部署自建CA頒發證書實現https加密

2022-06-25 06:30:09 字數 3171 閱讀 7163

需求:自建證書並實現網域名稱的https加密

部署:在linux機器上執行以下命令生成私鑰

mkdir -p /opt/ssl-cert

cd  /opt/ssl-cert

1.#openssl genrsa -outserver.key2048

在linux機器上執行以下命令生成csr檔案

2.#openssl req -new -keyserver.key-out server.csr

以下黑色標識文字僅供參考,請根據商戶自己實際情況進行填寫

country name:cn//您所在國家的iso標準代號,中國為cn

state or province name:tianjin       //您單位所在地省/自治區/直轄市

locality name:tianjin                 //您單位所在地的市/縣/區

organization name: esgcc                //您單位/機構/企業合法的名稱 

organizational unit name: yunwei         //部門名稱 

common name:      //通用名,例如:www.itrus.com.cn。此項必須與您訪問提供ssl服務的伺服器時所應用的網域名稱完全匹配或者直接寫nginx前端的ip位址

"extra"attributes                        //以下資訊不必輸入,回車跳過直到命令執行完畢。

執行上面的命令後,在當前目錄下即可生成私鑰檔案server.key和server.csrcsr檔案

3.備份乙份伺服器金鑰檔案

cp server.key server.key.org

4.去除檔案口令

openssl rsa -in server.key.org -out server.key

5.生成證書檔案server.crt

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

二、https伺服器配置

mkdir -p /opt/nginx/ssl

cp -r server.crt  server.key  /opt/nginx/ssl

1、 nginx配置

user www www;

worker_processes auto;

error_log /opt/nginx/logs/nginx_error.log crit;

pid /opt/nginx/logs/nginx.pid;

worker_rlimit_nofile 51200;

events

server_names_hash_bucket_size 128;

client_header_buffer_size 64k;

large_client_header_buffers 4 32k;

client_max_body_size 500m;

sendfile on;

tcp_nopush on;

keepalive_timeout 300;

#proxy超時時間

proxy_connect_timeout 300;

proxy_send_timeout 300;

proxy_read_timeout 300;

tcp_nodelay on;

#limit_conn_zone $binary_remote_addr zone=perip:10m;

##if enable limit_conn_zone,add "limit_conn perip 10;" to server section.

server_tokens off;

access_log off;

include vhost/*.conf;

}2.ssl.conf

ssl on;  #開啟 還有證書的路徑


vhost配置檔案


server


location ^~ /123-tm 


location ^~ /123-tm 


location ^~ /sec_upload 


}
 
openssl 自建CA,並簽發證書
第一部分 自建ca 注 為了更好管理自建ca,在下文中,為沒有特殊說明的情況,ca根目錄都是指的自建ca的根目錄。1.建立ca根目錄,並初始化一些檔案 mkdir home myca cd home myca mkdir certs private conf echo 01 serial echo ...


建立私有CA為使用者頒發證書
1 建立ca ca伺服器端 進入cd etc pki ca,生成私鑰 umask 077 openssl genrsa out private cakey.pem 4096 生成成功 生成自簽名證書 x509 表示自簽名證書 openssl req new x509 key etc pki ca p...


自建ca根證書 如何建立私有 CA 並簽發證書
為什麼需要自己的 ca?因為公共 ca 比如排名前幾的這幾家 comodo,symantec,globalsign,digicert,startcom 頒發證書要收費,而且 很貴。當然現在也有了像 letsencrypt 這樣的免費 ca。我們的應用是企業內網,網域名稱使用私有網域名稱,沒有辦法使用...