nginx-自制证书实现

nginx-自制证书实现


一、 确认nginx是支持https功能的

root@nginx-1 nginx8# nginx -V

nginx version: nginx/1.29.1

built by gcc 11.5.0 20240719 (Red Hat 11.5.0-5) (GCC)

built with OpenSSL 3.2.2 4 Jun 2024

TLS SNI support enabled

configure arguments: --prefix=/usr/local/nginx8 --user=scfeng --group=scfeng --with-http_ssl_module --with-http_v2_module --with-http_v3_module --with-http_stub_status_module --with-stream --with-stream_ssl_module --with-threads

--with-http_ssl_module 支持https功能

--with-http_v2_module 支持http2.0

自制ssl证书,实现nginx的https功能

yum install gcc pcre-devel openssl openssl-devel make -y


二、生成私钥

CA(Certificate Authority,证书颁发机构)的私钥(自己就是CA也是nginx的web服务器),用于签名证书

bash 复制代码
[root@localhost ssh]# mkdir /ca
[root@localhost ssh]# cd /ca
[root@localhost ca]# openssl genrsa  -out  ca.key
[root@localhost ca]# ls
ca.key

三、 根据ca.key生成nginx web服务器使用的证书签名请求文件nginx.csr

nginx.csr 是证书签名请求文件,包含公钥和身份信息,用于申请数字证书 --》提交一个申请表格,用来搜集信息的

交互式输入

在生成CSR时,会提示输入以下信息:

  1. Country Name (2 letter code):国家代码(如CN)
  2. State or Province Name (full name):省/州名称
  3. Locality Name (eg, city):城市名称
  4. Organization Name (eg, company):组织名称
  5. Organizational Unit Name (eg, section):部门名称
  6. Common Name (e.g. server FQDN or YOUR name):域名或服务器名称
  7. Email Address:电子邮件地址
  8. A challenge password:可选,设置密码
  9. An optional company name:可选,公司名称
bash 复制代码
[root@localhost ca]# openssl req -new -key ca.key -out nginx.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:HUNAN
Locality Name (eg, city) [Default City]:changsha
Organization Name (eg, company) [Default Company Ltd]:sanchuang
Organizational Unit Name (eg, section) []:dev
Common Name (eg, your name or your server's hostname) []:www.huang.com
Email Address []:example@qq.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@localhost ca]# ls
ca.key  nginx.csr

四、使用ca.key给nginx.csr进行签名,生成公钥证书nginx.crt

nginx.crt:生成的数字证书文件,包含服务器的公钥、身份信息和CA的签名

root@localhost ca# openssl x509 -req -in nginx.csr -signkey ca.key -out nginx.crt

Certificate request self-signature ok

subject=C=CN, ST=HUNAN, L=changsha, O=sanchuang, OU=devops, CN=www.huang.com, emailAddress=example@qq.com

Getting Private key

root@localhost ca# ls

ca.key nginx.crt nginx.csr

  1. openssl x509:用于处理X.509格式的数字证书
  2. -req:表示输入文件是一个证书签名请求(CSR)
  3. -in nginx.csr :指定输入的CSR文件路径(nginx.csr
  4. -signkey ca.key :指定用于签名的CA私钥文件路径(ca.key
  5. -out nginx.crt :指定输出的数字证书文件路径(nginx.crt

五、将证书与域名绑定

全部证书放到/usr/local/nginx编译安装的目录下的conf目录里

root@web1 ca# ls

ca.key nginx.crt nginx.csr

root@web1 ca# cp * /usr/local/nginx1/conf/

ssl_certificate nginx.crt;:这一行指定了SSL证书文件的路径,证书文件名为"nginx.crt"
ssl_certificate_key ca.key;:这一行指定了私钥文件的路径。私钥是与SSL证书相关联的密钥,用于解密和验证服务器证书,私钥文件名为"ca.key"

bash 复制代码
[root@web1 conf]# vim nginx.conf
server {
        listen       443 ssl;
        http2 on;
        server_name  www.huang.com;

        ssl_certificate      nginx.crt;
        ssl_certificate_key  ca.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

[root@web1 conf]# nginx  -t
nginx: the configuration file /usr/local/nginx1/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx1/conf/nginx.conf test is successful
[root@web1 conf]# nginx  -s reload

查看端口(443)

bash 复制代码
[root@web1 conf]# netstat -anplut|grep nginx
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      691/nginx: master p 
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      691/nginx: master p 

六、添加域名解析并访问

在Windows里添加域名解析

C:\Windows\System32\drivers\etc\hosts

192.168.168.136 www.huang.com

证书是绑定到域名上的,要访问web服务器的时候,使用域名去访问 https://www.huang.com

效果为浏览器地址栏左侧的 "不安全"https

Linux系统里添加域名

root@web1 conf# vim /etc/hosts

192.168.168.136 www.huang.com

使用curl字符界面浏览器去访问,携带公钥文件

root@web1 conf# curl --cacert /ca/nginx.crt https://www.huang.com

http跳转到https的配置 -> 添加重定向功能

bash 复制代码
server {
        listen       80;
        server_name  www.huang.com;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
            root   html;
            index  index.html index.htm; 
            return 301  https://www.huang.com$request_uri ;  #重定向功能
[root@nginx-1 conf]# nginx -t 
nginx: the configuration file /usr/local/nginx8/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx8/conf/nginx.conf test is successful
[root@nginx-1 conf]# nginx -s reload
相关推荐
牛奶12 小时前
HTTPS你不知道的事
前端·https·浏览器
SkyWalking中文站12 小时前
认识 Horizon UI · 5/17:3D 基础设施地图
运维·监控·自动化运维
SkyWalking中文站1 天前
认识 Horizon UI · 1/17:SkyWalking 新一代可观测性控制台
运维·前端·监控
雪梨酱QAQ2 天前
Kubeneters HA Cluster部署
运维
江华森2 天前
Spring Cloud 微服务全栈实战:从 Eureka 到 Docker Compose 一文贯通
运维
江华森2 天前
Matplotlib 数据绘图基础入门
运维
江华森2 天前
NumPy 数值计算基础入门
运维
AlfredZhao4 天前
生产环境里,为什么不建议把普通端口直接暴露到公网?
linux·https·443·80
乘云数字DATABUFF6 天前
5分钟部署开源APM Databuff:OpenTelemetry全链路追踪入门实战
运维·后端
荣--8 天前
一键部署不是为了省时间 —— 它是把"买来的 PaaS"变成"自己的平台"的拐点
运维·zabbix·工程化·一键部署·平台化·边界设计