最近在配置geo的时候,客户说自己使用的是自签证书,然后是通过ip地址和端口的方式访问gitlab,比较好奇这块,因此对证书的生成和使用做了一些整理,对此网上关于这部分资料也很多,不过作为记录,也算是自己的部分实践。
文章目录
说明
通过openssl genrsa 命令可以用来生成 RSA 私有秘钥,但是并不会生成公钥,因为公钥提取自私钥。生成时是可以指定私钥长度和密码保护。
方法一
step1: 首先生成私钥文件
bash
openssl genrsa -out server.key 2048参数说明
- -out filename:将生成的私钥保存至filename文件,若未指定输出文件,则为标准输出。
- -numbits:指定要生成的私钥的长度(单位 bit),默认为1024。该项必须为命令行的最后一项参数。
step2: 根据私钥文件成自签名的证书文件
bash
openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=BeiJing/L=BeiJing/O=BJ/OU=BJ/CN=192.168.31.40/emailAddress=wkx323@163.com"参数说明
- -new:说明生成证书请求文件。
- -x509:说明生成自签名证书。
- -days:指定自签名证书的有效期限,默认为30天。
- -key:指定使用已有的秘钥文件生成秘钥请求,只与生成证书请求选项-new配合。
- -newkey:-newkey是与-key互斥的,-newkey是指在生成证书请求或者自签名证书的时候自动生成密钥,然后生成的密钥名称由-keyout参数指定。当指定newkey选项时,后面指定rsa:bits说明产生rsa密钥,位数由bits指定。 如果没有指定选项-key和-newkey,默认自动生成秘钥。
- -out :指定生成的证书请求或者自签名证书名称。
- -subj:指定用户的信息。
方法二
step1: 通过openssl生成私钥
bash
openssl genrsa -out server.key 2048
step2: 根据私钥生成证书申请文件csr
bash
openssl req -new -key server.key -out server.csr根据命令行向导来进行信息输入:
step3: 使用私钥对证书申请进行签名从而生成证书
bash
openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 3650
使用
将生成的server.key 和 server.crt拷贝到服务器的证书位置即可。如gitlab的配置:
...
...
external_url 'https://192.168.31.40:19090'
letsencrypt['enable'] = false
nginx['ssl_certificate'] = "/etc/gitlab/ssl/server.crt"
nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/server.key"
...
...