Nginx使用自签ssl证书实现https连接的方法

目录

• 场景
• 使用OpenSSL创建证书
• 不同格式证书的转换
• Nginx下ssl配置方法
• 验证方法

场景

Nginx使用自签ssl证书实现https连接。

使用OpenSSL创建证书

建立服务器私钥（过程需要输入密码，请记住这个密码）生成RSA密钥

openssl genrsa -des3 -out server.key 1024

生成一个证书请求

openssl req -new -key server.key -out server.csr

需要依次输入国家，地区，组织，email。最重要的是有一个common name，可以写你的名字或者域名。如果为了https申请，这个必须和域名吻合，否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书

#---------------------------------------------------------------------------------------------------------------
Enter pass phrase for server.key:                                      #之前输入的密码
Country Name (2 letter code) [XX]:                   #国家
State or Province Name (full name) []:                 #区域或是省份
Locality Name (eg, city) [Default City]:                #地区局部名字
Organization Name (eg, company) [Default Company Ltd]:         #机构名称：填写公司名
Organizational Unit Name (eg, section) []:               #组织单位名称:部门名称
Common Name (eg, your name or your server's hostname) []:     #网站域名
Email Address []:                             #邮箱地址
A challenge password []:                         #输入一个密码，可直接回车
An optional company name []:                       #一个可选的公司名称，可直接回车
#---------------------------------------------------------------------------------------------------------------

输入完这些内容，就会在当前目录生成server.csr文件

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key

使用上面的密钥和CSR对证书进行签名

#以下命令生成v1版证书
openssl x509 -req  -days 365 -sha256   -in server.csr -signkey server.key -out servernew.crt

以下命令生成v3版证书

openssl x509 -req  -days 365 -sha256 -extfile openssl.cnf -extensions v3_req   -in server.csr -signkey server.key -out servernew.crt

v3版证书另需配置文件openssl.cnf，该文件内容详见博客《OpenSSL生成v3证书方法及配置文件》

至此，证书生成完毕！

附常用对证书的操作：

查看key、csr及证书信息

openssl rsa -noout -text -in myserver.key
openssl req -noout -text -in myserver.csr
openssl x509 -noout -text -in ca.crt

不同格式证书的转换

PKCS转换为PEM

openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes

PEM转换为DER

openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]

PEM提取KEY

openssl RSA -in myserver.pem -out myserver.key

DER转换为PEM

openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem

PEM转换为PKCS

openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt

Nginx下ssl配置方法

首先，确保安装了OpenSSL库，并且安装Nginx时使用了–with-http_ssl_module参数。

证书拷至nginx目录，配置如下server

server {
    listen 443 ssl;
    server_name your.domain.name;
    index index.html index.htm index.php;
    ssl on;
    ssl_certificate      ssl/hotyq.com.crt;
    ssl_certificate_key  ssl/hotyq.com.key;
    ssl_session_cache    shared:SSL:10m;
    ssl_session_timeout 5m;
    ssl_protocols    TLSv1 TLSv1.1 TLSv1.2;
}

另，还可加入如下配置实现https重定向

server {
    listen 80;
    server_name your.domain.name;
    rewrite ^(.*) https://$server_name$1 permanent;
}

第一次配置https时需重启nginx！

验证方法

Win、Android系统

curl   https://your.domain.name

iOS系统

curl -3  https://your.domain.name