aes advanced encryptio...

怎樣給openssl增加根證書

有時候需要給ssl增加根證書,這種情況很多,比如12306的根證書等等,反正沒有內建到openssl的根證書,但是你需要信任它,就需要把它新增到ssl中。對於各個linux發行版來說證書相關的密碼和認證的機制由openssl提供,而預置的根證書由ca certificates提供,ca certif...