Nginx服务器添加SSL证书。
要在Windows系统的Nginx Web服务器上使用OpenSSL生成证书,并确保该证书能在局域网内被计算机信任,你可以按照以下详细步骤进行操作:
一、生成证书
-
下载并安装OpenSSL:
- 从OpenSSL的官方网站下载适用于Windows的版本。
- 安装OpenSSL,并配置环境变量。将OpenSSL的安装路径(例如
C:\Program Files\OpenSSL-Win64\bin)添加到系统的Path环境变量中。
-
生成服务器私钥:
- 打开命令提示符(CMD),切换到你想保存证书的目录。
- 执行以下命令生成服务器私钥(
server.pem和server.key):
shellopenssl genrsa -out server.pem 2048 openssl rsa -in server.pem -out server.key -
生成证书签名请求(CSR):
- 执行以下命令生成CSR文件(
server.csr):
shellopenssl req -new -key server.key -out server.csr -subj "/C=CN/ST=YourState/L=YourCity/O=YourOrganization/OU=YourUnit/CN=YourServerName"- 注意将
/C=CN/ST=YourState/L=YourCity/O=YourOrganization/OU=YourUnit/CN=YourServerName中的占位符替换为你的实际信息。其中CN(Common Name)必须是你希望证书绑定的域名或IP地址,在局域网中通常是服务器的IP地址或局域网内的域名。
- 执行以下命令生成CSR文件(
-
生成自签名SSL证书:
- 执行以下命令生成自签名SSL证书(
server.crt):
shellopenssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt - 执行以下命令生成自签名SSL证书(
-
生成PFX证书(可选,但Windows常用):
- 如果你希望将证书和私钥打包成一个PFX文件,可以执行以下命令:
shellopenssl pkcs12 -export -in server.crt -inkey server.key -out server.pfx -name server- 在此过程中,你需要输入一个密码来保护PFX文件。
二、配置Nginx使用证书
-
将证书文件复制到Nginx目录:
- 将生成的
server.crt和server.key(或server.pfx,如果使用PFX文件)复制到Nginx安装目录下的conf文件夹或其他你指定的证书文件夹中。
- 将生成的
-
修改Nginx配置文件:
- 打开Nginx配置文件(通常是
nginx.conf),并添加或修改HTTPS服务器配置部分:
nginxserver { listen 443 ssl; server_name YourServerName; # 可以填IP地址或域名 ssl_certificate ssl/server.crt; # 证书文件路径 ssl_certificate_key ssl/server.key; # 私钥文件路径(如果使用PFX文件,则不需要此行,并在ssl_certificate行指定PFX文件) # 如果使用PFX文件,则配置如下: # ssl_certificate ssl/server.pfx; # ssl_certificate_key 不用指定,因为PFX文件已包含私钥 # 其他SSL配置... location / { root html; index index.html index.htm; # 其他配置... } } - 打开Nginx配置文件(通常是
-
重启Nginx:
- 保存并关闭Nginx配置文件,然后重启Nginx以使配置生效。
三、局域网内信任证书
-
将根证书(CA证书)导入到局域网内的计算机:
- 在这个场景中,由于你使用的是自签名证书,因此你的计算机需要信任这个自签名的根证书。
- 将生成的
server.crt(或CA证书,如果你有一个单独的CA证书)复制到每台需要信任该证书的计算机上。
-
在Windows上导入证书:
- 打开"控制面板" > "管理工具" > "证书 - 当前用户"或"证书 - 计算机"。
- 选择"受信任的根证书颁发机构"或适当的存储位置。
- 右键点击"证书"文件夹,选择"所有任务" > "导入",然后按照向导导入你的证书文件(
server.crt)。
-
验证信任:
- 在浏览器中访问使用HTTPS的Nginx服务器,如果证书被正确导入并信任,则浏览器将不会显示安全警告。
请注意,自签名证书虽然适用于内部或测试环境,但在生产环境中通常建议使用由受信任的证书颁发机构(CA)签发的证书,以确保更高的安全性和用户信任度。
补充:局域网内证书信任问题
因为缺少CA证书,故以上第三章节也不能解决证书信任问题。
要制作局域网内被信任的证书,请移步:局域网内搭建浏览器可信任的SSL证书