CA自建认证以及网页认证基于虚拟主机

Posted 2020-10-29

安装openssl
生成私匙
cd /etc/pki/tls
vi openssl.cof
更改两个钥匙和后缀名为certificate = $dir/cacert.crt private_key = $dir/private/ca.key
cd CA

index.txt
serial
echo 01 >serial
(umask 077;openssl genrsa -out private/ca.key 2048 (这个文件曲权限为o77，创建CA的私钥 长度为2048）
openssl req -new -x509 -key private/ca.key -out cacert.crt -days 3650天（通过自己的私钥生成一个证书时间为3650天）
CA 搭建完成

生成nginx 的私钥、申请文件、CA颁发证书
cd /etc/nginx
mkdir ssl(安全套接层）
（umask o77;openssl genrsa -out nginx.key 2048)(nginx也生成一个自己的私钥长度也为2048个字符）
openssl req -new -key nginx.key -out nginx.csr（
通过自己的私钥生成一个证书）
输入相关信息
cp nginx.csr /etc/pki/CA
查看自己的CA目录
openssl -ca -in nginx.crs -out nginx.crs -days 365(ca 给nginx的证书进行认证生成一个新的证书时间为365天）
ok le
在nginx中建立一个server并填写如一下信息

server {
listen 443 ssl http2 default_server;
server_name www.百度.com;
root /usr/share/nginx/html;
ssl_certificate "/etc/nginx/ssl/nginx.crt";
ssl_certificate_key "/etc/nginx/ssl/nginx.key";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout
10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
}