nginx中的CA证书的实现详解

Posted 2020-10-29

利用了openssl或者是opengpg的任意一个软件来实现CA证书的颁发与认证。
具体实现方法如下：
第一步：建立CA证书颁发机构
说明：公钥是从私钥中提取出来的一部分内容，证书是含有公钥和用户的一些必要信息的东西。
生成CA的私钥
[[email protected] ~]# cd /etc/pki/CA
[[email protected] CA]# >index.txt
[[email protected] CA]# >serial
[[email protected] CA]# echo 01 >serial
[[email protected] CA]# ls
certs crl index.txt newcerts private serial
[[email protected] CA]# umask 077;openssl genrsa -out private/ca.key 2048

2. 生成CA的公钥
   [[email protected] CA]# openssl req -new -x509 -key private/ca.key -out cacert.crt -days 3650
   按提示一次填写国家，省份，城市，单位，公司域名，邮箱就OK了。
   第二步： 给用户颁发证书
   1. 首先自己先生成私钥，在提取公钥后生成申请证书文件，到CA证书机构去申请。
      mkdir ssl
      umask 077;openssl genrsa -out nginx.key 2048
      ls 会看到ssl 目录下有个nginx.key这就是生成的私钥
   2. CA审核通过后颁发证书
      [[email protected] ssl]#openssl req -new -key nginx.key -out nginx.csr
      [[email protected] ssl]#cp nginx.csr /etc/pki/CA
      [[email protected] CA]#openssl ca -in nginx.csr -out nginx.crt -days 365

3.到nginx的主配置文件中在server上下文中修改ssl那一段内容，需要修改的内容字段为：（注意：这是在公司中我们会做的事情）
server_name 后面写上获得证书的公司域名
ssl_certificate 后面写上获得证书的证书存放绝对路径
ssl_certificate_key 后面写上私钥的存放绝对路径