当前位置: 移动技术网 > 网络运营>服务器>nginx > Nginx配置SSL自签名证书的方法

Nginx配置SSL自签名证书的方法

2019年04月18日  | 移动技术网网络运营  | 我要评论

生成自签名ssl证书

生成rsa密钥(过程需要设置一个密码,记住这个密码)

$ openssl genrsa -des3 -out domain.key 1024

拷贝一个不需要输入密码的密钥文件

$ openssl rsa -in domain.key -out domain_nopass.key

生成一个证书请求

$ openssl req -new -key domain.key -out domain.csr

这里会提示输入国家,地区组织,email等信息.最重要的一个是"common name",需要与网站域名相同.

enter pass phrase for domain.key:              # 之前设置的密码
-----
country name (2 letter code) [xx]:cn            # 国家
state or province name (full name) []:jilin         # 地区或省份
locality name (eg, city) [default city]:changchun      # 地区局部名
organization name (eg, company) [default company ltd]:python # 机构名称
organizational unit name (eg, section) []:python      # 组织单位名称
common name (eg, your name or your server's hostname) []:domain.com # 网站域名
email address []:123@domain.com               # 邮箱
a challenge password []:                  # 私钥保护密码,可直接回车
an optional company name []:                # 一个可选公司名称,可直接回车

输入完这些就会生成一个domain.csr文件,提交给ssl提供商的时候就是这个csr文件.当然这里并没有向任何证书提供商申请,而是自己签发证书.

使用上面的密钥和csr对证书签名

$ openssl x509 -req -days 365 -in domain.csr -signkey domain.key -out domain.crt

nginx下ssl配置方法

检测nginx是否支持ssl:

$ nginx -v

如果有显示-with-http_ssl_module表示已编译openssl,支持安装ssl.

如果没有,请重新编译安装nginx

$ ./ configure --with-http_ssl_module --with-http_stub_status_module
$ make & make install

配置文件:

server {
  listen 80;
  listen 443 ssl;        # 监听443端口, 开启ssl(必须)
  server_name domain.com;
  
  # ssl on;   # 不建议使用! 该指令与listen中ssl参数功能相同.
  # 引用ssl证书(必须,如果放在nginx/conf/ssl下可以用相对路径,其他位置必须用绝对路径)
  ssl_certificate   /home/user/domain.com/conf/ssl/domain.crt;
  ssl_certificate_key /home/user/domain.com/conf/ssl/domain_nopass.key;

  # 协议优化(可选,优化https协议,增强安全性)
  ssl_protocols    tlsv1 tlsv1.1 tlsv1.2
  ssl_ciphers     ecdhe-rsa-aes128-gcm-sha256:high:!anull:!md5:!rc4:!dhe;
  ssl_prefer_server_ciphers on;
  ssl_session_cache  shared:ssl:10m;
  ssl_session_timeout 10m;

  # 自动跳转到https
  if ($server_port = 80) {
    rewrite ^(.*)$ https://$host$1 permanent;
  }

  # 其他配置信息...
}

配置完成后检查niginx配置文件是否可用:

$ nginx -t # 检查nginx配置文件

successful后重新加载配置文件使配置生效:

$ nginx -s reload

注:记得开启防火墙的443端口 firewall-cmd --zone=public --add_port=443/tcp permanent

注:我使用的nginx+uwsgi部署,这种情况还需要重启下uwsgi,否则无法访问 uwsgi --reload ./tmp/uwsgi.pid

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持移动技术网。

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网