openssl生成自签证书
本文主要介绍使用openssl生成自签证书
生成CA证书私钥
[root@localhost openssl]# openssl genrsa -out ca.key 4096
Generating RSA private key, 4096 bit long modulus
....................................++
.............................................................................................++
e is 65537 (0x10001)
[root@localhost openssl]# ll
total 4
-rw-r--r-- 1 root root 3243 May 1 22:46 ca.key
生成CA证书
#这里需要调整-subj中的选项,CN可以只指定一个名称,固定的即可,但是这里指定了域名,这里有消息为3650天,也就是10年
[root@localhost openssl]# openssl req -x509 -new -nodes -sha512 -days 3650 -subj "/C=CN/ST=Sichuan/L=Chengdu/O=hi/OU=Personal/CN=hi-host.com" -key ca.key -out ca.crt
[root@localhost openssl]# ll
total 8
-rw-r--r-- 1 root root 2025 May 1 22:48 ca.crt
-rw-r--r-- 1 root root 3243 May 1 22:46 ca.key
生成服务器证书
证书通常包含一个.crt文件和一个.key文件,例如yourdomain.com.crt和yourdomain.com.key
#生成私钥
[root@localhost openssl]# openssl genrsa -out test.hi-host.com.key 4096
Generating RSA private key, 4096 bit long modulus
.............................................................................................................................................++
......................................................................................................................................................................................................++
e is 65537 (0x10001)
[root@localhost openssl]# ll
total 12
-rw-r--r-- 1 root root 2013 May 1 22:50 ca.crt
-rw-r--r-- 1 root root 3243 May 1 22:46 ca.key
-rw-r--r-- 1 root root 3243 May 1 22:50 test.hi-host.com.key
#生成证书签名请求(CSR),这里需要设置对应的域名
[root@localhost openssl]# openssl req -sha512 -new -subj "/C=CN/ST=SiChuan/L=Chengdu/O=example/OU=Personal/CN=hi-host.com" -key test.hi-host.com.key -out test.hi-host.com.csr
[root@localhost openssl]# ll
total 16
-rw-r--r-- 1 root root 2013 May 1 22:50 ca.crt
-rw-r--r-- 1 root root 3243 May 1 22:46 ca.key
-rw-r--r-- 1 root root 1704 May 1 22:53 test.hi-host.com.csr
-rw-r--r-- 1 root root 3243 May 1 22:50 test.hi-host.com.key
#生成一个x509 v3扩展文件
[root@localhost openssl]# cat > v3.ext <<-EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1=test.hi-host.com
EOF
#上面可以设置多个域名,DNS.2,DNS.3等,可以是不同的域名
[root@localhost openssl]# ll
total 20
-rw-r--r-- 1 root root 2013 May 1 22:50 ca.crt
-rw-r--r-- 1 root root 3243 May 1 22:46 ca.key
-rw-r--r-- 1 root root 1704 May 1 22:53 test.hi-host.com.csr
-rw-r--r-- 1 root root 3243 May 1 22:50 test.hi-host.com.key
-rw-r--r-- 1 root root 235 May 1 22:55 v3.ext
#使用该v3.ext文件为您的主机生成证书
[root@localhost openssl]# openssl x509 -req -sha512 -days 3650 -extfile v3.ext -CA ca.crt -CAkey ca.key -CAcreateserial -in test.hi-host.com.csr -out test.hi-host.com.crt
Signature ok
subject=/C=CN/ST=SiChuan/L=Chengdu/O=example/OU=Personal/CN=hi-host.com
Getting CA Private Key
[root@localhost openssl]# ll
total 28
-rw-r--r-- 1 root root 2013 May 1 22:50 ca.crt
-rw-r--r-- 1 root root 3243 May 1 22:46 ca.key
-rw-r--r-- 1 root root 17 May 1 22:56 ca.srl
-rw-r--r-- 1 root root 2057 May 1 22:56 test.hi-host.com.crt
-rw-r--r-- 1 root root 1704 May 1 22:53 test.hi-host.com.csr
-rw-r--r-- 1 root root 3243 May 1 22:50 test.hi-host.com.key
-rw-r--r-- 1 root root 235 May 1 22:55 v3.ext
配置nginx
[root@localhost openssl]# vim /etc/nginx/conf.d/test.hi-host.com.conf
server {
listen 443 ssl;
server_name test.hi-host.com;
client_max_body_size 1000m;
ssl_certificate /root/openssl/test.hi-host.com.crt;
ssl_certificate_key /root/openssl/test.hi-host.com.key;
location / {
proxy_pass http://127.0.0.1:180;
}
}
#重启nginx
解决浏览器访问https不安全问题
以上配置好后,就可以访问域名https://test.hi-host.com ,但是这里访问的时候还是提示不安全,但是能看到有证书,证书无效,这就是自签证书会有这样的问题。所以我们需要将ca.crt证书导入到浏览器中,这里以chrome为例,设置步骤如下:
- 设置
- 搜索https—->管理证书
- 选择受信任根证书颁发机构
- 导入ca.crt
- 重启浏览器
- 重新访问
每日一句
-
为了成功地生活,少年人必须学习自立,铲除埋伏各处的障碍,在家庭要教养他,使他具有为人所认可的独立人格。
——卡耐基
今日排行
- Nginx 上传大文件超时解决办法
主要介绍了Nginx 上传大文件超时解决办法的相关资料,这里上传文件并设置nginx的配置文件防止超时的情况 - RJ九上第二十四章《圆》知识点
人教版数学九年级上册第二十四章《圆》知识点,包含圆的概念、垂径定理、弧、弦、圆心角、圆周角、切线、内切圆、外接圆等 - 网页扫描二维码库:Html5-Qrcode
网页扫描二维码库:Html5-Qrcode,官网地址:https://scanapp.org/html5-qrcode-docs/ - 中考必考基础知识——计算题50题
中考必考基础知识——计算题50题 - 初中数学:一次函数补充知识点
初中数学:一次函数补充知识点
点击排行
- Electron打包错误“Error: Application entry file ..”解决方案
打包出现如下错误:Error: Application entry file "dist\electron\main.js" in the "D:\gui\demo2\build\win-unpacked\resources\app.asar" does not exist. Seems like a wrong configuration. - VSCode插件 - 快速生成表格并格式化
快速生成表格 - Electron页面跳转、浏览器打开链接和打开新窗口
Electron页面跳转、浏览器打开链接和打开新窗口
- Docker编译出现:temporary error (try again later)
Docker编译镜像出现:fetch http://dl-cdn.alpinelinux.org/alpine/v3.12/main/x86_64/APKINDEX.tar.gz
ERROR: http://dl-cdn.alpinelinux.org/alpine/v3.12/main: temporary error (try again later)
WARNING: Ignoring APKINDEX.2c4ac24e.tar.gz: No such file or directory问题 - mac git用户名和密码修改
在Mac电脑中,如何对Git的用户名和密码进行修改呢?起初不懂Mac,所以整了很久,本文将记录如何对这个进行操作,以便后期使用。 - Git保存和清除用户名、密码
在使用Git的过程中,不想每次都输入用户名和密码去拉取代码,所以就需要保存这些信息,那么既然有保存了,就必须有清除功能。