SSL证书生成及Nginx配置(亲测可用)

Posted JaxYoun

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SSL证书生成及Nginx配置(亲测可用)相关的知识,希望对你有一定的参考价值。

一、服务端证书制作(针对B/S项目

1.在Centos7上新建一个空目录,创建mySsl.conf的配置文件,包含如下内容:

[ req ]
default_bits    = 2048
distinguished_name = req_distinguished_name
req_extensions   = req_ext

[ req_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = cn
stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = sc
localityName         = Locality Name (eg, city)
localityName_default     = cd
organizationName       = Organization Name (eg, company)
organizationName_default   = my
organizationalUnitName       = Organizational Unit Name (eg, section)
organizationalUnitName_default   = as
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_max        = 64
commonName_default      = yang.com

[ req_ext ]
subjectAltName = @alt_names

# 可配置多域名,用于访问的域名或ip一定要包含在此列表
[alt_names]
IP.1   = 192.168.50.62 # 服务端主机ip
DNS.1  = yang.com # 服务端域名1
DNS.2  = yang.net # 服务端域名2

2.依次执行下列命令生成服务端证书:

penssl genrsa -out server.key 2048
openssl req -new -sha256 -out server.csr -key server.key -config mySsl.conf
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt -extensions req_ext -extfile mySsl.conf

二、nginx证书配置

# 前端项目部署http
server {
    listen    80;
    server_name  front;
    return 301 https://$host$request_uri;  # 自动将80的请求转发到443
}

# 前端项目部署https
server {
	ssl on;
	listen    443 ssl;
	server_name  front;

	keepalive_timeout 100;
	ssl_session_timeout 10M;
	ssl_session_cache shared:SSL:10M;

	ssl_certificate  \myconf\ssl\server.crt;
	ssl_certificate_key \myconf\ssl\server.key;

	location / {
		root  D:\zzCloudDvd\outer\dist\;
		index  index.html index.htm;
	}
	
	error_page  500 502 503 504  /50x.html;
        location = /50x.html {
        root  html;
	} 
}

# 后端接口反向代理
server {
	ssl on;
	listen    8881 ssl;
	server_name  back;	
	keepalive_timeout 100;
	
 	ssl_session_timeout 10M;
	ssl_session_cache shared:SSL:10M;

	ssl_certificate  \myconf\ssl\server.crt;
	ssl_certificate_key \myconf\ssl\server.key;

	location / {
		proxy_pass http://192.168.50.62:8880;
	}
}

三、浏览器端配置

  1. 在浏览器本地双击server.crt文件,将证书安装到【受信任的根证书颁发机构下】。
  2. 修改浏览器本地hosts文件,将证书包含的域名映射到服务端的ip。
  3. 使用PostMan等客户端工具测试https接口时,由于没有在客户端配证书,所以需要关闭PostMan的ssl功能方可请求成功。

以上是关于SSL证书生成及Nginx配置(亲测可用)的主要内容,如果未能解决你的问题,请参考以下文章

Nginx自签ssl证书创建及配置方法

SSL/TLS深度解析--在Nginx上配置证书链及多域名证书

nginx负载均衡,ssl原理,生成ssl秘钥对,nginx配置ssl

SSL基础知识及Nginx/Tomcat配置SSL

linux系统自签发免费ssl证书,为nginx生成自签名ssl证书

关于Nginx 用户认证SSL证书生成配置的一些笔记