配置Nginx网站https访问、http共存访问

最近公司一客户要求服务器与客户端之间传输内容是加密的,通过https协议访问,于是使用OpenSSL生成证书,默认情况下ssl模块并未被安装,如果要使用该模块则需要在编译nginx时指定–with-http_ssl_module参数,需要确保机器上安装了openssl和openssl-devel。

确认以上两点后就可以生成证书了
x509证书一般会用到三类文,key,csr,crt。
Key:私用密钥openssl格,通常是rsa算法。
Csr:证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署申,还可以设定一个密钥。
crt:CA认证后的证书文,(windows下面的,其实是crt),签署人用自己的key给你签署的凭证。
1.创建服务器私钥(key文件)
进入你想创建证书和私钥的目录
[root@localhost conf]# pwd
/app/nginx/conf
[root@localhost conf]# openssl genrsa -des3 -out server.key 1024
Generating RSA private key, 1024 bit long modulus
............++++++
..........................++++++
e is 65537 (0x10001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:
[root@localhost conf]#

运行时会提示输入至少四位的密码,此密码用于加密key文件(参数des3是指加密算法,当然也可以选用其他你认为安全的算法,openssl格式,1024位强度,有的证书是要2048。),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
在加载SSL支持的Nginx并使用上述私钥时去除key文件口令的命令:openssl rsa -in server.key -out server.key
生成没有密码的key:openssl rsa -in server.key -out server.key

2.创建签名请求的证书(CSR文件)
需要依次输入国家,地区,组织,email。最重要的是有一个common name,可以写你的名字或者域名。如果为了https申请,这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。
[root@localhost conf]# openssl req -new -key server.key -out server.csr 
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:sh
State or Province Name (full name) []:shanghai
Locality Name (eg, city) [Default City]:shanghai
Organization Name (eg, company) [Default Company Ltd]:51cto
Organizational Unit Name (eg, section) []:51cto
Common Name (eg, your name or your server's hostname) []:pvbutler.blog.51cto.com
Email Address []:justin@blog.51cto.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:csdp
An optional company name []:51cto
[root@localhost conf]#

在加载SSL支持的Nginx并使用上述私钥时除去必须的口令:
[root@localhost conf]# cp server.key server.key.org
[root@localhost conf]# openssl rsa -in server.key.org -out server.key
Enter pass phrase for server.key.org:
writing RSA key
[root@localhost conf]#

标记证书使用上述私钥和CSR:
[root@localhost conf]# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=sh/ST=shanghai/L=shanghai/O=51cto/OU=51cto/CN=pvbutler.blog.51cto.com/emailAddress=justin@blog.51cto.com
Getting Private key
[root@localhost conf]#

这样就生成了私用密钥:server.key和自己认证的SSL证书:server.crt。
也可以使用下面命令:
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt
-CA选项指明用于被签名的csr证书,-CAkey选项指明用于签名的密钥,-CAserial指明序列号文件,而-CAcreateserial指明文件不存在时自动生成。
证书合并:cat server.key server.crt > server.pema
修改Nginx配置文件,让其包含新标记的证书和私钥:
[root@localhost conf]# cp nginx.conf{,20160919bak}
[root@localhost conf]# vim nginx.conf
 server {
        #指定虚拟主机的服务端口
        listen 443;
 
        #指定IP地址或者域名
        server_name pvbutler.blog.51cto.com;
        ssl on;
        ssl_certificate /app/nginx/conf/server.crt;
        ssl_certificate_key /app/nginx/conf/server.key;
        #设定本虚拟主机的访问日志
        access_log /app/nginx/logs/access_fund.log fund;
        }
 [root@localhost conf]# service nginx restart

这样就可以通过https://10.10.2.83/方式访问:

配置Nginx网站https访问、http共存访问

配置Nginx网站https访问、http共存访问

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/2e69140bfa98cfd493961b72db1ed3db.html