SSL证书生成流程

用openssl生成nginx.key

1.key的生成

openssl genrsa -des3 -out server.key 2048

这样是生成rsa私钥，des3算法，openssl格式，2048位强度。server.key是密钥文件名。为了生成这样的密钥，需要一个至少四位的密码。可以通过以下方法生成没有密码的key:

openssl rsa -in server.key -out server.key

server.key就是没有密码的版本了。

2.生成CA的crt

openssl req -new -x509 -key server.key -out ca.crt -days 3650

生成的ca.crt文件是用来签署下面的server.csr文件。

3. csr的生成方法

openssl req -new -key server.key -out server.csr

需要依次输入国家，地区，组织，email。最重要的是有一个common name，可以写你的名字或者域名。如果为了https申请，这个必须和域名吻合，否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。

4. crt生成方法

CSR文件必须有CA的签名才可形成证书，可将此文件发送到verisign等地方由它验证，要交一大笔钱，何不自己做CA呢。

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt

输入key的密钥后，完成证书生成。-CA选项指明用于被签名的csr证书，-CAkey选项指明用于签名的密钥，-CAserial指明序列号文件，而-CAcreateserial指明文件不存在时自动生成。

最后生成了私用密钥：server.key和自己认证的SSL证书：server.crt

证书合并：

cat server.key server.crt > server.pem

        其中第一步生成的无密码key就是我们想要的nginx.key

使用StartSSL免费SSL证书：

        登录网站：https://www.startssl.com

        找到StartSSL Free，点击Start Now

        这里提示需要登录，通过邮箱进行注册并登录

        然后在Validations Wizard这里选择要进行网站认证还是邮箱认证

        按照网站提示一步一步进行

提交nginx.key生成nginx.crt证书：

        在StartSSL审核通过后，会提示输入本地key

        我们的需求是要配置nginx的SSL验证，将前面用openssl生成nginx.key添加到网站指定的输入框中，提交审核，等待网站审核通过

        网站审核通过后，会提示可以在Tool Box中下载以生成的证书

        下载后，得到一个以认证域名命名的压缩包

        解压缩后，包内有ApacheServer.zip, IISServer.zip, NginxServer.zip, OtherServer.zip

        我们需要的文件在NginxServer.zip中，解压后得到1_gjtest.parteam.cn_bundle.crt文件

得到crt证书后，服务器上的设置：

        在服务器/etc/nginx/ssl/文件夹下创建gjtest.parteam.cn.crt文件，用命令行cat命令查看        1_gjtest.parteam.cn_bundle.crt文件，并将内容拷贝到gjtest.parteam.cn.crt中。

        在服务器/etc/nginx/ssl/文件夹下创建gjtest.parteam.cn.key文件，将开始生成的nginx.key内容拷贝进去。

在nginx配置文件/etc/nginx/conf.d/**.conf的443端口监听server中，设置SSL安全监测：

ssl_certificate      ssl/gjtest_parteam_cn.crt;

ssl_certificate_key  ssl/gjtest_parteam_cn.key;

ssl_ciphers          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128    -GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES    256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:    AES128-GCM-SHA256:AES256-GCM-SHA384:DES-CBC3-SHA;

ssl_prefer_server_ciphers  on;

ssl_protocols        TLSv1 TLSv1.1 TLSv1.2;

重新启动nginx服务，使得新的修改生效。

可能会出现以下错误信息：

error：nginx[15608]: nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/nginx/ssl/gjtest_parteam_cn.ke

       PS：检查ssl文件夹中的key和crt文件是否对照成对

● nginx.service - A high performance web server and a reverse proxy server

Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)

Active: failed (Result: exit-code) since Thu 2016-11-10 15:13:17 CST; 5s ago

Process: 15430 ExecStop=/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid (code=exited, status=0/SUCCE

Process: 929 ExecStart=/usr/sbin/nginx -g daemon on; master_process on; (code=exited, status=0/SUCCESS)

Process: 15532 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=1/FAILURE)

Main PID: 951 (code=exited, status=0/SUCCESS)

Nov 10 15:13:17 iZ2zeipvbenilb2wia99kqZ systemd[1]: Stopped A high performance web server and a reverse proxy server.

Nov 10 15:13:17 iZ2zeipvbenilb2wia99kqZ systemd[1]: Starting A high performance web server and a reverse proxy server...

Nov 10 15:13:17 iZ2zeipvbenilb2wia99kqZ nginx[15532]: Enter PEM pass phrase:

Nov 10 15:13:17 iZ2zeipvbenilb2wia99kqZ nginx[15532]: nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/nginx/ssl/gjtest_parteam_cn.ke

Nov 10 15:13:17 iZ2zeipvbenilb2wia99kqZ nginx[15532]: nginx: configuration file /etc/nginx/nginx.conf test failed

Nov 10 15:13:17 iZ2zeipvbenilb2wia99kqZ systemd[1]: nginx.service: Control process exited, code=exited status=1

Nov 10 15:13:17 iZ2zeipvbenilb2wia99kqZ systemd[1]: Failed to start A high performance web server and a reverse proxy server.

Nov 10 15:13:17 iZ2zeipvbenilb2wia99kqZ systemd[1]: nginx.service: Unit entered failed state.

Nov 10 15:13:17 iZ2zeipvbenilb2wia99kqZ systemd[1]: nginx.service: Failed with result 'exit-code'.

root@iZ2zeipvbenilb2wia99kqZ:/etc/nginx/ssl# service nginx restart

Job for nginx.service failed because the control process exited with error code. See "systemctl status nginx.service" and "journalctl -xe" for details.

PS：出现这样的错误时，

       1、openssl rsa -in server.key -out unserver.key

      输入一次私钥的密码：******

      把unserver.key 文件修改为server.key

      重启nginx 问题解决。

      2、openssl req -new -x509 -nodes -out server.crt -keyout server.key，重新生成key（此处的server就是nginx）