《如何在linux下使用openssl自签https的ip证书配置nginx》首发牧马人博客转发请加此提示
如何在linux下使用openssl自签https的ip证书配置nginx
背景
**<<如何在linux下使用openssl自签https的ip证书配置nginx>>**这篇文章的诞生跟上篇浅谈Cookie跨域获取是同一个背景,因为需要接入单点,由于第三方要求必须使用https协议,甲方又不想出钱,所以只能自己使用openssl
自签一个ssl证书。写这篇的根本原因也是作者本人看了不下20篇博客,最终缝缝补补才整理出来一次通过的版本。经由本人测试,在centos7下只要照着敲就没啥问题了。
1.检查服务器是否安装了openssl
centos中默认是安装了openssl
的
shell
[root@aiotqrd-nacos ~]# rpm -qa | grep openssl
openssl-1.0.2k-26.el7_9.x86_64
openssl-libs-1.0.2k-26.el7_9.x86_64
xmlsec1-openssl-1.2.20-7.el7_4.x86_64
openssl-devel-1.0.2k-26.el7_9.x86_64
[root@aiotqrd-nacos ~]# openssl
OpenSSL>
2.找到Openssl.cnf文件
openssl version -a
OPENSSLDIR这里面显示的内容就是配置所在位置。
shell
openssl version -a
OpenSSL 1.0.2k-fips 26 Jan 2017
built on: reproducible build, date unspecified
platform: linux-x86_64
options: bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx)
compiler: gcc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DRC4_ASM -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/etc/pki/tls"
engines: rdrand dynamic
[root@aiotqrd-nacos ~]#
3.修改配置文件openssl.cnf
shell
vi /etc/pki/tls/openssl.cnf
- 在配置文件中找到v3_req 这个标识把下面的配置复制进去。其中注意alt_names的配置信息,如果没有域名可以把DNS.1删除掉。直接使用ip去签名证书即可
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
IP.1 = 外网ip
IP.2 = 127.0.0.1
DNS.1=*.baidu.com
- 在配置文件中找到req 这个标识把req_extensions = v3_req这个内容补充在下方即可。
[ req ]
req_extensions = v3_req
4.生成ca Root证书
shell
1. 生成ca.key
openssl genrsa -out ca.key 2048
2. 创建证书请求问题ca.csr 这里是一次性的版本。 如果把-subj "/C=CN/ST=JiangXI/L=JiangXI/O=JD/OU=JD/CN=xx.xx.xx.xx"这些去掉他会提示你一次次的填写配置信息。这里面最关键的是CN,ip就填ip域名就用域名。
openssl req -new -out ca.csr -key ca.key -subj "/C=CN/ST=JiangXI/L=JiangXI/O=JD/OU=JD/CN=xx.xx.xx.xx" -config /etc/pki/tls/openssl.cnf
3. 生成ca.crt证书
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt -extensions v3_req -extfile /etc/pki/tls/openssl.cnf
4.生成客户端证书
shell
1.创建客户端私钥
openssl genrsa -out server.key 1024
2. 创建证书请求文件CSR
openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=JiangXI/L=JiangXI/O=JD/OU=JD/CN=xx.xx.xx.xx" -config /etc/pki/tls/openssl.cnf -extensions v3_req
3. 用ca.crt来签署server.csr证书
openssl x509 -req -days 3650 -in server.csr -out server.crt -CA ca.crt -CAkey ca.key -CAcreateserial -extfile /etc/pki/tls/openssl.cnf -extensions v3_req
5.nginx配置证书
shell
server {
listen 8022 ssl;
server_tokens off;
server_name localhost;
gzip on;
gzip_min_length 1k;
gzip_buffers 4 16k;
gzip_http_version 1.1;
gzip_comp_level 9;
gzip_types text/plain application/x-javascript text/css application/xml text/javascript application/x-httpd-php application/javascript application/json;
gzip_disable "MSIE [1-6]\.";
gzip_vary on;
ssl_certificate /usr/local/nginx/ssl/server.crt;
ssl_certificate_key /usr/local/nginx/ssl/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
client_max_body_size 100m;
send_timeout 600;
location / {
root /home/app/front/ssoui;
try_files $uri $uri/ /index.html;
index index.html index.htm;
}
}
6.结束
这种方式生成的证书浏览器访问是会提示不安全的,这是正常现象。本文只演示了生成crt格式,如果你是配置java项目或者别的类型项目可能需要别的格式的证书。使用openssl是可以把crt证书转成想要的格式的。